skyerjoe
-
Gesamte Inhalte
79 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von skyerjoe
-
-
Ich weiß der Thread is uralt
Aber wer noch so alte pc's ein tipp
Es kann auch an der Platte liegen, war erst bei uns so.
Also mal mit BootOS rein, und Festplatte prüfen falls ungewöhnlich niedrige Liestungswerte auftauchen... Platte is mit Sicherheit
defekt....
grüße skyerjoe
-
Hallo Allerseits
Wir haben in unserer Umgebung ein Ticketsystem auf einem Linux Server installiert.
Jetzt wollte ich die versch. Dashboards mithilfe von RSS feeds abfragen welches das Programm erzeugt.
Ausprobiert habe ich es mit folgenden Readern:
Nfreader: geht
Feedreader: geht
Outlook: geht nicht
Fehlermeldung: Die Webseite konnnte nicht gefunden werden ...
Thunderbird: geht nicht
Fehlermeldung: Adresse konnte nicht gefunden werden
Hier ist der RSS Link in Reinform:
hxxps://xxx.xxx.xxx/NoAuth/rss/root/6ebe803e215f30d6/?Order=DESC%7CASC%7CASC%7CASC&OrderBy=Created&Query=%20Owner%20%3D%20%27Nobody%27%20AND%20(%20Status%20%3D%20%27new%27%20OR%20Status%20%3D%20%27open%27
Hat jemand ne Ahnung warum das so ist bzw. an welchen Einstellungen ich drehen könnte?
grüße skyerjoe
-
Hallo miteinander
Ich wollte euch nur des Ergebnis des ganzen Aktion sagen,
haben Glück gehabt ... es ist keine Replikation geschehen ..*uff
PS. Dass ihr künftig mehr Sorgfalt walten lasst, versteht sich hoffentlich von selbst.definitiv :)
danke an alle für die schnelle hilfe ...
grüße skyerjoe
-
Hallo Nils
Ja es ging um DC's
Da er (wenn ich es richtig verstehe) eine andere IP-Adresse hatte als das OriginalNein, er hat exakt leider dieselben ip's gehabt wie der Prod-Server .
LDAP://Yusufs.Directory.Blog/ - Domänencontroller vergleichenDanke für den Link.
Denke das wird Klarheit darüber schaffen, ob die Konsitenz noch intakt ist.
grüße skyerjoe
-
Morgen
Realnetz:
2 Virtuelle Windows 2008 R2 Standard Edition Server
Domänencontroller Srv1 und Srv2 ( replikationsfähig beide gleichgestellt)
Testnetz:
1. Virtueller Windows 2008 Server ( geclont mit VmWAre Infrastructure Client von Srv1) mit 2 virtuellen NICS. Einmal für das Testnetz und einmal für das Hauptnetz.
Fehlerursache:
Der geclonte Server wurde in ins Hauptnetz eingebunden, durch die Aktivierung einer virtuellen Netzwerkkarte auf dem Clone, die die Adresszuweisung des Hauptnetzes entspricht.
Versuchte Problembeseitigung :
Die virtuelle Netzwerkkarte füs Hauptnetz wieder deaktiviert und die fürs Testnetz aktiviert.
Fragen, die nach der Aktion auftreten:
-
Hat sich einer der Server im Hauptsystem mit dem Testserver repliziert?
- Ist das überhaupt möglich?
- Wie erkennt der Windows 2008 Server seinen Replikationspartner?
- Welchen Eintrag muss ich im Eventlog suchen bzw nicht suchen, damit ich eine Replizierung ausschließen kann.
prüfen ob die Replikation noch funktioniertDiese funktioniert lt. Eventlog noch ...
grüße skyerjoe
-
-
Ich hoffe, Ihr habt Euch nicht irgendwas gebastelt.
Nein gebastelt is da nix ... sorry hab mich vielleicht a weng schlecht ausgedrückt.
Es ist ein geclontes VMWARE IMAGE vom Original VM Image Windows Server 2008 srv1.
grüße skyerjoe
-
Hallo miteinander
VmNetz: Windows Server 2008 (Clon von Hauptnetz Server srv1)
Hauptnetz: Windows Server 2008 srv1 (replikator)
Hauptnetz: Windows Server 2008 srv 2 (replikator)
Folgender Fehler ist passiert. Der VmServer wurde ins Realnetz eingebunden, und ist somit mit dem Hauptnetzserver kolidiert.
Was kann da passieren, bzw. passiert sein. ?
Wir haben zwar das Problem behoben, wissen aber nicht, ob es bei diesem Fehler geblieben ist.
Wo kann ich ansetzen, um die Server auf Fehler bzw. zu überprüfen ob die Konsistenz der Server im Hauptnetz noch in Ordnung ist.
Bedanke mich schonmal für eure Anregungen
grüße skyerjoe
-
@blub
klasse danke dir genau das was ich gesucht habe
grettings skyerjoe
-
Hallo alle,
Ich habe vor kurzem eine Website gefunden, die beschreibt, wie man sämtliche Zertifikatsspeicher aufspürt... leider führt sie nicht auf, für was diese Gut sind.
Website: Wie heißen die Zertifikatspeicher auf Windows Systemen? - Aktives Verzeichnis Blog - Site Home - TechNet Blogs (TechNet Blogs -
-
So...
Ich wollte diesen Thread abschließen ... da jetzt auch alles geht ....
Meine Schritte:
1. Root CA auf Linux Maschine mit openssl erstellt
Erstellen eines Server-Zertifikates
2. Gpo erstellt und das Root CA in Trusted Cert Container eingestellt
siehe http://technet.microsoft.com/en-us/librarycc770315%28WS.10%29.aspx
3. Request Datei auf windows server erstellt:
siehe hier:
Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle
4. Auf Linux Kiste mit dem Root CA zertifiziert
5. in die windows server umgebung mit certrequest accept eingebunden
[url="Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle"]Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle[/url]
Danke an alle die geholfen haben.....
greetz skyerjoe
-
danke dir
greeting skyerjoe
-
Du bestätigst also, daß die Root Zertifikate im lokalen Computer Speicher für Root Zertifikate liegen? Falls ja schaut sie der IE auch an.
Also sie liegen def. im RootCA ... was meinst du mit anschauen ?.. wenn man die Seite auf dem Server aufruft, wird sie auch anstandlos ohne Warnung wiedergegeben.
Welche Schritte ich gemacht habe und was fuinktioniert:
Zertifzierrungsstelle installiert und Schlüssel und CA Certificate erstellt und konfiguriert.
1. Einrichten einer Microsoft PKI mit Windows Server 2008 (R2) « Technikblog
Bestehende Zertifikate gelöscht nach folgender Anleitung :
1.How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
Enrollments und automatische Zertifikatsanfoderung:
1. AD CS: User autoenrollment should be enabled when an enterprise CA is installed
Trusted Puiblishers Eintrag:
1. Adding “Trusted Publishers” certificate with Group Policy | Bibble-IT.com
Guppenrichtlinien:
2. Deploy Certificates by Using Group Policy
Stores:
1. Certificate befindet sich im Root CA und in Vertrauenswürdigen Zertifizierungssstellen im Container "local machine" und "local user".
Verify:
1.Zertifikat verglichen mit den Programmen Openssl und Certutil ( fingerprint und schlüsselkenung ... verifizierung etc.. )
Linux Seite:
Per makecert das zertifikat importiert mit dem erstellt und signiert und linux übergeben und konfiguriert.
So... was geht ... wenn sich der Client mit dem Server verbindet ( Clientauthentifizierung ) dann holt er sich das Zerfikat und kann erkennt auch dann dementsprechend die Trusted Certstelle im IE... aber.. wenn ich die Zertifikate händisch aus den Stores wieder entferne ... dann holt sich der IE das Zertifikat nicht selber.
Wäre schön wenn das klappen würde ..
grüße skyerjoe
-
sag mal wieviel Ahnung hast du denn von der ganzen Materie (Windows Server, AD, netzwerke, etc) und was genau ist denn dein Job (selbstständiger Dienstleister, angestellt, etc.) bei dem was du da machst?
Angehender Admin .... also in der Lernphase ....
aber es stimmt schon mit PKI hab ich mich noch nicht näher befasst ... deshalb würde ich mich über Lektürempfehlungen auch freuen......
grüße skyerjoe
-
Hast Du Dir ein paar Grundlagen zum Thema bei MS angelesen?
Jo hab mir schon ein bißchen was durchgelesen. .. aber welche lektüre wäre denn noch interessant für mich, die umsonst is ....
noch ne frage ... muss der Client das Root CA händisch bekommen, oder kann ich das über die Verteilung laufen lassen, mir geht es in erster linie um die Möglichkeit, das die Browser auf den Clients wissen, diesem Zertifikat kann ich vertrauen ....
update:
So ich hätte es jetzt sogar hinbekommen, aber jemand sagt in einem Kommentar, dass diese Möglichkeit ein Sicherheitsrisiko dastellt...
Bin nach dieser Anleitung vorgegangen....
Adding “Trusted Publishers” certificate with Group Policy
Das weiter unten beschriebene ( das angeblich auch gehen soll)
Deploy Certificates by Using Group Policy
das bringt bei mir nichts ... aber mit der Methode von 2003 gehts einwandfrei ....
jetzt frage ich mich natürlich warum?
und ob es wirklich eine gute Idee ist, diese andere Option dann zu nehmen?
nachtrag:
komisch etz gehts wieder nicht mehr ... :(
grüße skyerjoe
-
Hallo olc....
liegen die Zertifikate im "Trusted Root Certification Authoritynatürlich tun sie das ....
Ist Autoenrollment aktiviert (bei LDAP Verteilung)?Du meinst in den GPOS ? Ja ist es.
.... ich frage mich aber im Moment ganz ernsthaft, ob das ohne CA Service auf dem Server geht... da in Anleitungen von MS auch immer erwähnt wird, dass man ein Template für das Autoenrollment benötigt wird, und soweit ich das jetzt mitbekommen habe, geht das nur über den AD Cert Service Dienst.
kann mir da jemand was dazu sagen? ... liege ich mit meiner Vermutung richtig ?
grüße skyerjoe
-
Sofern Du eine genauere Beschreibung von "geht nicht" gibst (etwa, ob das Zertifikat gar nicht im lokalen "Trusted Root Certification Authority" Container ankommt oder ob nur der Browser nichts erkennt, können wir Dir vielleicht weiterhelfen.
Anscheinend bin ich da echt nicht gut drin, ich gelobe Besserung :)
Also... Mein Certficiate ist definitiv jetzt im RootCA mit dem Befehl:
certutil -dspublish -f datei RootCA
okay das war ja dass, was mir blub empfohlen hat
an anderer Stelle habe ich auch noch eine LDAP Abfrage die per tls connected... aber da es nur ein Server ist, werde ich mir da kein Bein ausbrechen wegen der Zertifikatsverteilung ( zumal es eine Linux Kiste is).
so zurück zu windows ....
was ich gemacht habe ... die Certs in lokalen und user speicher eingetragen ... läuft.. zumindest mit dem IE
sobald ich davon absehe und sie nur in den gpo's domainpolicy " Vertrauenswürdige Stammzertifizierungsstellen" und dem RootCA reinstelle... dann passiert nichts ...
apropo "nur nicht im browser" kann ich noch was anderes testen?
grüße skyerjoe
-
@Dr Melzer:
okay werd ich machen
@blub
Also, ich habe es hinbekommen mit dem Certutil ....
jetzt ist also das auch in diesem RootCA container ....klappt nicht ... etz sehe ich aber noch eine andern Container, der damit was zu tun haben könnte.
Er heißt:
CN=Enrollment Services
und ist im selben Kontext zu finden ...
wie komme ich da ran?
grüße skyerjoe
-
Probier mal das Zertifikat in den RootCA Container zu spielen
hallo blub....
wie krieg ich das zertifikat am leichtesten da rein?
habe mal per ldp den tree ausfindig gemacht bloß habe ich von ldp keine ahnung wie ich was hinzuzufügen kann ... geschweige denn ein zertifikat
mit ldp will ich mich eigentlich nicht auch noch rumschlagen ....
kennst du einen einfachen schnellen weg?
grüße skyerjoe
-
Welchen browser benutzt du denn?
Hallo Norbert
IE und Firefox sind im Netzwerk vorhanden... wobei vorrangig der IE benutzt wird...
Was ich etz auch nochmal probiert habe den usergroups eine eigene GPO zuweisen und das ganze nicht auf Default Domain ebene einzutragen sondern verknüpft mit den gruppen der AD .. klappt aber genauso wenig ...
grüße skyerjoe
-
Hallo miteinander
Server: Windows Server 2008 AD
Clients: windowxp sp3
Ich habe auf einer Linux Kiste den webserver apache für ssl konfiguriert. Klappt soweit auch alles, bloß muss ich bei jedem Client eine Ausnahmebestätigung machen, wen ich auf den Dienst per Browser zugreifen will.
Wie kann ich in der AD einstellen, dass das Zertifikat automatisch an die versch. Clients verteillt wird?
Ps: Habe es schon per GPO und domain policies mit "Vertrauenswürdigen Stammzertifizierungstellen" versucht, geht aber nicht. ( btw: geht das auch mit selbstsignierten zertifikaten?)
Woran könnte es noch liegen?
grüße skyerjoe
-
morgen
wie kann ich einen thread auf solved editieren?
grüße skyerjoe
-
Also da ich ja auch meine Lösung veröffentlichen will
1. Ich habe per perfmon den Verkehr mitgeschnitten.
2. Per Client ( Linux) mit tshark
Da konnte ich dann mehr infos draus ziehen
Grüße skyerjoe
-
Das freut mich.
Lässt Du uns an Deinen Erkenntnissen teilhaben ?
Da gibt es eigentlich gar nicht viel zu sagen, das problem, dass das plugin mit einer bestimmten Syntax nicht zurechtgekommen ist.
1. Das ist der Filter der funktioniert:
'filter' => '(memberOf=CN=Usergroup-RT,OU=Gruppen,OU=xxx,DC=xx,DC=xxxl)', 'd_filter' => '(userAccountControl=514)',2. Das war der Filter ( Beispiel da ich das alte nicht mehr habe) , der nicht funktionierte ( is aus der Readme) :
# The filter to use to match RT-Users 'filter' => '(objectClass=User)', # A catch-all example filter: '(objectClass=*)' # # The filter that will only match disabled users 'd_filter' => '(objectClass=FooBarBaz)', # A catch-none example d_filter: '(objectClass=FooBarBaz)'Weiß nicht inwiefern das was bringt ... vielleicht dem einem oder anderen :)
grüße skyerjoe
-
So habs etz endlich geschafft ....
Ich schreibe mal eine kleine Step by step Anleitung
Zertifikat einrichten für ldap over ssl , ohne eine Zertifikatsstelle zu installieren.
Linux
1. Erstellt euch unter linux ( Openssl) ... evtl geht es auch unter windows einen CA und ein Server zertifikat, nach dieser Anleitung.
Erstellen eines Server-Zertifikates
2. Dann importiert mit Hilfe von openssl die zertifikate in verschiedene Formate:
2.1 CAroot in ein *.der File ( Wichtig: nicht in eines, wo der privatekey mit drinnen ist)
2.2 CAServer in ein pfx file mit Hilfe von Pvk2PfX man kann nach dieser Anleitung (Pvk2PfX teil) http://www.digitallycreated.net/Blog/38/using-makecert-to-create-certificates-for-development vorgehen.
Jetzt werde ich die Sache ein wenig spalten... da das aber hier ein Win Forum ist, werde ich die Linux Seite und meine Erfahrungen nur kurz anreißen.
3.0 Windows-Client
3.1. Erstellt euch mit Hilfe der mmc Konsole ein Snapin für Zertifikate für aktueller Benutzer und für lokaler Computer.
3.2 Importiert jetzt das *der Zertifikat des RootCA auf euren Windows-client.
3.3 Da Windows in 99 % der Fälle die Zertfifikate unter dem "Aktueller Benutzer" anlegt und da unter "vertrauenswürdige Stammzertifizierungsstellen" , müssen wir jetzt noch das CARootZertifikat händisch kopieren, und in "Lokaler Computer" in "vertrauenswürdige Stammzertifizierungsstellen " ablegen.
So das sollte es auf der Client Seite gewesen sein.
4.0 Windows 2008 Server
4.1 siehe 3.1
4.2 Importiert den CAServerkey auf den Windows Server ( ohne eigenes kennwort)
4.3 ähnliches problem wie in 3.3 also auch hier wieder den Serverkey kopieren, und in "Lokaler Computer" "eigene Zertifikate" ablegen.
4.4 zum schluß testen wir noch mit Hilfe des Client Computers ob wir uns per ssl auf den ldap server verbinden können, dafür benutzen wir das Programm LDP.exe ...zu finden hier (Support tools) wir können es auch Serverseitig ausprobieren, bloß wissen wir dann nicht hundertprozentig ob es auch über die Client-Server Verbindung klappt.
5.0 Linux Client:
Ich kann auf linux seite nur soviel sagen, dass es bei mir Linux relativ egal war ob ein Zertifikat installiert war oder nicht. Ich habe per tshark den handshakemitgeschnitten... und es hat funktioniert. das kann aber von Anwendung zu Anwendung anders sein. Bei mir gabs ein Plugin, das auf Perl aufbaut und auf das Net-SSLeay Perl Modul ....
Falls aber jemand wissen will, wie andere Awendungen die keys erkennen hier mal eine Möglichkeit zum basteln. Matthias Lohr
Hier noch ein link dazu http://gagravarr.org/writing/openssl-certs/others.shtml#ca-openssl ( Wichtig: wobei hier die symlink syntax vom oberen link genommen werden sollte, da sie hier falsch beschrieben ist)
Anmerkungen:
1. Für Schäden ist jeder selber Verantwortlich
2. Das Howto erhebt keine Ansprüche vollständig bzw. perfekt zu sein, oder alle Eventualitäten abzudecken, da es dafür zuviele Konfigurationen und verschiedene Systemumgebungen gibt.
3. Das ganze sollte auch mit TLS funktionieren.
4. Falls jemand es mit Makecert versuchen will, bitte nur zu bloß kann ich von meiner Seite aus sagen, dass ich damit ein paar verschiedene Möglichkeiten durchgespielt habe, und keine einzige hat funktioniert.
grüße skyerjoe
RSAT auf XP?
in Windows Server Forum
Geschrieben
Sorry das ich diesen Thread nochmal ausgrabe
Aber ich hätte gerne gewußt,ob es ungefährlich ist, mit einem 2003 Adminstration Pack u. winxp per mmc snapin auf einen windows 2008 Server zuzugreifen, und zB. die Benutzerkonten oder sonstiges zu ändern.
Sind die Zugriffsmethoden und die Hirachie den gleichgeblieben?
grüße skyerjoe