pressi

Hallo,

dank dir für den Link, aus dem Bauch raus, würde ich vermuten dass die Lösung dort passen könnte.

Wir werden uns dass heute mal ansehen.

Der VPN Server ist üprigens eine CISCO ASA, dies ist der Grund für das unterschiedliche Verhalten zwischen den DC`s untereinander und zwischen VPN Server und DC`s.

Grüße

Hallo,

seit einigen Tagen funktioniert unser SLDAP (Port 636) Zugriff auf beide Domaincontroller nicht mehr, LDAP funktioniert.

Aufgefallen ist dies, da die SLDAP Auth per externer VPN Verbindung gescheitert ist.

Die SLDAP Verbindung zwischen den 2 DCs funktioniert fehlerfrei.

Eine SLDAP Verbindung von einem Windows Client zu einem der DCs scheitert. Die Firewall der DCs wurde testweise abgeschaltet. Routingprobleme auf Portebene konnten auch ausgeschlossen werden (Ereignisanzeige zeigt ja auch an, dass das Packet ankommt).

Bereits auschließen (zumindest theoretisch) konnten wir die Cipher Auswahl, wir haben hier Clientseitig und Serverseitig mehrere Ciphers gefunden, die eine Verbindung ermöglichen würden.

Anbei die Ereignisanzeige des Windows Servers und im Anhang dazu passend ein ucap Screenshot des Handshakes von VPN Server zu DC (welcher identisch ist mit einem Verbindungstest von Windows Client zu einem DC).

Computer:      DCxx.xx.xx
Beschreibung:
Eine TLS 1.2-Verbindungsanforderung wurde von einer Remoteclientanwendung übermittelt, jedoch werden keine der Verschlüsselungssammlungen, die von der Clientanwendung unterstützt werden, vom Server unterstützt. Fehler bei der SSL-Verbindungsanforderung.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36874</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73563</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxx.xx.xx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="Protocol">TLS 1.2</Data>
  </EventData>
</Event>

Protokollname: System
Quelle:        Schannel
Datum:         19.06.2017 09:27:29
Ereignis-ID:   36888
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:
Benutzer:      SYSTEM
Computer:      DCxx.xx.xx
Beschreibung:
Es wurde eine schwerwiegende Warnung generiert und an den Remoteendpunkt gesendet. Dies kann dazu führen, dass die Verbindung beendet wird. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 40. Der Windows-SChannel-Fehlerstatus lautet: 1205.
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Schannel" Guid="{xxx}" />
    <EventID>36888</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2017-06-19T07:27:29.570208000Z" />
    <EventRecordID>73564</EventRecordID>
    <Correlation />
    <Execution ProcessID="560" ThreadID="6716" />
    <Channel>System</Channel>
    <Computer>DCxxx.xxx.xxx</Computer>
    <Security UserID="xxx" />
  </System>
  <EventData>
    <Data Name="AlertDesc">40</Data>
    <Data Name="ErrorState">1205</Data>
  </EventData>
</Event>

Hat jemand einen Tip? Wir haben uns an dem Problem etwas festgefressen und uns gehen so langsam die Ideen aus.

Grüße Pressi

Hallo,

Super - genau sowas habe ich gesucht.

Danke :-)

Hallo,

Ich suche nach einer Funktion, um zum Beispiel der Personalabteilung, es zu ermöglichen die folgenden LDAP Felder zu editieren:

Raum, Telefon, Business Role, Bussiness Category

GAL bietet leider keine Bussiness Objekte.

Die Lösung sollte möglichst einfach zu bedienen sein und ggf. Auf die entsprechenden Felder reduziert werden können um eine Fehlbedienung ausschließen zu können.

Kennt jemand ein geeignetes Tool oder eine passende Lösung?

Grüße Pressi

anbei 2 Screenshots - ich glaub so wird der Stand etwas deutlicher.

SMIME Plugin ist installiert.

Verschlüsselte Emails lesen ist möglich.

Versenden einer signierten oder verschlüsselten Email wirft eine Fehlermeldung ab - Zertifikat nicht gefunden.

In den SMIME Einstellungen innerhalb OWA, wird bei manueller Auswahl kein Zertifikat angezeigt.

Danke nochmals.

Ich starte OWA mit IE 11 - beim lesen scheint er das hinterlegte Zertifikat zu finden. Verschlüsselte Emails kann ich öffen, diese werden korrekt angezeigt.

Hallo Norbert,

sorry für die etwas verstätete Rückmeldung - ich war die letzten Tage etwas beschäftigt. Anbei die Daten:

Name    Edition AdminDisplayVersion
----    ------- -------------------
Mail1 Standard Version 8.3 (Build 83.6)
Mail2  Standard Version 15.0 (Build 847.32)

----- Daten Mail2 -----

Major                     : 15
Minor                     : 0
Build                     : 847
Revision                  : 32
FilePatchLevelDescription :

Interessant ist nur der Server Mail2 - hier soll OWA mit S/MIME laufen. Der alte Exchange Mail1 wird demächst abgeschaltet.

Vielen Dank und Gruß

Pressi
 

Hallo Norbert,

vielen Dank für deine Infos. Das andere Board war Administrator.de

Leider haben mich deine Links nicht näher an das Ziel geführt.

Zum 1. Link: Ich konnte ausschließen, dass die SMIME-Config auf dem Exchange zertifizierte Emails verbietet.

OWAIncludeSMIMECapabilitiesInMessage habe ich versuchsweise aus true gestellt, jedoch ohne Auswirkung.

Die Einstellung sehen für mich gut aus:

OWACheckCRLOnSend                                : False
OWADLExpansionTimeout                            : 60000
OWAUseSecondaryProxiesWhenFindingCertificates    : True
OWACRLConnectionTimeout                          : 60000
OWACRLRetrievalTimeout                           : 10000
OWADisableCRLCheck                               : False
OWAAlwaysSign                                    : False
OWAAlwaysEncrypt                                 : False
OWAClearSign                                     : True
OWAIncludeCertificateChainWithoutRootCertificate : False
OWAIncludeCertificateChainAndRootCertificate     : False
OWAEncryptTemporaryBuffers                       : True
OWASignedEmailCertificateInclusion               : True
OWABCCEncryptedEmailForking                      : 0
OWAIncludeSMIMECapabilitiesInMessage             : False
OWACopyRecipientHeaders                          : False
OWAOnlyUseSmartCard                              : False
OWATripleWrapSignedEncryptedMail                 : True
OWAUseKeyIdentifier                              : False
OWAEncryptionAlgorithms                          : 6610
OWASigningAlgorithms                             : 8004
OWAForceSMIMEClientUpgrade                       : True
OWASenderCertificateAttributesToDisplay          :
OWAAllowUserChoiceOfSigningCertificate           : True
SMIMECertificateIssuingCA                        :
SMIMECertificatesExpiryDate                      :
SMIMEExpiredCertificateThumbprint                :
AdminDisplayName                                 :

Zum 2. Link: Die Nutzung eines externen Tools ist nicht unbedingt gewünscht, Mail Gruppen sind auch in diesem Fall nicht erforderlich.

Zum 3. Link: Bin dich durch gegangen, unsere Certs sind gekauft und auch entsprechend eingebunden wie beschrieben. Konnte hier ebenfalls nichts finden.

Hast du vielleicht noch einen Tip für mich?

Dank dir vielmals.

Pressi

Hallo,

ich möchte gerne signierte Emails per OWA verschicken. Ein gültiges Zertifikat ist installiert und wird auch erfolgreich mit Outlook genutzt.
Per OWA wurde S/MIME nachinstalliert.

Versende ich nun eine signierte Email per OWA, er halte ich folgende Meldung:

Fehler beim Signieren dieser S/MIME-Nachricht. Es wurde kein Zertifikat gefunden. Wenn Sie über ein Zertifikat auf Smartcard-Basis verfügen, führen Sie die Karte ein, und versuchen Sie es erneut.

Über die OWA Einstellungen -> S/MIME, habe ich testweise die Option "Auswahl des besten Zertifikates" deaktiviert um manuel mein Zertifkat auswählen zu können.
Über Zertifikat auswählen, wird hier nur angezeigt "Es wurde kein Zertifkat gefunden..."

Bei meiner Recherche bin ich auf folgenden Artikel gestossen: https://support.microsoft.com/de-de/kb/2497165
Der SMTP User ist jedoch korrekt angegeben.

Wie beschrieben, läuft es mit Outlook problemlos (auf dem gleichen Rechner) Zertifikat wird auch unter "Eigene Zertifikate" angezeigt.

Problem tritt auf Exchange 2013 wie auch auf dem derzeit noch laufenden alten Exchange 2007.

OWA war in der Vergangenheit für die User deaktiviert, es handelt sich hierbei also nicht um einen "neuen Fehler", ich gehe davon aus, dass dies noch nie funktioniert hat.

Ich hatte bzgl. des Zertifikatszugriffs von OWA auch eine nette Anleitung im Web gefunden: https://tu-dresden.de/zih/dienste/service-katalog/zusammenarbeiten-und-f ...

Hier wird verwiesen, dass im Prinzip über OWA (Plugin SMIME) das Zertifikat ausgewählt wird, welches lokal unter "Eigene Zertifikate" angezeigt abgelegt ist.

Ich vermute, dass es hier noch eine weitere Hürde gibt, die zu nehmen ist - und mir unbekannt ist.

Vielleicht hat hier noch jemand einen Tip für mich.

Vielen Dank und Grüße.

Pressi

PS: falls jemand quer liest, ich habe diese Anfrage auch in einem anderen Forum gestellt. Steinigt mich nicht ;-)

Hallo,

ich habe eine Frage zu den Lizenzmodellen von Microsoft. Ich bereite mich gerade auf die 70/210 vor und bin bei der Lizenzwahl "pro Server und pro Clients" hängengeblieben.

Hat jemand einen guten Link, der das genau erklärt?

Danke im vorraus

Gruß, Thorsten