Jump to content

Apex

Members
  • Gesamte Inhalte

    86
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

11 Neutral

Über Apex

  • Rang
    Junior Member
  1. Nochmal zur Erläuterung: Ich teste in einer isolierten Domäne (1 DC) ca. 20 bis 25 mal eine Anbindung einer Software gegen AD/LDAP. Das hier LDAPS verwendet wird ist nur der Transportweg und für das Vorhaben uninteressant: Ich teste nichts in Richtung Verschlüsselung, Schlüssellängen, Encryption Types etc. Es geht wirklich nur um die AD Anbindung an einen DC in einer Testumgebung, die ca. 2 Tage Bestand hat. Für das Vorhaben finde ich die Methode ausreichend. Wenn die zwei Skripte anderen helfen, dann bin ich schon zufrieden.
  2. Nicht mal für eine Test- oder Entwicklungsumgebung? Das für produktive Umgebung eine vertrauenswürdige CA oder eine eigene PKI der beste Weg ist, sollte klar sein.
  3. Ja, das hätte was. Nur habe ich keine. Wenn ich mir das Prozedere so ansehe, das zum Erfolg geführt hat, dann ändere ich das voraussichtlich bald... Der Artikel hat leider nicht zum Erfolg geführt im Zusammenhang mit LDAPS. Das hier hat dann geklappt, nach vielen Fehlversuchen: https://blog.jayway.com/2014/09/03/creating-self-signed-certificates-with-makecert-exe-for-development/ Die Kurzfassung: - Benötigt werden die beiden ausführbaren Dateien makecert.exe und pvk2pfx.exe aus dem Microsoft Windows SDK for Windows 7 and .NET Framework 4 - Mit makecert.exe ein root certificate (Root CA/Wurzelzertifikat) erstellen, um weitere Zertifikate erstellen zu können: makecert.exe ^ -n "CN=CARoot" ^ -r ^ -pe ^ -a sha256 ^ -len 4096 ^ -cy authority ^ -sv CARoot.pvk ^ CARoot.cer pvk2pfx.exe ^ -pvk CARoot.pvk ^ -spc CARoot.cer ^ -pfx CARoot.pfx ^ -po Test123 Den gewünschten Namen für die Root CA eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. - Mit makecert.exe im zweiten Schritt ein Zertifikat für die Server Authentifizierung erstellen: makecert.exe ^ -n "CN=fqdn.domaenencontroller.de" ^ -iv CARoot.pvk ^ -ic CARoot.cer ^ -pe ^ -a sha256 ^ -len 4096 ^ -b 01/01/2018 ^ -e 01/01/2028 ^ -sky exchange ^ -eku 1.3.6.1.5.5.7.3.1 ^ -sv %1.pvk ^ %1.cer pvk2pfx.exe ^ -pvk %1.pvk ^ -spc %1.cer ^ -pfx %1.pfx ^ -po Test123 Den FQDN des Domänencontrollers eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. Wichtig ist die OID 1.3.6.1.5.5.7.3.1 und die Angabe der CA Root-Datei, die im ersten Schritt erzeugt wurde. Das wars: Im letzten Schritt die beiden Zertifikate an die passende(n) Stellen importieren: Das Wurzelzertifikat muss in der Zertifikatsverwaltung (MMC>Certificates) in den Zweig Trusted Root Certification Authorities. Das Zertifikat selbst unter Certificates (Local Computer/Personal/Certificates) sowie unter Certificates - Service (Active Directory Domain Services) unter NTDS\Personal importieren. Dann eine kurze Prüfung mittels ldp.exe durchführen und mit Port 636 verbinden, wenn das klappt und der AD DS antwortet hat man es geschafft. Ich hoffe das hilft jemanden weiter, mir haben 99% aller Anleitungen leider nicht geholfen außer der von Elizabeth Andrews (siehe Link oben).
  4. Hallo für eine eigenständige Testumgebung ohne CA will ich LDAPS bei einem Domänencontroller aktivieren. Dazu mache ich mir mit makecert.exe aus dem Microsoft SDK ein Root CA Zertifikat, danach ein passendes Server Zertifikat für den Zweck 1.3.6.1.5.5.7.3.1 zur Server Authentifizierung. Das Root CA Zertifikat spiele ich unter Certificates (Local Computer) sowie Certificates - Service (Active Directory Domain Services) ein unter Trusted Root Certification Authorities bzw. NTDS\Trusted Root Certification Authorities. Das Zertifikat selbst sieht danach passend aus und ist gültig, dieses importiere ich unter Certificates sowie Service (Active Directory Domain Services) unter Personal bzw. NTDS\Personal. Nach einem Neustart erwarte ich nun, dass ich mit ldp.exe eine Verbindung mit Port 636 herstellen kann. Pustekuchen, das geht nicht. Warum, was läuft hier verquer? Danke
  5. Schön, nur geht das nicht mit Windows Server 2016 aus dem Marketplace. Aktuell behelfe ich mir damit eine Windows Server 2016 DVD zu mounten, dann zum Verzeichnis sources\sxs zu gehen und dort die ca. 70 MB große Datei microsoft-windows-netfx3-ondemand-package.cab nach Azure hochzuladen.
  6. Leider das gleiche Ergebnis: Error: 0x800f081f The source files could not be found. Ich möchte mir möglichst das besorgen und hochladen sparen. Das ist nicht nur umständlich sondern kann auch nicht Sinn der Sache sein. Es gibt sicherlich eine Lösung, die Cloudfreundlich ist das hoffe ich zumindest. Danke
  7. Danke für den Workaround, das kann ich zur Not tun. Ich hoffe das geht eleganter...
  8. Active Directory mit Azure AD - DNS?

    Danke, im Prinzip ist dann Azure nur eine weiterer Standort (AD Site), verstanden.
  9. Hallo ich versuche erfolglos das .Net Framework 3.5 auf einen Windows Server 2016 (Pay-as-you-go ohne BYOL) in Azure zu installieren. Das bedeutet ich habe keinen Datenträger um diesen als Quelle anzugeben. Wie kann ich das realisieren? Danke
  10. Active Directory mit Azure AD - DNS?

    Hi Gadget Ok, cool: Das bedeutet ich nutze ein Site-to-site VPN und nutze die DNS Server an meiner Location. Zur Sicherheit nehme ich noch einen DC mit DNS in Azure auf und gebe dort als zweiten DNS Server für die Server in der Cloud diesen DC an. Passt das? Danke
  11. Active Directory mit Azure AD - DNS?

    Hallo wie sieht eigentlich die DNS Struktur aus, wenn man sein Active Directory in die Cloud erweitert? Das AD DS ist on premise, man verwendet dann Azure AD und AD Connect, soweit so gut, das habe ich verstanden. Wie sieht das damit aus, dass man virtuelle Maschinen in Azure betreibt, die domain joined sind? Die DNS Server sind integriert in den DCs on prem, das bedeutet ich gebe als primären und sekundären DNS Server in den Azure VMs jeweils einen DC an, der dann eine public facing IP benötigt. Richtig? Danke
  12. Neue Forensoftware/-design

    War schon länger nicht mehr im Forum und bin über den Newsletter auf Eure Renovierungsaktion aufmerksam geworden. Alter Schwede, da habt ihr ganz schön umgeräumt und kernsaniert, alle Achtung. Sieht super aus, läuft flüssig, gefällt mir sehr.
  13. Hallo aktuell stehe ich wie der Ochs vor'm Berg: Braucht ein WSUS Downstream Server als abgesetzter WSUS eine eigene SQL Datenbank? Besser wäre für mein Szenario ein "nein", nur kann ich mir gerade nicht vorstellen, wohin der Downstream Server seine Konfiguration und Informationen speichert - außer er sendet diese über das Netz an den Upstream, der das in seine DB schreibt... Danke
  14. UPnP - Port forwarding verhindern?

    Das ist sehr Schade, vor allem, dass die Windows Firewall hier zahnlos ist. :(
  15. UPnP - Port forwarding verhindern?

    Nein, ein Neustart aller beteiligten Geräte nützt leider nichts. Ebenso hilft es nicht den UPnP und den SSDP Service am Windows zu stoppen oder in der Windows Firewall jeglichen UPnP Verkehr zu blockieren. Windows lässt fleissig Ports freigeben auf der Fritzbox und das muss nun wirklich nicht sein. Der Sohn möchte aus nachvollziehbaren Gründen spielen und so dachte ich mir: Besser Du trennst PC (Lernen) und PlayStation (Spielen). So weit so gut, die PS4 braucht aber bei mir Port Forwarding, um ideal Online zu gehen oder Multiplayer zu nutzen. Die Ports einzeln freizugeben würde bedeuten permanent und auf Verdacht lt. Quellen 17 TCP und 5 UDP Ports weiterzuleiten. Per UPnP registrierte sich PS4 lediglich 1 TCP und 1 UDP Port für das Spiel, das der Sohnemann derzeit am Liebsten spielt. Von daher finde ich UPnP in diesem Fall recht charmant. Ein Online-portscan (heise etc.) brachte keine Sicherheitslücke laut den Tests. Bleibt nur der Windows PC, den ich abdichten möchte. Aber wie?
×