traxanos

Hallo Zusammen, ich habe ein Problem. Wir möchten gerne in Zukunft alle Rechner/Benutzer per 802.1x authentifizieren. Dazu haben wir einen entsprechenden Radius-Server aufgesetzt und auch dazugehörige Zertifikate über unsere CA erstellt. Dann haben wir per GPO eine Richtlinie für das kabelgebundene Netzwerk eingerichtet, welches sagt, traue unserer CA und prüfe den CN ob dieser passt. Soweit so gut das klappte auch auf anhiebt, ohne Zertifikatsfehler oder ähnliches werden Rechner an einem EAPOL tauglichen Port korrekt angemeldet. Nun habe ich eine weitere Richtlinie für kabellose Netzwerk erstellt, SSID hinterlegt, CA wieder ausgewählt und auch die Prüfung für den CA hinterlegt. Leider verbindet sich kein Rechner mit dieser Richtlinie mit dem entsprechenden WLAN. Klicke ich nun das WLAN manuell an, so kommt natürlich eine Fehlermeldung, da das Zertifikate neu ist. Bestätige ich dies und öffne dann die Einstellungen des Adapters, so sehe ich das mein Profil nicht genutzt wurde, und keine meiner Einstellungen vorausgefüllt sind, so wie ich es bei der kabelgebundenen Variante habe. Wir haben einen 2008 R2 AD und die Rechner sind Windows 7 Pro. Die SSID ist so aufgebaut "a11-Mitarbeiter". Die GPO wurde auf jedenfall angewendet, da Änderungen die ich danach gemacht habe, alle angewendet wurden. Ich hoffe jemand hat eine Idee. Fehler gefunden! In der Default Policy war aus irgend einem Grund eine alte XP Richtlinie und danach wird die Vista & larger nicht mehr aus der anderen Policy übernommen. Ich habe den Fehler selber gefunden. In einer anderen Richtlinie war eine alte XP Richtlinie für WLAN hinterlegt. Gelöscht und dann geht es auch.

@dunkelmann, sscep kenne ich. Als Gegenstück ist OpenSCEP (Server) in Prüfung. Ja das vermute ich auch, daher werde ich wohl auch wie ursprünglich geplant auf eine Sub CA direkt in der AD setzen. Mal schauen, ggf. nutzen wir sogar die SCEP Funktion von MS statt OpenSCEP. Wenn ich das richtig verstanden habe benötigt ja per Default die AD überhaupt kein eigene CA. So dass ich die aktuelle CA erstmal entfernen werden (inkl. Deprovisionierung) Sind aktuell nur 10 Zertifkate überhaupt noch gültig die ausgestellt wurden.

@zahni SelfSigned schreibe ich nur dazu weil in der Vergangenheit alle immer glauben wir wären eine offizielle CA, wenn wir von RootCA sprechen. Sorry für meine unglückliche Ausdrucksweise. Zu Thema SCEP: Wir planen intern einen SCEP-Server aufzustellen, da wir hunderte Geräte (Router, Switche, Firewalls, Server) manuell mit Zertifikaten ausstellen. Jetzt kam die Idee auf, ob die AD bzw. die Domänenmitglieder nicht auch direkt die Zertifkate beim zentralen SCEP-Server beantragen kann. (Sprich also ohne Windows CA). Das die Windows Zertifikatsdienste SCEP selber anbieten können, hatte ich bereits gelesen gehabt. Meine Frage zielte auf das Konsumieren eines anderen SCEP-Servers. @dunkelmann Am liebsten würde ich überhaupt keine Windows CA mehr verwenden, da wir selber alles mit OpenSSL verwalten und darin auch Experten sind. Dennoch danke für den Tipp mit den Büchern.

> Und ein ein AD erstellt nicht von alleine eine CA. das haben wir doch schon geklärt > Aha, lies dir mal den Artikel genau durch. Der über SCEP? oder den aus dem Technet? > Vielleicht sortierst Du nochmal und beschreibst exakt eine Ausgangssituation uns das Zielzenario. Habe ich doch oben. > Eine Root-CA von den Windows CA-Diensten ist nicht "SelfSigned". Spielt überhaupt keine Rolle in meinem Fall. Unsere RootCA welche als Trusted CA ausgerollt ist, soll in Zukunft als oberste CA für die Windows CA herhalten. Und hier war nur die fragen, ob das von der Windows CA überhaupt geht und wenn ja wie. Ich möchte nicht die Windows CA auf allen Systemen zusätzlich ausrollen. Dann kam die zweite Frage, ob man nicht unseren SCEP Server direkt verwenden kann.

@zahni Warum soll das nicht gehen, jede große CA macht das auch? EDIT: Hier eine Erklärung was SCEP ist. https://en.wikipedia.org/wiki/Simple_Certificate_Enrollment_Protocol

@dunkelmann das hilft mir weiter. Mal so eine zusätzliche Frage, kann die AD auch direkt einen SCEP Server ansprechen? Weil dann Spare ich mich mir den Aufwand und könnte direkt unsere eigene CA-Verwaltung ansteuern.

Die komplette AD?

Also ich habe die aber die CA nie angelegt! Sie war vom ersten Tag da. Und alle Rechner haben direkt Zertifkate nach dem einhängen bekommen. Ob das durch den Wizard damals von MS mit angelegt wurde oder so - keine Ahnung. Aber es spielt ja auch keine Rolle. Die CA ist ja nun da. Und die Frage ist wie kann ich diese austauschen gegen eine von unser CA ist bzw. signiert wurden?

Natürlich stellt eine AD immer eine RootCA aus (selfsigned) und erstellt auf Basis dieser z.B. Benutzer- und Computerzertifikate. Ggf. gibt es hier ein ein Problem was man unter einer RootCA versteht. Ich versteh darunter jede CA die keine übergeordnete CA mehr hat. Und nein ich möchte unter dieser WindowsCA kein Intermediate anlegen. Wir sind Provider und betreiben wie gesagt unsere eigene RootCA und möchte das diese WindowsCA als Intermediate unser RootCA läuft und nicht anders rum.

Also wir betreiben selber eine eigene RootCA und möchte das alles von dieser abgeleitet wird. Das Funktioniert auch wunderbar, z.B. hat unser OpenVPN-Server ein eigenes Intermediate-Zertifikate für die Verwaltung der Benutzerzertifikate. Oder für unseren ganzen Webanwendungen haben wir ebenfalls ein extra Intermediate-Zertifikate um eigene SSL-Zertifikate zu erstellen. Die einzige Ausnahme ist aktuell unsere Windows AD. Diese hat automatisch bei der Einrichtung eine eigene RootCA erstellt bekommen. Jetzt möchten wir aber gerne das die Windows AD ein Intermediate-Zertifikate von unserer RootCA verwendet, so dass alle Zertifikate die in der AD ausgestellt werden, mit unserer RootCA verifiziert werden kann. Leider kann ich aber nirgends ein Zertifikat hochladen. Lediglich die Erstellung einer neuen CA kann ich veranlassen, aber ohne irgendwelche Parameter. Mir ist es dabei egal, ob die AD mir ein CSR bereitstellt oder ich selber direkt das Intermediate-Zertifikate erstelle. Nur finde weder für die eine noch für die andere Variante Option. EDIT: Wir verwenden aktuell noch Windows Server 2008 R2

Hallo Zusammen, wir betreiben eine eigene (SelfSigned) Root CA mit mehren Intermediate-Zertifikate für verschiedene Dienste (z.B. VPN, SSL) Jetzt haben wir aktuell eine AD mit einer extra RootCA welche damals automatisch generiert wurde. Jetzt stellt sich die Frage, ob wir für die AD ein eigenes Intermediate-Zertifikate auf Basis unserer Root CA erstellen und verwenden können. Auch ist die Fragen, ob ein Wechsel im laufenden Betrieb Probleme mit den Windowsrechner gibt (in AD eingebunden). Suche schon seit einigen Wochen nach einer Möglichkeit und bin leider weger bei Google, MSDN noch hier im Forum fündig geworden. Vielleicht hat jemand einen Tipp / Idee. Gruß

Ich hab ein Problem. Wir haben ein AD DC=test,DC=intern. Darin gibt es zwei OUs. OU=Mitarbeiter und eine OU=Gruppen. Nun möchte per ADODB in VBS Benutzer mit folgenden Filter bekommen: (&(objectClass=Person)(memberOf:1.2.840.113556.1.4.1941:=CN=Testgruppe,OU=Gruppen,DC=test,DC=intern)) Leider erhalte ich aber immer nur 4 Administratoren. Suche ich per (&(objectClass=User)) Bekomme ich alle. Vereinfache ich das Ganze (alle User sind direkt memberOf Mitarbeiter) (&(objectClass=User)(memberOf=CN=Mitarbeiter,OU=Gruppen,DC=test,DC=intern)) Klappt es auch nicht. Laut ADSI ist memberOf auch bei allen Benutzer befüllt. Ich suche mit SubTree / SearchScope 2 und ohne Cache. Die Abfragen per LDAP macht genau das was ich erwarte. Es scheint also ein ADODB Problem zu sein. EDIT1: Ich habe die Abfrage mal per PowerShell (ADSI) wiederholt und bekomme hier auch nur die 4 Administratoren. EDIT2: Wenn ich nach einer anderen Gruppe suche, wo nur 1 der 4 Benutzer enthalten ist, dann finde ich auch nur diesen einen. Kann es sein, das die anderen Benutzer einfach nicht indiziert wurden oder so? EDIT3: So ich hab nun heraus gefunden, was es eine Rechteproblem ist. Ich verstehe nur nicht warum. Ich bin Administrator und Domänenadmin. Und warum bekomme ich dann ohne MemberOf Filter alle und nur mit MemberOf abfrage eben nicht. Das ergibt doch keinen Sinn.

Das könnter am Treiber liegen. Die Sende/Empfangleistung ist meistens im Treiber hintelegt. Wenn jetzt das SP2 nen eigenen Treiber verwendet könnte die Signalstärke heruntergefahren worden sein. Bei guten APs kann man ja auch die Leistung hinterlegen, und die haben ja auch nur ein normales WLAN Modul installiert.

das wird nichts mit dem brwoser zu tun haben. das ist server seitig!

das hab ich per hand in der regestry schon gemacht. da liegt ja der witz. ;) SYSTEM/CCS/Conrtol/Lsa/forceguest = 0

Also ich habe seit Monaten ein Problem immer wenn jemand auf meine Netzwerkfreigaben zugreifen will muss er sich nicht anmelden. Das soll er aber! Ich verwende XP Home hab auch die Sicherheit wieder aktiviert um den Benutzer die Rechte zu geben. Nur solange sich keiner Anmelden muss kann auch keiner zugreifen. Wie Aktiviere ich den kram. Komischerweise klappt es auf dem Laptop und auf dem HeimPC nicht. Hab schon ein TCP-Reset versucht da er auch NetBIOS einstellungen zurücksetzt, gebracht hat es auch nichts.

aHH, und es funktioniert. Danke!

Sorry hab mich etwas falsch ausgedrückt. Den RFechnernamen hab ich geändert. Aber es gibt zum Rechnernamen noch eine Beschreibung bzw. Kommentar. Unter Windows XP ist das dort wo auch der Rechnername ist, aber unter Windows 2000 finde ich es nicht.

Irgendwie haab ich es vergessen oder so. Verdammt ich find die Einstellung nicht wo man zum Rechnernamen den Rechnerkommentar hinterlgen kann in Windows 2000 Pro. Wei jemand wo ich das noch einstellen kann, denn wo es unter Windows XP passiert steht es schonmal nicht. Gruß TraxanoS

Also ich habe nun fest gestellt das es mit net config workstation schonmal die möglichkeit an die aktuelle arbeitsgruppe zu kommen. kann ich damit evtl auch schreiben?

Das war dem Bauer zuviel und darum verhaftete er die Ziege, des rosaroten Melkwagens, denn die Ziege war gar keine Ziege sondern ein verwunschener Königssohn, der gerade eine Geschlechtumwandlung in einen ziegenbock über sich ergehen läßt, was

genau, dein verhaben ist nicht okay. da die standaloneplayer nur die erste session lesen können. solltest du evtl einen habe der das kann dann ist gut. solltest du die erste session erst garnich abschließen was auch geht (weis nicht obs mit nero geht sollte aber) dann können die player die cd garnicht lesen aber du kannst weitere tracks hinzufühgen. solltest du nach der zweiteren möglichkeit interessiert sein so schau ob du in nero das brennen des LeadIn/Out unterbinden kannst um weitere Trackshinzuzufühgen.

Das Problem, darf ich diese Tools bei einem eigenem Programm einfach bei legen? Ich habe ein offenes Netzwerk, wenn Leute kommen sollen Sie die CD einlegen. Ihre alte Config wird gespeichert. Jetzt kommt die netzinterne Config. Die die Person kann er mit einem Knopfdruck die Einstellungen Rückgängig machen. Dazu soll halt auch die Arbeitsgruppe gehören.

du kannst über dos nicht auf ntfs platten zugreifen! hier hilft es die platte in einen 2. rechner ein zu bauen und dann die kernel32.dll neu drüber zu kopieren. die frage die sich stellt ist aber warum ist die datei nicht mehr okay. das kann zu einem ein virus sein, aber auch ein festplattenschaden. weitere und immer noch die beste variante wäre, wenn der rechner sich aufgehangen hat während des schreibens. (aber unwahrscheinlich bei ntfs)

danke aber es sollten schon hausmittteln sein. ich hab da an netsh gedacht damit hole ich schonmal ip, etc und kann diese auch neu setzten. es fehlt hat nur die arbeitsgruppe. ich könnte auch ne .reg erzeugen um so den eintrag zusetzten und später mit net start, den benötigten service neustarten. wenn das geht würde ich mich über den schlüssel bzw den dazu benötigten servicenamen freuen.