Jump to content

Beetlejuice

Members
  • Gesamte Inhalte

    233
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Beetlejuice

  1. Habe das Problem gelöst. Die neue Sub-CA wurde mit einem zu hohen Verschlüsselungsalgorithmus konfiguriert. Die Windows 2003 Server kommen damit nicht zurecht und verwerfen das ausgestellte Zertifikat. Es gibt dafür ein Hot-Fix von Microsoft, habe das eben getestet und es funktioniert. support.microsoft.com/kb/968730/de
  2. Hallo zusammen, wir sind von einer 2003er PKI auf 2008 R2 umgestellt. Nun möchte ich für einige IIS 6 Server unter Win 2003 die Zertifikate aktuallisieren. Ich habe da 2. Ansätze verfolgt. Zertifikat erneuern und Zertifikat entfernen/neu installieren. Mit beiden Ansätze bekam ich kein Zertifikat von der Sub-CA. Auf dem IIS wurde die Anforderung mit erfolgreich abgeschlossen. Es gibt aber kein Zertifikat, weder auf dem IIS noch auf der Sub-CA. Es gab auch keine Fehlermeldungen oder Ereignisslogs. Ich habe zum test von einem IIS 7 eine Zertifikatsanforderung gesendet und auch eine bestätigung bekommen. Zertifikat ist auf IIS installiert und in der Sub-CA registriert. Irgendwelche Ideen, vielleicht wegen IIS 6 oder so?
  3. Dann verstehen ich aber deine Aussage aus dem vorletzten Beitrag nicht. Vielleicht fehlt mir hier noch ein bischen die Erfahrung aber ich lasse mich gerne aufklären. Warum sollten die Einstellungen in der GPO mittels ADM Template bei dem Client keinen Wert haben? Vielleicht sprechen wir auch einander vorbei. Ich hab eine 2003er Domäne mit 2003er Domänencontroller. Desweiteren haben wir 2008er und 2008er R2 Mitgliedsserver und Windows 7 Rechner. Einige Einstellungen in der GPO ziehen nicht vernünftig auf den 2008er Server oder Win7 Rechnern. Die ADM-Template beinhalten nur die Funktionen aus 2003 und nicht den neuen Features von Windows 7 und Server 2008. Dazu benötige ich die ADMX Dateien, die aber auf den 2003er DC's nicht funktionieren. Jetzt halt die Frage, gibt es einfache möglichkeiten ADMX nach ADM zu konventieren oder bereits fertigte 2008er ADM templates. Für Office 2010 gibt es beides, ADM und ADMX für die GPO.
  4. Mhh habe ich so noch nicht getestet. Bisher haben wir die GPO's mittels der MMC "Group Policy Management" auf den Domänencontrollern verwaltet. Können die GOP's für die Domäne auch auf Mitgliedern verwaltet werden? Dann wäre es praktisch, Filter und verschiedene GPOs für die verschiedenen Systeme (2003, 2008) zu erstellen, oder?
  5. Gibt es denn nun eine Möglichkeit die ADMX Dateien nach ADM zu konventieren oder sowas ähnliches?
  6. Wo kann ich diese adm dateien finden? Ich dachte Server 2008 haben nur die XML und die Language Dateien. (C:\Windows\PolicyDefinitions)
  7. Hallo zusammen, gibt es ADM Tepmlates für 2008er Server in einer 2003er Domäne? Für Office 2010 weiß ich, gibt es spezielle ADM/ADMX Templates. Wäre nun schön wenn ich so was auch für Server 2008 bekommen könnte. cu
  8. Keine weitere Erfahrungen zu dieser GPO?
  9. Hallo zusammen, ich habe ein paar GPO's für die Internetsicherheit zusammengestellt und bin auf was gestoßen, was ich nicht weiß ob das ein Bug oder Feature ist! Unsere DC's sind alle Windows 2k3 R2, die Clients sind mit Win7 ausgestattet. Eine GPO angelegt mit folgender Einstellung: Computerkonfiguration -> Administrative Vorlage -> Windows-Komponenten -> Internet-Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisungen Wenn ich nun eine Seite für das Lokales Intranet konfiguriere z.B: Name: *.domain.de Wert: 1 und diese auf den Clients ausrollen lasse, habe ich nicht mehr die Möglichkeit dort eine weitere Seite zu irgendeiner Zone (Vertauenswürdige, Intranet) hinzuzufügen. Wenn ich nun in der selben GPO, die selbe Seite aber mit dem Wert 1 und LEERZEICHEN oder KOMMA ("1 " oder "1," oder "1-") usw. hinzufüge, dann ist auf dem Client die Seite der Zone zugeteilt und ich habe die Möglichkeit diesen Eintrag zu entfernen oder neue hinzuzufügen. Ist das nun ein BUG oder FEATURE? In den Beschreibungen konnte ich keine Erklärung dazu finden. Was mein Ihr? cu
  10. Hallo zusammen, es funktioniert jetzt alles wie gewünscht. Folgendes hat letztendlich geholfen: "give time, don't panic" cu
  11. Hi, um hier einen neuen stand mitzuteilen. Für die konfiguration des IIS 6 habe ich kurzerhand mit certutil in der Konsole den Webserver eingerichtet. Ich muss schon sagen, das certutil ist ganz schön mächtig. Folgender Befehl wurde ausgeführt: "certutil -vroot" Auch das Problem mit dem Zertifizierungsstatus auf den DCs habe ich mittels certutil behoben. Ich habe zusätzlich das Root-Zertifikat mittels certutil in das AD gekippt. Nach der Replikation ist nun auf den anderen DC's das Root-CA vorhanden. Folgender Befehl wurde ausgeführt: "certutil -dspublish -f xxxx.crt RootCA" Kann mir vielleicht dazu einer erklären warum dies nicht automatisch bei dem Import in die SubCA passiert ist? Jetzt habe ich nur noch ein Problem, die anderen DC's bekommen kein DC-Zertifikat. Es wird eine Fehlermeldung ins Ereignislog geschrieben... Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskategorie: Keine Ereigniskennung: 13 Datum: 03.02.2012 Zeit: 15:45:27 Benutzer: Nicht zutreffend Computer: DC01 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert. Folgendes habe ich geprüft/durchgeführt: - Die Gruppe "Domänencontroller" in der Gruppe "CERTSVC_DCOM_ACCESS" aufgenommen - Berechtigung der Zertifikatsvorlage "Domänencontroller" auf Lesen und Registrieren gesetzt cu
  12. Das Root-Zertifikat ist in ordnung und auch das Sub-Zertifikat wird als korrekt auf dem Root-CA Server angezeigt. Der Zugriff ist gestattet, jedoch ohne Webserver. Also nur auf Dateiebene, Freigabe ist aber konfiguriert. Habe das Problem jetzt aber beheben können, denke ich. Ich habe erst versucht das Root-Zertifikat mittels der Konsole "certsrv" zu importieren was aber nicht funktionierte. Dann habe ich das Root Zertifikat mittels folgenden Befehl "certutil -addstore .....crt" hinzugefügt. Nun konnte auch das signierte Zertifikat für die Sub-CA installiert werden. Nun habe ich bemerkt, das der IIS 6 nicht installiert war und habe den jetzt nach installiert. Nun muss ich den von Hand konfigurieren, hat da jemand erfahrung mit? Als 2. Stepp habe ich mittels GPO das automatische ausrollen der Domencontroller Zertifikate eingerichtet. Auf der SubCA (die auch als DC fungiert) wurde ein Zertifikat ausgestellt, jedoch für die anderen DC nicht. Warum und kann man das von den jeweiligen DCs manuell anstoßen? Aufgefallen ist mir auch, dass wenn ich mir das Sub-CA Zertifikat auf einem der normalen DC's anschaue, der DC keine ausreichenden Informationen hat um das Zertifikat zu verifizieren. Der Zertifizierungsstatus zeigt Gelb und folgende Fehlermeldung "Der Aussteller dieses Zertifikats wurde nicht gefunden.". Kann es sein, dass es da Probleme mit dem Root Zertifikat und der AD gibt? Ich hoffe euch mit den Fragen nicht all zu doll gelöchert zu haben. Danke für eure Unterstützung.
  13. Hi, habt ihr sonst noch Ideen wie und warum ich da Probleme habe. Im Ereignislog von der Sub-CA finde ich folgende Fehlercodes, 48 und 100. Diese weisen darauf hin, das es Probleme mit der Überprüfung des Zertifizierungsstellenzertifikats gibt.
  14. Hallo, ich habe ja schonmal probiert das Root-CA Zertifikat zu exportieren und auf dem Sub-CA nach "Trusted Root Certification Authorities" zu installieren. Das Zertifikat ist drauf, kann über den certmgr.msc geprüft werden, jedoch bekomme ich die gleiche Fehlermeldung wie oben bereits beschrieben.
  15. Hallo zusammen, entweder habe ich eine großen Gedankenfehler oder habs nicht ganz verstanden. Ich möchte eine Stufige Zertifizierungsumgebung einrichten, bestehend aus: - Root CA / Eigenständige Zertifizierungsstelle - Sub CA / Unternehmenszertifizierungsstelle Ich habe nun die Root-CA installiert, Zertifikatsperrlisten und Ablaufdatum der Zertifikate konfiguriert. Soweit OK. Nun habe ich die Sub-CA installiert, das Zertifikat und die Anfordern in einer Datei und in der Root-CA eingereicht. Dies wurde dann genehmigt. Das Zertifikat wurde überprüft. Ablaufdautm, CA Pfade usw sind eigentlich richtig. Anschließend dass ausgestellte Zertifiakt auf der Root-CA öffnen und "In Datei speichern" im p7b Format exportiert. Jetzt will ich das ausgestellte und signierte Zertifikat in der Sub-CA installieren um die Installation abzuschließen. Und hier kommt nun mein Problem ... Fehlermeldung: The root certificate is untrusted. Do you wish to trus the root certificate on this machine and compete the installation? A certificate chain processed, but terminated in a root certificate wich is not trusted bey the trust provider. 0x800b0109. Kann mir jemand sagen oder erklären warum er das signierte Zertifikat nicht annehmen möchte?? cu
  16. Hallo zusammen, für unsere erstellten Videos (Schulungsvideos, Seminarvideos) suchen ich eine Möglichkeit diese im Netzwerk zentral abzulegen und mit verschiedenen Zugriffsberechtigung zu versehen. Die Dateien sollen aber nicht übers AD verwaltet werden. Ich suche eher ein Server mit Webfrontend und eigenem Berechtigungssystem was aber die User aus dem AD verwendet. Schön wäre es auch, wenn man im webfrontend dann auch gleich die Videos ansehen könnte. Habt ihr mit sowas schon erfahrung gesammelt und/oder kennt ihr eine gute Software die sowas kann? Viele Grüße,
  17. Hallo zusammen, wir haben bei uns folgendes Phänomen. Wenn ich mich über VPN in unser AD Netz einwähle, nimmt er als DC einen der nicht in dieser site konfiguriert ist. Vielleicht eine kurze darstellung unserer Infrastruktur. Die Domäne läuft in einer 2003 Gesamt und Domänenstruktur. DC1, DC2 und DC3 sind im Standort A in der Site A konfiguriert. Die DCs DC4 und DC5 sind im Standort B und der Site B konfiguriert. Die Subnetze sind den DCs zugeordnet. Site A hat den IP Bereich 130.10.0.0/24 für das interne Netz und den Bereich 192.168.150.0 für die VPN einwahl. Die Site B ist mit dem Internen Netz 130.10.20.0/24 konfiguriert. Im Internen Netz am Standort A bekomme ich nur die DCs der Site A zugeteilt und im Standort B die DCs der Site B. Das funktioniert alles, kann man ganz gut mit nslookup überprüfen "nslookup domain.de". Es werden nur die DCs ausgewählt, die der Site zugeordnet sind. Jedoch wenn ich mich via VPN Verbinde und dort nslookup durchführe werden mir nach und nach alle DCs angeboten. Das ist sehr ärgerlich, wenn ich DFS verwende und somit auf einer falschen Site und falschen Server lande. Da die Verbindung untereinander nicht die allerschnellste ist, wird der Datenverkehr nur unntöigt gesteigert. Das Problem soll auch bei einigen unserer Kunden vorhanden sein. Habt ihr damit erfahrungen oder lösungen gefunden? cu
  18. Hi, danke für die links. Schade das die Qutoa einstellugnen spererat pro Server konfiguriert werden müssen. Vielleicht kommt ja sowas mal in zukünftige Serverversionen.
  19. Hallo zusammen, wir haben mehrere Windows Storage Server 2003 auf 2 Standorte verteilt. Diese arbeiten in einen Domänenbezogenen DFS zusammen. Wenn ich nun auf einen Server für die Ordner Public und Home mit dem Ressourcenmanager Kontigente verwalte, sind diese nur für den einen Server oder wird das für die anderen mit übernommen? Es wäre schon doof, wenn ich auf server 1 ein kontigent auf 500 MB festlege und auf server2 nicht. Solange der user auf server1 seine daten ablegt ok, jedoch wenn er im anderen standort auf server2 zugreift und ca. 1GB daten darauf bereitstellt, wie wird das dann suf server 1 repliziert? Kann man das konfigurieren, dass die einstellungen mit übertragen werden. Bei Win2k3 soll das wohl laut Technet nicht gehen. Habt ihr hier schon erfahrungen sammeln können? cu, Beetlejuice
  20. Warum wird auf dem einen Server der Standort korrekt angezeigt und bei dem anderen nicht? Firewall dazwischen, die eventuell Ports blockieren?
  21. Hallo zusammen, ich habe da eine Verständnisfrage bezüglich DFS und Standortzuweisung. Unsere Struktur sieht so aus: DC01, DC02, DC03, DC05 laufen mit Windows Server 2003 R2 als Domänencontroller in einer 2003er Domänen und Gesamtstrukturfunktionsebene. Wir haben 3 Server mit Windows Storage Server 2003, den Storage1, Storage2 und Storage3. Auf den DC's ist ein DFS Namenspace eingerichtet. Auf den Storage Servern wurde der Namenspace zur liste im DFS verwaltungskonsole hinzugefügt. Ordnerziele mit den Pfaden auf den Storage Servern sowie die Replikationsgruppen wurden konfiguriert. Soweit funktioniert das ganze. Nun fällt mir auf, dass der Standort bei den Pfaden der Ordnerziele nicht oder fehlerhaft angezeigt wird. Es wird <Unbekannt> angezeigt. Jedoch wenn ich mir auf den Storage2 die Ordnerziele anzeigen lasse, wird der Standort zb. Aachen angezeigt. Ich spreche hier vom selben Pfad. Wie wird der Standort nun ausgemacht, muss ich da noch was konfigurieren? Ich könnt mir vorstellen, dass der Standort vom AD über Sites und die konfigurierten Subnetze gesteuert wird. Liege ich hier richtig oder falsch? Viele grüße
  22. Hallo, es soll auf einem DELL PowerEdge 2900 installiert werden. Es ist momentan ein Windows Server 2008 R2 mit dem zusatzpaket Storage Server 2008 R2 Installiert. Dieser ist für das Backup konfiguriert, jedoch ist die Datenübertragen langsam. Die Hardware (Netzwerk und Server) könnten mehr, das haben Tests und logs bestätigt. Wir haben testweise direkt einen Windows Storage Server 2008 x64 auf einem anderem Server installiert und dort haben wir doppelt so viel Datendurchsatz als bei dem Backupserver. Deshalb wollen wir den Storage Server 2008 OHNE R2 installieren, da wir vermuten dass im R2 so viel umgestellt wurde, dass es einen unterschied aus macht. Beim Storage Server wird auch weniger Installiert als beim reinen Windows 2008 Sever, was eventuell sich auch beim Test bemerkbar gemacht hat. Link hatte ich noch nicht gesehen. Werd mich morgen nochmal damit befassen. cu
  23. Keiner eine Idee oder so sowas schonmal gehabt?
  24. Hallo liebe Gemeinde, ich stehe grad vor einer Fehlermeldung, die mich ein bisschen nervt und wo ich bisher nicht weiterkomm. Ich bin grad dabei den Storage Server 2008 in Englisch und 64-Bit Version zu installieren. Das Setup startet und wird auch weitesgehend durchgeführt, am Ende wenn er die Dateien kopiert, enpackt usw. kommt dann die Folgende Fehlermeldung. Windows could not install the selected language. Im Internet habe ich bisher dazu nichts brauchbares gefunden. Habt ihr sowas schonmal gehabt oder gesehen?? Ach ja, das Medium ist aus dem MSDN. cu
  25. Hallo zusammen, für die, die es interessiert. Es lagen Replikationsfehler vom SYSVOL vor. Ein DC hat nicht mehr Repliziert und hat unsere gesamte Struktur blockiert. Der DC wurde sauber entfernt, Replikation der anderen DCs abgewartet, die Gesamtstruktur auf 2003 erhöht und den DC sauber und neu eingebunden. Läuft ...
×
×
  • Neu erstellen...