Christoph35
-
Gesamte Inhalte
3.624 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Christoph35
-
-
@Cristoph35
Ja da hab ich mich gewaltig verhauen:(
Kann passieren, ich weiß das auch grad nur so genau, weil ich mich im Rahmen von Cisco etwas mit der Materie beschäftige :)
Christoph
-
Hmm, DHCP Discovery, Offer und Request gehen von IP Adresse 0.0.0.0 an 255.255.255.255, bzw. DHCP Server an BroadCast; den Adressraum 192.168.0.0/24 freizugeben nutzt dir also erstmal nix, denn der Client hat ja noch keine IP aus diesem Adressraum.
Du musst wohl an der BlackIce die DHCP Ports 67 und 68 UDP für alle Adressen freigeben.
@onewayticket: das ist, glaub ich, RFC 1542.
Christoph
-
ich bin für die VPN Verbindung nach dieser Anleitung vorgegangen.
Welche Anleitung
Christoph
-
Such mal im Board nach dem Stichwort DoubleTake. Das ist eine Lösung, wenn auch nicht ganz billig, aber wie der Vorposter schon schrieb: Ausfallzeiten sind immer teurer ;)
Christoph
-
eine IP-Adresse aus dem Pool 192.168.10-192.168.99 beziehen
Du meinst IP Adressen im Raum 192.168.0.10-99 oder? ;)
Ich würde als erstes mal die Black-Ice checken, ob die vielleicht die DHCP Requests abblockt. Kannst Du da was in irgendwelchen Logs finden?
Christoph
PS: Willkommen an Board :)
-
Das hab ich mir auch gedacht, als ich den Artikel gelesen habe.... Was so ne kleine Ursache doch für große Wirkung haben kann... :shock:
Christoph
-
denn teil mit dem "msstd:" habe ich aber in keinem dieser artikel geshen, für was steht dies?
Hier steht es, leider ist nicht erklärt, wofür das Kürzel MSSTD steht:
0zudem wäre noch hilfreich um zu sehen, ob du die gleichen gruppen im Security Tab hast beim Ordner RPC:
Administrators
Authenticated Users
CREATOR OWNER
Server Operators
System
Hab leider keine Testumgebung mehr mit konfig. RPC/HTTPS zur Verfügung, wo ich das auf die Schnelle nachsehen könnte.
Hier noch ein Hinweis zum Troubleshooting:
Christoph
Nachtrag: msstd steht für Microsoft Standard Format in SecureChannel Principal Names. Siehe
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/rpc/rpc/principal_names.asp
-
Ich kann Dir jetzt nur noch raten, die Artikel von petri.co.il und/oder msxfaq.de Schritt für Schritt zu kontrollieren. Bei mir hats damit geklappt...
Christoph
-
Hehe, ja die maschinelle Übersetzung der Artikel ins Deutsche... nimm lieber den Original-text im englischen (Sprache kann man rechts auswählen).
Christoph
-
Es gibt auch noch ADmodify.net. Wurde hier im Board bestimmt auch schon mal erwähnt.
Christoph
-
Hi,
hier:
Error 401.3 when configuring RPC over HTTP on Exchange 2003 after installing Windows Server 2003 SP1
gibts auch noch Info zu den von Dir angesprochenen Problemen. Vielleichts hilfts.
Christoph
-
Leider gibts kein Log. Ich vermute mal, dass der Server irgendwas mit http error 500 zurückgibt, was man mit dem OLK Client leider nicht zu sehen bekommt.
Jetzt müssen wir noch mal step by step checken:
Serverseitig
- Name des Servers ist server.domain.ch?
- common name des Zerts. ist ok?
- Registry-Einträge existieren für Ports 6001, 6002 und 6004, alle mit netbios server und dns namen server.domain.ch? (siehe meinen obigen Link)
- RPC/HTTP Proxy ist installiert?
clientseitig
- im Outlook-Profil steht als mailserver server.domain.ch?
- der http server ist server.domain.ch?
- bei gegenseitiger Auth. steht msstd:server.domain.ch?
- es ist standard-authentifzierung eingestellt?
- Verbindung für schnelle und langsame Verbindung ist rpc/http?
Mehr fällt mir grad nicht ein, müsste das nochmal nachbauen...
Du könntest auch mal versuchen, per Browser auf https://server.domain.ch/rpc zuzugreifen, da darf keine Browser-Warnmeldung kommen, sonst wird das mit RPC/HTTP von Outlook auch nichts.
Christoph
-
"issued to server.domain.ch" ist ok.
Christoph
-
Ja, genau. Ein neues Zert. für die Def. Website auf dem Exchange.
Split DNS ist etwas komplizierter. Hängt auch davon ab, wie du den Exchange veröffentlichen willst. Dazu hast Du noch nichts gesagt...
Christoph
-
-
scheint als müste ich ein neues root CA erstellen, dieses lautet auf domain.ch
nehme an mann kann ein zweites CA zert erstellen..
Hmm, eigentlich nicht notwendig.
aber für den Gebrauch aus dem itnernet müsste ich die FQDNs sowieso auf domain.ch anstatt server.domain.ch ändern, korrekt?
Nein, das Zert. muss auf den Namen des Servers ausgestellt werden, nicht auf den Namen der Domain.
Ich weiß jetzt leider nicht, wie du vorhast, den Server im Internet zur Verfügung zu stellen, aber du könntest den Namen auch öffentlich verwenden, wenn Du Split DNS anwendest (wie ich oben schon mal angedeutet habe).
Dann muss der Servername (server.domain.ch) auch der Name des Zertifikats sein.
Christoph
-
Dann check bitte noch mal die Keys in der Registry. Und ändere msstd:domain.ch auf msstd:server.domain.ch.
Das Zert. muss natürlich auch auf server.domain.ch ausgestellt sein.
Und noch was:
Der client muss das Zert. akzeptieren können, d.h., das Root-CA Zert. (und ggf. Zerts. von Intermediate CAs) muss/müssen dem Client bekannt sein.
Christoph
-
Bemühe mal die Boardsuche ;)
Hier aber schon mal ein Ergebnis...
Christoph
-
wo hast du das https:// ... eingegeben, da wo gegenseitige Auth. abgefragt wird?
Wichtig ist, dass da msstd:<fqdn> steht! Sonst wird das nix!
Die Verbindung über Outlook sollte in dem Fenster Verbindungsstatus als HTTPS Verbindung angezeigt werden, nicht als TCP/IP.
Falls das aus dem INet erreichbar sein soll, würde ich mir mal Gedanken machen, das über einen ISA zu publizieren. Ausserdem brauchst Du dann Split-DNS. D.h., der FQDN des Exchange Servers muss von extern auf den ISA aufgelöst werden, und der ISA muss das intern auf den Exchange auflösen können.
Christoph
-
In der Tat reichen die MOCs in keiner Weise für das Bestehen der Prüfung aus. Am besten, du schnappst Dir zusätzlich noch die OMTs von Microsoft (die zum Selberlernen). Die sind wesentlich ausführlicher.
Ausserdem immer mal in den Stoff der anderen Tests reinschnuppern und selber üben, üben, üben (VMWare oder Virtual PC nutzen).
Technet ist auch immer eine gute Wissensquelle.
Christoph
-
Schildere mal, wie du das RPC/HTTPS Profil am Outlook 2003 Client eingerichtet hast.
- Basic (Standard) Authentifizierung ausgewählt?
- msstd:<fqdn-des-exch-servers> für gegenseitige Auth. angegeben?
Zert.-Name wäre in der Tat auch ein Ansatz: der Common Name des Zerts. muss genau dem FQDN des Exchange Servers entsprechen.
Christoph
-
-
Hehe, ausserdem hab ich Tomaten auf den Augen
Die Nachricht kommt ja von deinem Exchange Server.... Also, es sind nirgends Größenbeschränkungen eingerichtet?
Was ist mit Beschränkungen auf den Mailboxen, ist da vielleicht das Senden ab einer bestimmten Postfachgröße unterbunden?
Christoph
-
Hi,
sollte wohl gehen, wir haben auf einem unserer DCs auch WSUS mit einer (W)MSDE im Hintergrund laufen.
/edit: zu langsam :D
Christoph
Die Nachricht kommt ja von deinem Exchange Server....
70-291 zum 3.mal versemmelt
in MS Zertifizierungen — Prüfungen
Geschrieben
Ich würde noch die Lektüre des Windows Server 2003 Deployment Kit empfehlen. Besonders den Teil "Deploying Network Services". Gibts auch online bei MS.
Christoph