shoty
-
Gesamte Inhalte
92 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von shoty
-
-
Hi,
ich möchte allen Usern einer Abteilung im AD eine Gruppe UG-User-TEST hinzufügen, außer bei Usern, bei denen in der Description Student steht, die sollen nicht Mitglied der Gruppe werden. Irgendwie klappt das aber nicht so richtig, siehe:
$user = Get-ADUser -Filter {(Department -eq "Testabteilung") -and (Description -notlike "Student")}
$group = Get-ADGroup "CN=UG-User-TEST,OU=HV,DC=xxxint,DC=local"
Add-ADGroupMember $group –Members $user
Fehler:
Add-ADGroupMember : Das Argument für den Parameter "Members" kann nicht überprüft werden. Das Argument ist NULL oder leer. Geben Sie ein Argument an, das nicht NULL oder leer ist, und führen
Sie den Befehl erneut aus.
In Zeile:6 Zeichen:35
+ Add-ADGroupMember $group –Members $user
+ ~~~~~
+ CategoryInfo : InvalidData: (:) [Add-ADGroupMember], ParameterBindingValidationException
+ FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.AddADGroupMember
Wenn ich nur eine Abfrage mache, wie z.B. (Department -eq "Testabteilung") oder (Description -notlike "Student") funktioniert es aber! Was mache ich bei notlike falsch??
-
Ich hab den Fehler gefunden.
Wenn man bei dem Thumprint auch den richtigen Fingerabdruck der Stammzertifizierung einträgt, funktioniert die Sache auch sauber!!
$Thumbprint = ‘Root CA Certificate Thumbprint’
$RootCACert = (Get-ChildItem -Path cert:\LocalMachine\root | Where-Object {$_.Thumbprint -eq $Thumbprint})
Set-VpnAuthProtocol -RootCertificateNameToAccept $RootCACert -PassThruNew-ItemProperty -Path ‘HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ikev2\’ -Name CertAuthFlags -PropertyTYpe DWORD -Value ‘4’ -Force
Restart-Service RemoteAccess -PassThru
Danke für eure Hilfe...
-
Die interne IP ist natürlich eine andere wie die externe. Das sollte aber meines Wissens kein Problem sein, da ich hier mit dem dns Namen in der Sperrliste arbeite.
Den Client kenne ich, kostet aber nicht ganz wenig!
-
PKIView sagt, wenn ich es von meinem Admin Rechner Ausführe:
Alles OK, bis auf AIA-Speicherort #1 -> Download ist nicht möglich. Ort -> http://xxxx.xxxx.de/ocsp -> was immer das bedeuten mag!?
-
ja, von intern und extern
-
Zitat
Einfach Zertifikat ohne CRL erstellen
Guter Plan, ich kann auch gleich den RAS Server ausschalten, dann hab ich auch nicht mehr das Problem
ZitatAm besten mit Wireshark tracen warum der RAS Server keine Verbindung zum abruf der Sperrlisten aufbauen kann.
Hab ich auch schon gemacht, das merkwürdige dabei, ich sehe keine Anfragen, das der RAS Server überhaupt versucht die CRLs Richtung CA Server abzufragen!?
ZitatDu hast geschrieben, dass die CRL von intern und extern erreichbar ist. Daher habe ich vermutet, dass die CRL irgendwo extern steht. Oder hat die CRL-URL intern eine andere IP-Adresse als extern?
Die CRL ist von extern über einen Reverse Proxy erreichbar, der es dann nach intern zur CA weiterleitet. Die IP, bzw. der Name ist intern sowie extern gleich.
-
Hi Zahni,
der RAS Server steht im DMZ und geht auch nicht über einen Proxy. Der Internetzugriff ist auch blockiert. Es sind nur die Wege ins Interne Netz offen, wie z.B. zur CA und den internen Servern.
DMZ: RASServer -> Firewall -> Firewall -> Internes Netz: CA Server
-
In der Sperrliste stehen nur URLs drin, siehe:
[1]Aktuellste Sperrliste
Name des Verteilungspunktes:
Vollst. Name:
URL=http://xxx.xxx.de/pki/XXXStammzertifizierung(1)+.crldiese Adresse ist auch von extern und intern erreichbar und es wird auch das Sperrlistenzertifikat angezeigt.
-
Microsoft Support hab ich auch schon Kontaktiert, die Antwort war, dass es eine HowTo-Frage sei. Sie würden nur Probleme bearbeiten, die vorher schon mal funktioniert hätten. Ich hab es eskalieren lassen und seit dem nichts mehr gehört! Danke Microsoft!
Ich hab nun den Richard Hicks mal angeschrieben, mal schauen...
-
Hat denn sonst niemand eine Idee, nach was ich noch schauen kann, wenn die Sperrlisten nicht abgerufen werden können?
The revocation function was unable to check revocation because the revocation server was offline
-
Always On VPN ist ja quasi der Nachfolger von Direct Access. Vielleicht hat das noch nie funktioniert!
Hab das gerade mal mit dem Computerkonto sperren getestet. Da der Rechner ja im lokalen Zustand hochfährt und dann erst die VPN Verbindung aufbaut, scheint ihn das sperren des Kontos nicht zu interessieren, ich kann trotzdem überall drauf zugreifen!? Hilft mir also auch nicht weiter!
-
Hallo,
ich bin etwas verzweifelt. Ich habe einen RAS Server für eine AlwaysON VPN Einwahl aufgesetzt. Die Clients wählen sich per IKEv2 Computerzertifikat und Devicetunnel automatisch ein. Dies funktioniert auch ohne Probleme.
Nun möchte ich ein Computerzertifikat sperren (im Fall eines Notebookdiebstahl z.B.). Nachdem ich das Zertifikat gesperrt habe kann sich aber der Client weiterhin einwählen per VPN!? Die Sperrlisten werden einwandfrei verteilt und sind auch von extern sowie intern erreichbar.
Komischerweise bekomme ich immer auf dem RAS Server unter den CAPI2 Eventlog die Meldung: The revocation function was unable to check revocation because the revocation server was offline
Über Certutil kann ich auch ohne Probleme die Sperrlisten vom RAS Server abfragen. Die Verbindung scheint hier also kein Problem zu sein.
Ich verstehe nicht, woran es noch liegen kann. Hat vielleicht jemand schon mal mit einem gleichen Problem gekämpft?
RAS Server - Windows 2019 - steht im DMZ
CA Server - Windows 2016
-
Moin,
hier die Konfig des Ports:
Hauptverwaltung:
interface GigabitEthernet1/0/13
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport voice vlan 20
mls qos trust device cisco-phone
mls qos trust cos
spanning-tree portfastAußenstellen:
interface FastEthernet0/8
switchport access vlan 10
switchport voice vlan 20
mls qos trust device cisco-phone
mls qos trust cos
spanning-tree portfastKabel sind alle in Ordnung, am PC merkt man auch keinen bemerkenswerten Ausfall! Manchmal hängt Outlook, aber ob das jetzt damit was zu tun hat?
-
Die kommen aber momentan auch, wenn der Rechner nicht neu gestartet wird?!
-
Hi,
ich bekomme schon seit längerem auf meinen Switchen z.B.:
(C3750E-UNIVERSALK9-M), Version 12.2(40)SE,
(C3560-IPBASE-M), Version 12.2(35)SE5
egal welches Stockwerk oder auch in Außenstelle die Meldung LINK-3-UPDOWN
An den Ports sind Mini PCs (Zotac Clients mit NIC Realtek) oder auch Laptops (NIC Intel) alle mit Win 7 angeschlossen.
Die Ports stehen alle auf Auto und zeigen auch keine Merkwürdigkeiten!, für mich zumindest!?
GigabitEthernet1/0/13 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 011g.5452.d61d (bia 021g.5420.d70d)
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:00, output hang never
Last clearing of "show interface" counters 8y9w
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 17185123
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 9000 bits/sec, 15 packets/sec
1210559194 packets input, 179098283037 bytes, 0 no buffer
Received 206717 broadcasts (87426 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 87426 multicast, 0 pause input
0 input packets with dribble condition detected
2798061682 packets output, 2760326933566 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
065438: .Dec 10 10:21:40 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to down
065439: .Dec 10 10:21:42 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to up
065440: .Dec 10 10:21:45 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to down
065441: .Dec 10 10:21:46 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/9, changed state to down
065442: .Dec 10 10:21:48 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/9, changed state to up
065443: .Dec 10 10:21:49 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to up
065444: .Dec 10 10:22:17 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to down
065445: .Dec 10 10:22:18 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/9, changed state to down
065446: .Dec 10 10:22:20 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/9, changed state to up
065447: .Dec 10 10:22:21 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/9, changed state to up
065448: .Dec 10 12:52:00 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up
065449: .Dec 10 12:52:01 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/13, changed state to up
065450: .Dec 10 12:52:03 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/13, changed state to down
065451: .Dec 10 12:52:04 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to down
065452: .Dec 10 12:52:07 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up
065453: .Dec 10 12:52:08 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/13, changed state to up
065454: .Dec 10 12:53:32 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/13, changed state to down
065455: .Dec 10 12:53:33 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to down
065456: .Dec 10 12:53:36 MEZ: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/13, changed state to up
065457: .Dec 10 12:53:37 MEZ: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/13, changed state to upKann ich diese Meldungen ignorieren? Oder scheint da was nicht in Ordnung zu sein. Die Meldungen sind weit verbreitet und fast auf jedem Switch zu finden. Oder was kann ich auch dagegen tun? Hat jemand schon mal das Problem gehabt?
-
Bei den lokalen Win 7 Gruppenrichtlinien ist die Einstellung vorhanden!
Was auch komisch ist, jetzt hab ich auf meiner Testdomäne geschaut und da ist auch die Einstellung "Dateien aus der Zwischenspeicherung ausschließen" vorhanden!
Was ist das denn??? :confused:
-
@Norbert:
Die Einstellung hab ich auch, ist aber nicht das selbe, denn die Daten sollen ja auf das Offlineverzeichnis kopiert werden können, aber nur nicht Offline Synchronisiert werden!!
Bei "Datenprüfungen aktivieren" können die Daten erst gar nicht kopiert werden!
-
Da kann ich leider nur einzelne Dateien und Ordner ausschließen! Ich möchte z.B. *.avi ausschließen!
siehe:
http://technet.microsoft.com/de-de/library/ff633429(v=ws.10).aspx#BKMK_ExcludingFilesFromBeingCached bei Gruppenrichtlinieneinstellungen
-
Hi Leute,
ich hab hier ein Problem mit der Offline Synchronisierung:
Ich möchte gerne verschiedene Dateien Ausschließen. Hierzu hab ich auch einen Artikel gefunden, dass man über:
Computerkonfiguration\Administrative Vorlagen\Netzwerk\Offline Dateien
alles soweit einstellen kann! Das Problem ist, nur nicht für Windows 7! Laut dem Artikel soll es hier eine Einstellung geben:
Dateien aus der Zwischenspeicherung ausschließen
Diese Einstellung sehe ich bei mir gar nicht!
Meine Systeme:
AD - Windows 2008 R2
Client - Windows 7 64bit SP1
Muss ich irgendwo im AD noch Windows 7 Optionen aktivieren???
Im Anhang findet ihr die Einstellungen die ich in den GPOs sehe...
-
Hi,
ich hab mal eine Frage bzgl. Wake on LAN!
Wir haben ein Cisco 3570 WS-C3750E-48PD im Einsatz. Hinter diesem Cisco Switch befindet sich ein Unmanaged Switch Cisco SG-102-24 Port!
Ist es möglich PCs per WOL aufzuwecken, die an dem Unmanaged Switch angeschlossen sind??
Am Cisco 3570 ist der Port wie folgt konfiguriert:
interface GigabitEthernet1/0/21
switchport access vlan 10
switchport trunk encapsulation dot1q
switchport trunk native vlan 10
switchport voice vlan 20
mls qos trust device cisco-phone
mls qos trust cos
spanning-tree portfastGruß
-
Hat denn keiner eine Idee??
-
hier gehts weiter...
Aug 11 18:54:18 MESZ: %CAPI_EC-4-RATE_LIMITED: Adding interfaces on WS-X6148-GE-TX to an etherchannel will limit channel throughput to 1 Gbps!
Aug 11 18:54:18 MESZ: %CAPI_EC-4-RATE_LIMITED: Adding interfaces on WS-X6148-GE-TX to an etherchannel will limit channel throughput to 1 Gbps!
Aug 11 18:54:18 MESZ: %CAPI_EC-4-RATE_LIMITED: Adding interfaces on WS-X6148-GE-TX to an etherchannel will limit channel throughput to 1 Gbps!
Aug 11 18:54:17 MESZ: %DIAG-SP-6-DIAG_OK: Module 4: Passed Online Diagnostics
00:00:02: BaseBoard Index:152
00:00:02: DaughterBoard Index:208 (Centralized Forwarding Card)
00:00:02: Gemini Rev#: 3
Firmware compiled 29-Jun-07 15:19 by integ Build [100]
00:00:04: %SYS-CFC2-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS c6lc2 Software (c6lc2-SP-M), Version 12.2(18)SXF10, RELEASE SOFTWARE (fc1)
Technical Support: Support and Documentation - Cisco Systems
Copyright © 1986-2007 by cisco Systems, Inc.
Compiled Fri 13-Jul-07 07:29 by kellythw
*Nov 30 00:00:02.591: CFC2: Currently running ROMMON from S (Gold) region
Aug 11 18:54:29 MESZ: %OIR-SP-6-INSCARD: Card inserted in slot 4, interfaces are now online
Aug 11 18:54:31 MESZ: %DIAG-SP-6-RUN_MINIMUM: Module 2: Running Minimal Diagnostics...
Aug 11 18:54:46 MESZ: %MLS_RATE-4-DISABLING: The Layer2 Rate Limiters have been disabled.
Aug 11 18:54:46 MESZ: %DIAG-SP-6-DIAG_OK: Module 2: Passed Online Diagnostics
Aug 11 18:54:49 MESZ: %STANDBY-6-STATECHANGE: Vlan10 Group 10 state Standby -> Active
Aug 11 18:54:49 MESZ: %STANDBY-6-STATECHANGE: Vlan10 Group 11 state Standby -> Active
Aug 11 18:54:49 MESZ: %STANDBY-6-STATECHANGE: Vlan30 Group 30 state Standby -> Active
00:00:03: BaseBoard Index:227
00:00:03: DaughterBoard Index:218 (Distributed Forwarding Card 3)
Firmware compiled 29-Jun-07 15:19 by integ Build [100]
00:00:28: %SYS-DFC1-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS c6lc2 Software (c6lc2-SP-M), Version 12.2(18)SXF10, RELEASE SOFTWARE (fc1)
Technical Support: Support and Documentation - Cisco Systems
Copyright © 1986-2007 by cisco Systems, Inc.
Compiled Fri 13-Jul-07 07:29 by kellythw
00:00:28: DFC1: Currently running ROMMON from S (Gold) region
Aug 11 18:54:56 MESZ: %DIAG-SP-6-RUN_MINIMUM: Module 1: Running Minimal Diagnostics...
Aug 11 18:54:57 MESZ: %OIR-SP-6-INSCARD: Card inserted in slot 2, interfaces are now online
Aug 11 18:55:16 MESZ: %STANDBY-6-STATECHANGE: Vlan20 Group 20 state Standby -> Active
Aug 11 18:55:16 MESZ: %DIAG-SP-6-DIAG_OK: Module 1: Passed Online Diagnostics
Aug 11 18:55:16 MESZ: %OIR-SP-6-DOWNGRADE_EARL: Module 1 DFC installed is not identical to system PFC and will perform at current system operating mode.
Aug 11 18:55:18 MESZ: %OIR-SP-6-INSCARD: Card inserted in slot 1, interfaces are now online
Aug 11 18:56:07 MESZ: %STANDBY-6-STATECHANGE: Vlan10 Group 11 state Active -> Speak
Aug 11 18:56:07 MESZ: %STANDBY-6-STATECHANGE: Vlan10 Group 10 state Active -> Speak
Hat jemand eine Idee, warum das passiert ist und was ich dagegen machen kann, dass das nicht mehr passiert??
-
Hallo Leute,
Hardware:
cisco WS-C6506-E (R7000)
Cisco Internetwork Operating System Software
IOS s72033_rp Software (s72033_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF10, RELEASE SOFTWARE (fc1)
am Samstag hatte ich ein komisches Phenomen, unser Cisco Router hat ohne Vorwarnung, nach vier Jahren dauerbetrieb, sich einfach neu gestartet, mit folgenden Meldungen im LOG:
Syslog logging: enabled (0 messages dropped, 0 messages rate-limited, 0 flushes, 0 overruns)
Console logging: level debugging, 44 messages logged
Monitor logging: level debugging, 0 messages logged
Buffer logging: level debugging, 44 messages logged
Exception Logging: size (4096 bytes)
Count and timestamp logging messages: disabled
Trap logging: level informational, 60 message lines logged
Logging to 10.90.xx.xx, 60 message lines logged
Log Buffer (10000 bytes):
00:00:58: curr is 0x0
00:00:58: RP: Currently running ROMMON from S (Gold) region
*Aug 11 17:53:31 MEZ: %SYS-6-CLOCKUPDATE: System clock has been updated from 16:53:31 UTC Sat Aug 11 2012 to 17:53:31 MEZ Sat Aug 11 2012, configured from console by console.
*Aug 11 18:53:31 MESZ: %SYS-6-CLOCKUPDATE: System clock has been updated from 17:53:31 MEZ Sat Aug 11 2012 to 18:53:31 MESZ Sat Aug 11 2012, configured from console by console.
Aug 11 18:53:34 MESZ: %SYS-5-CONFIG_I: Configured from memory by console
Aug 11 18:53:36 MESZ: %SYS-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS s72033_rp Software (s72033_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF10, RELEASE SOFTWARE (fc1)
Technical Support: Support and Documentation - Cisco Systems
Copyright © 1986-2007 by cisco Systems, Inc.
Compiled Fri 13-Jul-07 07:29 by kellythw
Aug 11 18:53:36 MESZ: %MFIB_CONST_RP-6-REPLICATION_MODE_CHANGE: Replication Mode Change Detected. Current system replication mode is Ingress
Aug 11 18:53:36 MESZ: %SYS-6-BOOTTIME: Time taken to reboot after reload = 154676838 seconds
00:00:05: %SYS-3-LOGGER_FLUSHED: System was paused for 00:00:00 to ensure console debugging output.
Firmware compiled 29-Jun-07 15:19 by integ Build [100]
00:00:06: %OIR-SP-6-CONSOLE: Changing console ownership to route processor
00:00:07: %SYS-SP-3-LOGGER_FLUSHED: System was paused for 00:00:00 to ensure console debugging output.
00:01:07: SP: SP: Currently running ROMMON from S (Gold) region
00:01:15: %SYS-SP-5-RESTART: System restarted --
Cisco Internetwork Operating System Software
IOS s72033_sp Software (s72033_sp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF10, RELEASE SOFTWARE (fc1)
Technical Support: Support and Documentation - Cisco Systems
Copyright © 1986-2007 by cisco Systems, Inc.
Compiled Fri 13-Jul-07 07:42 by kellythw
*Aug 11 16:53:37 UTC: %OIR-SP-6-INSPS: Power supply inserted in slot 1
*Aug 11 16:53:37 UTC: %C6KPWR-SP-4-PSOK: power supply 1 turned on.
*Aug 11 16:53:40 UTC: %C6KENV-SP-4-FANHPMODE: Fan-tray 1 is operating in high power mode
*Aug 11 16:53:43 UTC: %FABRIC-SP-5-CLEAR_BLOCK: Clear block option is off for the fabric in slot 5.
*Aug 11 16:53:43 UTC: %FABRIC-SP-5-FABRIC_MODULE_ACTIVE: The Switch Fabric Module in slot 5 became active.
*Aug 11 18:53:45 MESZ: %DIAG-SP-6-RUN_MINIMUM: Module 5: Running Minimal Diagnostics...
Aug 11 18:54:08 MESZ: %DIAG-SP-6-DIAG_OK: Module 5: Passed Online Diagnostics
Aug 11 18:54:09 MESZ: %OIR-SP-6-INSCARD: Card inserted in slot 5, interfaces are now online
Aug 11 18:54:09 MESZ: %DIAG-SP-6-RUN_MINIMUM: Module 4: Running Minimal Diagnostics...
-
Hallo,
danke für die Hilfe, hab jetzt die GPO von Hand neu angelegt und werde wohl Schritt für Schritt die Richtlinien übernehmen, bis jetzt läufts noch schnell ;)
AD Abfrage mit Ausnahmen
in Windows Forum — Scripting
Geschrieben
Habs hinbekommen, so funktioniert es....
$group = Get-ADGroup "CN=UG-User-TEST,OU=HV,DC=xxxint,DC=local"
Get-ADUser -SearchBase "DC=xxxxxint,DC=local" -Filter "sAMAccountName -like 'xx*'" -Properties * | Where-Object {($_.Description -Notlike "Student") } | Add-ADPrincipalGroupMembership -MemberOf $Group