CoolAce

Alle möglichen Zertifikate, je nach Rolle, aber nicht diesen Thumbprint

Vielen Dank für eure schnelle Hlfe. Mit get-exchangecertificate sehe ich das nicht,kann es sein das er das schon gelöscht und automatisch ein neues abgeholt hat? Was genau macht dieses STARTTLS-Zertifikat ?

Hallo zusammen, ich suche seit gestern bei einem Kunden fieberhaft nach dem Problem bzw. verstehe es nicht. Ich bekomme die Meldung vom Kunden: Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: srvmail.firma.mail, Fingerabdruck: GD871F1F1ECBC000E188FA32GF3D6B932DC6E4, verbleibende Stunden: 754. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um ein neues Zertifikat zu erstellen. Ich finde aber wenn ich über die Powershell mir die Zertfiikate anzeigen lasse nix mit STARTTLS . Wo genau ist das Zertifikat und wie sehe ich das ? Kann mir einer kurz bitte erklären was genau der damit macht, hab die Googel Erklärungen nicht verstanden. Gruß Coolace

vielen Dank für die Unterstützung, der Ansatz von Testperson gefällt mir und könnte helfen :-)

Hallo zusammen, ich habe einen Kunden der ca. 100 User hat und 3 Trusted Domänen und darunter welche mit abweichender primärer SMTP Adresse, d.h. viele haben per Richtlinie alle 3 Domänen als smtp Adresse und Firma.com als primäre und einige haben als primäre andereDomäne.com :-( In der Suche vom Forum habe ich folgendes gefunden http://www.mcseboard.de/topic/200828-smtp-adresse-abfrage-publicfolder-via-powershell/?hl=smtp+adresse&do=findComment&comment=1251892 das hat mich aber nicht weitergebracht Wie kann man sowas lösen ? Gruß Coolace

Danke für deine zahlreichen Hinweise und die Unterstützung. :) :thumb1:

vielen Dank für die Infos, das Wissen stammt aus eine Hyper-V MOC Kurs für 2008 und beim 2012 wurde das nicht so explizit angesprochen. Noch mal für die Info und im Grunde hat NilsK ja Recht mit seiner Aussage. Zu einem Punkt hätte ich gerne noch eine Erklärung : SMB 3.0 empfiehlt sich für Hyper-V nur, wenn es über einen Windows-SoFS bereitgestellt wird. Andere Hersteller schreiben ja rein das Sie das Supporten , warum genau ist deiner Meinung nach Windows-SoFS die beste oder einzige Lösung ?

Sorry, es geht hierbei um einen EMC Storage. Ich habe noch eine Frage, bei FC hab ich mich damals daran an die MS Empfehlung gehalten und pro VM 1 LUN. Wie sieht es hier aus, gibt es hierzu Empfehlungen von MS ? Gruß Coolace

Dankeschön für die Information :)

vielen Dank für die Hinweise. Es handelt sich hierbei nicht um ein Windows-SoFS und danke für den Hinweis mit dem Gedankenfehler im Punkt CSV. Das würde mir die Migration schon mal erheblich vereinfachen. Ich schau noch mal nach einem Link wie genau das mit dem SMB3.0 Hyper-V Cluster technisch aussieht. Kurze Frage noch zu dem bestehenden Quorum, kann ich das entsprechend zum Schluss umziehen indem ich im Failover Cluster unter Weitere Aktionen auf Clusterquorumeinstellungen konfigurieren gehe und dort mittels Assistent die neue Freigabe fürs Quorum eingebe ?

Hallo zusammen, Danke erstmal für eure Infos. Das Problem ist das ich nicht sicher bin ob ich hierbei was Grundlegendes übersehe in meinem Plan. Hierzu auch die Fragen die mich beschäftigen, 1) muss ich alle 18 VMs gleichzeitig umstellen oder kann ich einen Node noch über FC auf dem einen SAN und dann den anderen über SMB auf den anderen fahren mit unterschiedlichen CSV 2 ) Was mach ich mit meinem Quorum ? Einfach rüberkopieren ? Das neue Storage habe ich vorab beim Hersteller geprüft und das kann SMB3.0 vollständig Gruß Coolace

Hallo zusammen, ich stehe bei einem Kunden vor der Aufgabe einen 2012 R2 2 Node Cluster mit CSV, wo das Quorum und die VM auf einem zentralen Storage liegt auf ein neues umzuziehen. Das neue Storage ist schon vor Ort installiert . Bis jetzt war die Anbindung zwischen Server und Storage über eine FibreChannel Infrastruktur gelöst. Der Kunde will die Stück für Stück auflösen. Wie macht man das so am geschicktesten ? Wie mach ich das am geschicktesten mit dem Quorum ? Mein Plan bis jetzt. VM rüberschicken , SMB installieren, Berechtigungen setzen auf SMB Freigabe Filer Gruß Coolace

ich sehe das auch etwas getrennt VPN und VDI. Ich denke der größte Mehrwert der VDI Lösung liegt nur darin mögliche Hardware einzusparen wenn man ThinClients einsetzt und sobald man eine saubere VPN Lösung hat ist dies sag ich mal noch ein Sahnehäupchen an Security mehr wegen dem Datenabzug.

Es geht mir in dem Punkt nicht um Umsatz und Verkaufen sondern um eine realistische Einschätzung, man will ja Kunden länger behalten @Dunkelmann: Gebe ich dir Recht, Sicherheit besteht aus vielen, vielen Punkten mehr. Hier will ich nur diesen kleinen Punkt betrachten und den Mehrwert zu VPN always on noch zusätzlich VDI einzuführen. (unabhängig von welchem Hersteller)

Guten Morgen, erstmal vielen Dank für die Beteiligung aller. @Dunkelmann, ja ist ein gutes Argument da ich die Zwischenablage und alles so sperren kann das kein Abzug der Daten möglich ist, da beim Kunden im Unternehmen die USB Ports offen sind könnte der User im Zweifel die auch dort abziehen. Gibt es sonst noch Argumente warum VPN always on nur mit Firmengeräte und diese Verschlüsselt nicht reicht als Security Punkt ? Gruß Coolace

Hallo zusammen, ich hätte gern kurz eure Meinung. Der Kunde plant zur Absicherung der Daten beim Zugriff von außen eine VDI Lösung zu implementieren, gleichzeitig hat er eine VPN Umgebung aufgebaut wo nur Firmengeräte via always on vpn verbinden können, der Grund mehr Security. Meiner Meinung nach sehe ich da kein Mehrwert an Security bei der Einführung der VDI Lösung außer das mehr Geld weg ist. Wenn ich always on vpn habe und die Clients ja selber manage wozu die VDI ? Übersehe ich da was ? Gruß Coolace

Hallo matze-it Das lustige ist, das sellbe Problem habe ich bei einem Win8.1 User wo das Problem mit dem Reboot nicht verschwindet. Merkwürdig :nene: LG Coolace

Meinem Verständnis einem TechNet Artikel nach wird es nur genutzt wenn DNS nicht implementiert ist oder der Client den DNS Server nicht erreichen kann, so probiert er WINS und LLMNR. Wireshark wäre eine Möglichkeit , ich müsste es aber auf 200 PC dann testen.

Hallo zusammen, ich bin gerade dabei mich mit einem Problem an einem Win8.1 DEV Client zu beschäftigen der einen SQL Server installiert hat und eine Entwicklungsumgebung. Wenn man sich per Skript eine DB baut dauert es bis zu 5 Stunden, nach langem Suchen und hin und her und verschiedenen SQLServer Versionen bin ich dahintergekommen das es hilft wenn man LLMNR deaktiviert, dann dauert es nur noch 30 Minuten. Gibt es bezüglich dem globalen deaktivieren von LLMNR über den Punkt Multicastnamensauflösung deaktivieren in der GPO etwas was man beachten sollte bzw. Probleme in die man rennt ? Gruß Coolace

Perfekt, ich danke allen beteiligten für die Hilfe und Unterstützung :-)

Das habe ich nun verstanden und vielen Dank für den Tipp und gleichzeitig Lösung. Ich bin mir nur bei einem Punkt nicht sicher, muss ein Service Account Zertifikate automatisch erneuern können um Einwandfrei arbeiten zu können?

Das mit der GPO klingt nach einem guten Ansatz, ich prüfe das mal. Könnte ich noch einen kleinen Tipp haben wo umgefähr ich die wieder finde ? Ich habe die Richtlinie gefunden beim Kunden, in der Benutzerkonfiguration unter Zertifikatdienstclient - Einstellungen für automatische Registrierung. Die ist aktiv, mir fehlt nur noch geistig der Zusammenhang zu der Meldung Noch eine Frage dazu, müssen Service Accounts Zertifikate automatisch erneueren ?

Gebe ich dir Recht

Hallo zusammen, ich habe folgenden Eintrag von einem Kunden bekommen, bei einem Service Account und komme nicht dahinter was genau falsch beim Kunden konfiguriert wurde. Ich suche seit 3 Wochen aber stehe im Wald, über Tipps oder Links würde ich mich freuen OS:2008 R2 mit allen Patche Dies kommt vom DC Eventlog und vom Memberserver Protokollname: Application Quelle: Microsoft-Windows-CertificationAuthority Datum: 17.03.2016 10:11:42 Ereignis-ID: 53 Aufgabenkategorie: Keine Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: SYSTEM Computer: DC1 Beschreibung: Die Anforderung 11333 wurde abgelehnt, da Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374). Die Anforderung war für Domäne\SRVACCount01. Weitere Informationen: Verweigert vom Richtlinienmodul Ereignis-XML: <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" /> <EventID Qualifiers="33370">53</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <EventRecordID>1762312</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer></Computer> <Security UserID="S-8-3-44" /> </System> <EventData Name="MSG_DN_CERT_DENIED_WITH_INFO"> <Data Name="Reason">Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374)</Data> <Data Name="SubjectName">Domäne\SRVACCount01</Data> <Data Name="AdditionalInformation">Verweigert vom Richtlinienmodul</Data> </EventData> </Event> Service Accounts haben ja nicht zwingend eine Mail Adresse. LG Coolace

Nein ,wieso SPAM? Der Account ist definitiv nicht gehackt. Anscheinend habe ich gegen etwas verstoßen bezüglich der Boardregeln, dafür sorry