shoty

Habs hinbekommen, so funktioniert es.... $group = Get-ADGroup "CN=UG-User-TEST,OU=HV,DC=xxxint,DC=local" Get-ADUser -SearchBase "DC=xxxxxint,DC=local" -Filter "sAMAccountName -like 'xx*'" -Properties * | Where-Object {($_.Description -Notlike "Student") } | Add-ADPrincipalGroupMembership -MemberOf $Group

Hi, ich möchte allen Usern einer Abteilung im AD eine Gruppe UG-User-TEST hinzufügen, außer bei Usern, bei denen in der Description Student steht, die sollen nicht Mitglied der Gruppe werden. Irgendwie klappt das aber nicht so richtig, siehe: $user = Get-ADUser -Filter {(Department -eq "Testabteilung") -and (Description -notlike "Student")} $group = Get-ADGroup "CN=UG-User-TEST,OU=HV,DC=xxxint,DC=local" Add-ADGroupMember $group –Members $user Fehler: Add-ADGroupMember : Das Argument für den Parameter "Members" kann nicht überprüft werden. Das Argument ist NULL oder leer. Geben Sie ein Argument an, das nicht NULL oder leer ist, und führen Sie den Befehl erneut aus. In Zeile:6 Zeichen:35 + Add-ADGroupMember $group –Members $user + ~~~~~ + CategoryInfo : InvalidData: (:) [Add-ADGroupMember], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember Wenn ich nur eine Abfrage mache, wie z.B. (Department -eq "Testabteilung") oder (Description -notlike "Student") funktioniert es aber! Was mache ich bei notlike falsch??

Ich hab den Fehler gefunden. Wenn man bei dem Thumprint auch den richtigen Fingerabdruck der Stammzertifizierung einträgt, funktioniert die Sache auch sauber!! $Thumbprint = ‘Root CA Certificate Thumbprint’ $RootCACert = (Get-ChildItem -Path cert:\LocalMachine\root | Where-Object {$_.Thumbprint -eq $Thumbprint}) Set-VpnAuthProtocol -RootCertificateNameToAccept $RootCACert -PassThru New-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\’ -Name CertAuthFlags -PropertyTYpe DWORD -Value ‘4’ -Force Restart-Service RemoteAccess -PassThru Danke für eure Hilfe...

Die interne IP ist natürlich eine andere wie die externe. Das sollte aber meines Wissens kein Problem sein, da ich hier mit dem dns Namen in der Sperrliste arbeite. Den Client kenne ich, kostet aber nicht ganz wenig!

PKIView sagt, wenn ich es von meinem Admin Rechner Ausführe: Alles OK, bis auf AIA-Speicherort #1 -> Download ist nicht möglich. Ort -> http://xxxx.xxxx.de/ocsp -> was immer das bedeuten mag!?

ja, von intern und extern

Guter Plan, ich kann auch gleich den RAS Server ausschalten, dann hab ich auch nicht mehr das Problem Hab ich auch schon gemacht, das merkwürdige dabei, ich sehe keine Anfragen, das der RAS Server überhaupt versucht die CRLs Richtung CA Server abzufragen!? Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.

Hi Zahni, der RAS Server steht im DMZ und geht auch nicht über einen Proxy. Der Internetzugriff ist auch blockiert. Es sind nur die Wege ins Interne Netz offen, wie z.B. zur CA und den internen Servern. DMZ: RASServer -> Firewall -> Firewall -> Internes Netz: CA Server

In der Sperrliste stehen nur URLs drin, siehe: [1]Aktuellste Sperrliste Name des Verteilungspunktes: Vollst. Name: URL=http://xxx.xxx.de/pki/XXXStammzertifizierung(1)+.crl diese Adresse ist auch von extern und intern erreichbar und es wird auch das Sperrlistenzertifikat angezeigt.

Microsoft Support hab ich auch schon Kontaktiert, die Antwort war, dass es eine HowTo-Frage sei. Sie würden nur Probleme bearbeiten, die vorher schon mal funktioniert hätten. Ich hab es eskalieren lassen und seit dem nichts mehr gehört! Danke Microsoft! Ich hab nun den Richard Hicks mal angeschrieben, mal schauen...

Hat denn sonst niemand eine Idee, nach was ich noch schauen kann, wenn die Sperrlisten nicht abgerufen werden können? The revocation function was unable to check revocation because the revocation server was offline

Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert! Hab das gerade mal mit dem Computerkonto sperren getestet. Da der Rechner ja im lokalen Zustand hochfährt und dann erst die VPN Verbindung aufbaut, scheint ihn das sperren des Kontos nicht zu interessieren, ich kann trotzdem überall drauf zugreifen!? Hilft mir also auch nicht weiter!

Hallo, ich bin etwas verzweifelt. Ich habe einen RAS Server für eine AlwaysON VPN Einwahl aufgesetzt. Die Clients wählen sich per IKEv2 Computerzertifikat und Devicetunnel automatisch ein. Dies funktioniert auch ohne Probleme. Nun möchte ich ein Computerzertifikat sperren (im Fall eines Notebookdiebstahl z.B.). Nachdem ich das Zertifikat gesperrt habe kann sich aber der Client weiterhin einwählen per VPN!? Die Sperrlisten werden einwandfrei verteilt und sind auch von extern sowie intern erreichbar. Komischerweise bekomme ich immer auf dem RAS Server unter den CAPI2 Eventlog die Meldung: The revocation function was unable to check revocation because the revocation server was offline Über Certutil kann ich auch ohne Probleme die Sperrlisten vom RAS Server abfragen. Die Verbindung scheint hier also kein Problem zu sein. Ich verstehe nicht, woran es noch liegen kann. Hat vielleicht jemand schon mal mit einem gleichen Problem gekämpft? RAS Server - Windows 2019 - steht im DMZ CA Server - Windows 2016

Moin, hier die Konfig des Ports: Hauptverwaltung: interface GigabitEthernet1/0/13 switchport access vlan 10 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport voice vlan 20 mls qos trust device cisco-phone mls qos trust cos spanning-tree portfast Außenstellen: interface FastEthernet0/8 switchport access vlan 10 switchport voice vlan 20 mls qos trust device cisco-phone mls qos trust cos spanning-tree portfast Kabel sind alle in Ordnung, am PC merkt man auch keinen bemerkenswerten Ausfall! Manchmal hängt Outlook, aber ob das jetzt damit was zu tun hat?

Die kommen aber momentan auch, wenn der Rechner nicht neu gestartet wird?!