steppe

Hallo, Plan ist es sowohl die WLAN als auch die LAN Authentifizierung über den NPS laufen zu lassen. Wenn das natürlich schwieriger sein sollte, könnte ich natürlich auch nur mit dem Computer Zertifikat arbeiten und nicht mit dem Benutzerzertifikat. Das wird ja aufjedenfall im lokalen Speicher gespeichert. Bisher haben wir eine Authentifizierung fürs WLAN über PEAP. Problem ist nur, dass findige Angestellte mit ihren Iphones/Ipads in das UnternehmensWLAN kommen. Das wäre mit den Zertifikaten erstmal unterbunden. Hast du schonmal eine LAN/WLAN Auth nur mit NPS und Zertifikaten realisiert ? Grüße Stephan

Hi olc, danke. Ich will auf lange Sicht die Authentifizierung mit Zertifikaten machen, daher würde ich natürlich die Benutzerzertifikate im lokalen Store benötigen. Dann muss ich mir das nochmal genauers anschaun. Danke. Grüße Stephan

Hallo, ich habe leider nichts dazu finden können. Ich habe testweise bei mir das Autoenrollment aktiviert. Das Benutzerzertifikat ist so konfiguriert (doppelte Vorlage), dass das Zertifikat in der AD gespeichert wird (was es auch macht) und nicht mehr registriert wird wenn vorhanden. Nun habe ich das Problem, dass ich 2 Clients habe (Notebook und PC). Der PC war als erster dran und hat sich das Computercert und das Benutzerzert registriert und in den lokalen Speicher geschoben. Das Notebook kam als zweites, hat sich natürlich das Computercert registriert und das Benutzercert ausgelassen, da schon vorhanden. Allerdings zieht es sich das in der AD vorhandene Usercert nicht in den lokalen Speicher ?! Ist das by Design so oder hab ich einfach vergessen irgendwo einen Haken zu setzen? Grüße Stephan

Hallo, ist zwar nur geraten, aber den Eintrag für die exe des HP Monitors aus dem RUN des default users entfernen. Der Treiber druckt auch ohne dem Monitor. Grüße Stephan

Die mehr oder weniger begabten Schüler sind sowieso man-in-the-middle ;) @xcode-tobi Daher ja auch dyndns (auf beiden seiten)

Hallo Ulrich, das lässt sich leider nicht so einfach beschreiben ohne den Hersteller der Firewall/des Routers und dessen Fähigkeiten zu kennen. Kurz und knapp aber so: Auf Router der mit dem Internet verbunden ist wird konfiguriert= Wenn Anfrage auf Port 3389 aus Internet dann Anfrage weiterleiten an Port 3389 an IP Adresse Server Auf deinem Notebook den Remotedesktopclient aufrufen und die externe IP des Routers eingeben (Wenn dynamische IP mit Dyndns Hosts arbeiten) Fertig. Komplizierte Passwörter und ein deaktivierter Standard Admin Account sind aber (in diesen Zeiten ;) ) Voraussetzung. Ein weiteren Sicherheitspunkt könntest du bekommen wenn du Anfragen auf diesen Port nur von einer bestimmten IP zulässt (deine externe IP von deinem Notebook). Heimrouter können sowas aber meistens nicht. Da könntest du aber dann die Firewall des Servers bemühen. Grüße Stephan

Hallo, das ganze kannst du über Teamviewer machen (mit etwas Geld) oder aber mit einer Portweiterleitung auf der Firewall zum Server und dort Remotedesktop aktivieren. Sichern würde ich es aber (je nach Firewall) so, dass RDP Anfragen nur von bestimmten IPs angenommen werden (Stichwort DynDns Host). Grüße Stephan

Danke für eure Hilfe. Dann passt ja alles. Außer eine gescheite Anzeige in W7. Jeder Test hat immer den DC am jeweiligen Standort gezogen. Also doch nichts kaputt gemacht :D Grüße Stephan

Hehe Nils, das ist mir auch schon aufgefallen. Aber das komische ist, dass diese Fehlanzeige nur bei W7 Clients auftritt (war nun kein großer Test .. nur mit 2 W7 notebooks und 2 XP notebooks). Selbst mein W2k8R2 SP1 Spielserver findet den Standort :) Ich test das morgen nochmal alles durch. Es geht eigentlich nur drum dass das NETLOGON Share 100 % vom nächstennäherend DC geöffnet wird und das auch sicher ist :) Grüße und Gut Nacht Stephan

Hallo olc, danke für deine Antwort. Dein Befehl gibt die richtige Site zurück (mein VPN Subnetz ist dem Standort zugewiesen wo die FW steht). Aber sollte das bei einem gpresult auch nicht einfach passen ? Wie ist es denn dann wenn ich zum Beispiel auf die NETLOGON Freigabe zugreife über \\domainname.local\netlogon ? Ich hatte eigentlich angenommen er löst dann immer zu einem nächsten DC auf. Grüße Stephan

Hab noch ein wenig rumgespielt. Seltsamerweise gibt ein gpresult auf einem XP Notebook den richtigen Standort zurück. Windows 7 verhält sich wie oben. ABER: In der W7 Registry steht bei DynamicSiteName auch der richtige Standort ?!? Warum pingt er dann bei domainname.local einen beliebigen an ? By design kann das nicht sein ;) Grüße Stephan

Hallo zusammen, seit kurzem (vor etwa 3 Monaten ging es noch) finden die Clients ihre Standorte nicht mehr. Wenn ich gpresult /r ausführe bekomme ich ein Standort: Nicht zutreffend zurück. Wenn ich nltest /dsgetsite eingebe wird der Client aber richtig zugeordnet. Beim ping auf domainname.local bekomme ich wahlweise irgendein DC zurück. Ich befürchte dass es mit der "Umstellung" des _msdcs zu tun hat. Wie in How to reconfigure an _msdcs subdomain to a forest-wide DNS application directory partition when you upgrade from Windows 2000 to Windows Server 2003 beschrieben. Die Subnetze sind alle richtig konfiguriert. Ein neuer Domaincontroller, den ich letzte Woche hochgezogen hatte, hatte sich auch direkt dem richtigen Standort zugeordnet. Wo kann ich sehen wanns schief geht ? EDIT: Server findet aber seinen Standort. Falls das noch wichtig ist. Grüße Stephan

Hallo, Für die bestehenden DCs hab ichs ja auch mit dem Befehl durchgeführt. Danke für den Link zur MS Seite den hab ich wohl übersehn. Dann werd ich das heut mal durchführen. Grüße Stephan

Servus, ich habe vor kurzem einen DC neu aufsetzen müssen. Vor etwa einem halben Jahr habe ich die strikte Replikationskonsistenz auf allen DCs aktiviert und die veralteten Einträge gelöscht. Laut Anleitung: LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte) Nun schaue ich auf den neuen DC und die Option ist wieder nicht gesetzt. Es handelt sich um einen Win2k8R2 SP1. Wie bekomme ich es hin, dass bei neuen DCs automatisch der Regkey gesetzt wird ? Liegt es daran dass ich von einer Windows 2000 auf eine Windows 2003 Gesamtstruktur geschalten habe und nicht von NT4 kam ? Laut Blog: Standardmäßig ist die strikte Replikationskonsistenz bei einer Migration von NT 4.0 auf Windows Server 2003 oder wenn eine Gesamtstruktur ab Windows Server 2003 erstellt wurde aktiviert. :confused: Grüße Stephan

Hallo zusammen, Problem gelöst und ich wills euch natürlich nicht vorenthalten ;) Auf dem Server war Office 2010 installiert. Damit auch der XPS Drucker von MS. Dieser wollt den Registryeintrag wohl nicht loslassen (war Standarddrucker). Nach Löschen aller lokaler Drucker gehts nun immer. Grüße Stephan

Hab noch was in der Ereignisanzeige entdeckt: Es wurde festgestellt, dass Ihre Registrierungsdatei noch von anderen Anwendungen oder Diensten verwendet wird. Die Datei wird nun entladen. Die Anwendungen oder Dienste, die Ihre Registrierungsdatei anhalten, funktionieren anschließend u. U. nicht mehr ordnungsgemäß. DETAIL - 1 user registry handles leaked from \Registry\User\S-1-5-21-3755719566-1154836164-4125008273-1028: Process 5188 (\Device\HarddiskVolume{5c0f6b14-3d2d-4840-aaf5-5aa369a85d49}\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\VE63856925_S-1-5-21-3755719566-1154836164-4125008273-1028\Printers\DevModePerUser Kann natürlich auch damit was zu tun haben oder ?

Hallo zusammen, ich habe ein seltsames Problem und konnte bisher keinen Beitrag finden mit ähnlichem Problem. Wenn ich mich mit einem virtuellen Server von 1&1 verbinde (Windows 2008 R2) und dort meinen lokalen Drucker verbinden(umleiten) lassen will bekomme ich folgenden Fehler: EventID 1123 Event ID 1123 Der Druckspooler konnte wegen eines Anschlussfehlers den Drucker HP LaserJet Professional CM1410 Series PCL 6 (umgeleitet 2), Anschluss TS011 nicht hinzufügen. Der Vorgang wird nicht wiederholt. Abmelden und neu anmelden funktioniert nicht. Nach einem Neustart des kompletten Servers funktionierts bei der ersten Anmeldungs. Alle weiteren Anmeldungen enden mit dem oberen Fehler. Easyprint scheint ja bei der Remoteverwaltung nicht zu funktionieren also musste ich den Treiber installieren. Der scheint ja auch zu passen. Bei der ersten Anmeldung. Hatte schon mal jemand ein ähnliches Problem ? Grüße Stephan

Hallo olc, da hast du wohl recht. Man sollte nicht Sonntag Abends eine PKI aufbauen ;) Ich habe das Buch von Galileo Computing - Windows 2008 R2. Hätte ich genauer hingeschaut wäre das nicht passiert. Nur es stand dran "analog" einrichten zur CRL, dass das nicht die gleiche Datei sein kann hätt mir klar sein sollen. Reicht es bei den Endusern (in dem Fall nur DCs) wenn ich die Certs widerrufe und auf allen DCs ein gpupdate /force mache ? Genau. Meine PKI ist zweistufig. Vielen Dank für deine Hilfe .. mal wieder :) Grüße Stephan edit: Es betrifft nur die ISSUECA. Na gottseidank :) ROOTCA hab ich "richtig" gemacht.

Hallo olc, ja die Namen sind gleich (die Verteilungspunkte inkl. der konkreten CER und CRL Dateien vollkommen gleich benannt). Die Frage versteh ich leider nicht ganz :) Meinst Du in Bezug auf AIA und CDP oder in Bezug auf die Root und Intermediate CAs? Eine Sperrliste hat die ROOTCA nicht. Wo kann ich einsehen ob sie eine AIA Erweiterung eingetragen hat ? Dann müsste ich nur das Zwischencert aktualisieren. Ich werds auch erst nach meinem Urlaub machen. An einem Samstag ;) Grüße Stephan

Hallo olc, ja leider :(. Die Anleitung hat mich irgendwie verwirrt ;). Die CA ist aber noch nicht produktiv bis auf die Domänencontroller Certs und ein paar Spielcerts von mir. Offline CA hochfahren AIA erweiterung anpassen Zwischen CA erneuern (wie?) Zwischen CA AIA und CRL anpassen Ausgestellte Zertifikate erneuern oder ? Danke und Grüße Stephan

Hallo zusammen, ich habe ein (hoffentlich) kleines Problem mit der AIA Erweiterung. Ich habe die Installation und Konfiguration des Stamm- und Zwischenstellenzertifikats so vorgenommen, dass die CDP und AIA Erweiterung über einen HTTP Server abgerufen werden kann, damit auch Externe die Zertifikate überprüfen können. Ich sehe allerdings gerade dass die Namen der CDP und der AIA Erweiterung gleich sind. Gibts es eine Möglichkeit, diese einfach zu ändern oder muss ich sowohl das Zwischen- als auch das Stammcert neu erstellen ? Falls ja muss ich da was besonders beachten ? Grüße Stephan

Ok. Nur ums Thema abzuschließen. Es ist die fehlende Sperrliste. Warum er dann nicht die aus der AD nimmt ist mir zwar ein Rätsel aber gut. Test: ip über hosts datei eingetragen und auf CA zeigen lassen certutil -dcinfo verify ausgeführt Deutlich weniger Fehler ;). Ich monitore das nun auf der einen Maschine. Sollte aber sich damit erledigt haben. Grüße Stephan

Hier noch das was certutil beim DC Zertifikatscheck ausgeworfen hat: ** KDC-Zertifikate für DC Server01 Zertifikat 0: Seriennummer: blub Aussteller: CN=ISSUECA, DC=domain, DC=local Nicht vor: 22.05.2011 22:06 Nicht nach: 21.05.2012 22:06 Antragsteller: CN=Server01.domain.local Zertifikatvorlagenname (Zertifikattyp): DomainController Kein Stammzertifikat Vorlage: DomainController, Domänencontroller Zertifikathash(sha1): blub dwFlags = CA_VERIFY_FLAGS_NT_AUTH (0x10) dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000) dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) Application[0] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung Application[1] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_NT_AUTH -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=ISSUECA, DC=domain, DC=local NotBefore: 22.05.2011 22:06 NotAfter: 21.05.2012 22:06 Subject: CN=Server01.domain.local Serial: blub SubjectAltName: Anderer Name:DS-Objekt-Guid=blub, DNS-Name=Server01.domain.local Template: DomainController blub Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) CRL 0f: Issuer: CN=ISSUECA, DC=domain, DC=local blub Delta CRL 11: Issuer: CN=ISSUECA, DC=domain, DC=local blub Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung Application[1] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=1000040 Issuer: CN=ROOTCA, DC=domain, DC=local NotBefore: 22.05.2011 20:20 NotAfter: 22.05.2026 20:30 Subject: CN=ISSUECA, DC=domain, DC=local Serial: blub Template: SubCA blub Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40) Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000) CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=ROOTCA, DC=domain, DC=local NotBefore: 19.05.2011 13:53 NotAfter: 19.05.2041 14:03 Subject: CN=ROOTCA, DC=domain, DC=local Serial: blub blub Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) Exclude leaf cert: blub Full chain: blub Issuer: CN=ISSUECA, DC=domain, DC=local NotBefore: 22.05.2011 22:06 NotAfter: 21.05.2012 22:06 Subject: CN=Server01.domain.local Serial: blub SubjectAltName: Anderer Name:DS-Objekt-Guid=blub, DNS-Name=Server01.domain.local Template: DomainController blub Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613) ------------------------------------ Sperrungsüberprüfung übersprungen -- Server ist offline 1 KDC-Zertifikate für Server01

Hallo zusammen, vor kurzem habe ich unsere alte einstufige CA abgelöst und gegen eine zweistufige ersetzt. Die alten DC Zertifikate wurden mittels certutil gelöscht und die neuen automatisch von der Zwischenzertifizierungsstelle (SubCA) ausgestellt. Im Computer Zertifikatsstore von jedem DC find ich auch das Zertifikat. Im Zertifikat sind 2 Sperrlistenstandorte eingetragen. Eine ist noch nicht erreichbar (daher das Problem ?!) Die genaue Fehlermeldung in Eventlog: Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Ich kannte die Meldung schon von den Zeiten als ich die alte CA mal offline hatte. Die neue SubCA ist aber up and running ;). Smartcard Authentifizierung wird bei uns nicht benutzt. Kann mir jemand einen Tipp geben ? Grüße Stephan

Leider nicht. Ich arbeite nun ohne Loopbackverarbeitung. Geht auch irgendwie. Die Loginscripts fragen nun den Computernamen ab und falls der servertypisch lautet laufen sie auch nicht.