twenty

Zusätzlich habe ich noch die GemsAFE Enterprise Workstation installiert. Das Zertifikat wird beim User unter Veröffentlichte Zertifikate angezeigt.

Zweck des Zertifikates ist Smartcart-Benutzer.

Ich habe folgendes installiert: Windows Server 2003 Std. - DNS - IIS - DCPROMO - Zertifikatserver

Smartcardreader wurde automatisch erkannt und installiert.

Die Zertifikatsvorlagen installiert: Smartcard-Benutzer, Smartcard-Anmeldung, Registrierungs-Agent, Registrierungs-Agent (Computer)

Über Active Directory-Standorte und Dienste die User auf die "Certificate Templates" berechtigt.

Über Active Directory-Standorte und Dienste den DC(=Zertifikatsserver) auf die "Certificate Templates","Certificate Authorities","Cerficate Services" Vollzugriff berechtigt.

Das Zertifikat angefordert über "http://localhost/certsrv" - Ein Zertifikat anfordern - erweiterte Zertifikatanforderung ein - Ein Smartcard... - alles ausgewählt und auf "Registrieren" geklickt.

Nun wird der PIN verlangt, danach das Zertifikat auf die Karte geschrieben.

Habe die Karte für den Admin erstellt und versucht mich damit anzumelden.

Fehler: Das Kryptosystem oder die Prüfsummenfunktion sind ungültig, weil eine erforderliche Funktion nicht verfügbar ist.

Das Zertifikat sollte eigentlich nur als Winlogon dienen. Ich denke, dass die Clients keine Rechte zum lesen des Zertifikats haben. Werde das am Abend ausführlich testen und dann berichten.

In der Zwischenzeit habe ich ein Zertifkat auf die Karte schreiben können. Bei der Anmeldung auf dem Windows-XP PC, kommt nur eine Fehlermeldung mit dem Hinweis auf das Ereignisprotokoll.

Ereignisprototkoll: Beim Entschlüsseln einer Nachricht mit der eingelegten Smartcard ist ein Fehler aufgetreten: Diese Smartcart unterstützt das angeforderte Merkmal nicht.

Quelle: Smart Card Logon

Ereigniskennung: 11

Kennt jemand die Lösung? Bin für jeden Hinweis dankbar.

Funktoniert leider nicht.

Fehlermeldung:

Beim Erstellen der Zertifikatanforderung ist ein Fehler aufgetreten. Vergewissern Sie sich, dass der Kryptografiedienstabieter Ihre Einstellungen unterstützt, und dass Ihre Eingabe gültige Werte enthält.

Mögliche Ursache:

Das Sicherheitstoken hat keinen Speicherplatz für einen weiteren Container.

Fehler: 0x80090023 - NTE_TOKEN_KEYSET_STORAGE_FULL

Danke für die Antwort. Das nötige Wissen sollte ich haben (denke ich zu mindest). Sehr gute Hilfe habe ich im Technet gefunden.

Ich werde alles testen und dann berichten.

Ich habe ein paar Smartcardreader und einige Karten "herumliegen". Wurden eingekauft und nie verwendet. Jetzt möchte ich die Reader und Karten in einer Testumgebung, für Winlogon, verwenden.

Smartcardreader: SMC Microsystems SCR111

Smartcard: GemSAFE 8k

Server: Windows 2003 Std.

Clients: Windows-XP inkl. SP2

Meine Frage: Ist dies mit den oben genannten Komponenten möglich?

Mir wurde gesagt, dass für das Zertifikat die 8k nicht reichen. Ist das wirlich so? Hat jemand Erfahrung mit oben genannter Konfiguration?

Wie automatisch soll die Funktion sein?

Booten von CD oder über RIS?

www.collax.com

Diese Art von Software, sollte man immer auf die Computer zuweisen. Beim Neustart des Clients wird die Software automatisch, für alle User installiert.

Sind es Popups oder Nachrichten a la net send.

Deaktiviere den Nachrichtendienst, wenn er läuft und Du in nicht benötigst.

Den Pc im abgesicherten Modus starten und dann auf Viren scannen.

Das habe ich mich auch schon gefragt.

Der Vorteil zu einer bedingten Weiterleitung, Du musst keine IP-Adressen der DNS-Server wissen. Wird ein DNS-Server ausgetauscht oder er bekommt eine andere IP, wird diese Änderung im Zuge der Multimasterreplication übertragen.

Nachdem Du den Snapshot erstellt hast, das *.msi Paket mit der rechten Maustaste anklicken und komprimieren. Ich denke so ähnlich nennt sich die Funktion.

%windir%\system32\logoff.exe

Die Konfiguration der Clients erledigst Du am besten mit einem DHCP-Server.

Am ISA-Server ist kein DNS eingetragen. Hier sollte die IP des DC's stehen "192.168.22.2".

Wenn ich das richtig sehe, gibst Du dem DC den falschen DNS. Der DNS auf dem DC sollte entweder die eigen Adresse sein "192.168.22.2" oder die Loopbackadresse "127.0.0.1".

http://www.heise.de/ct/95/11/392/

Lauflicht am Ende des LAN. Ist zwar zum selbst bauen, dafür nicht teuer.

Hatte daselbe Problem mit Intel-Karten. Geschwindigkeit der Netzwerkkarte von "automatisch" auf eine fixe Übertragungsrate einstellen.

Ich hatte ebenfalls dieses Problem.

Meine Lösung: Alle Dateien und Ordner, die mit Outlook zu tun haben, im Profil des Users löschen

beim nächsten Start von Outlook werden die Dateien neu erstellt

Sollte das nicht funken, einfach ein neues Outlookprofil anlegen.

Extras - Optionen - E-Mail-Format - Internetformat - Outlook Rich Text Optionen - In HTML-Format konvertieren

F2 für das Setup (Bios)

Unter der Seite "Boot" gibt es eine Einstellung names "Boot-time Diagnostic Screen".

Disable - zeigt die Grafik

Enable - zeigt Bootmeldungen des Bios

InetOrgPerson-Konten

Active Directory unterstützt die InetOrgPerson-Objektklasse und die zugehörigen Attribute, die in RFC 2798 definiert sind. Die InetOrgPerson-Objektklasse wird in mehreren LDAP- und X.500-Verzeichnisdiensten, die nicht von Microsoft stammen, zum Repräsentieren der Mitarbeiter in einer Organisation verwendet.

Durch die Unterstützung von InetOrgPerson werden Migrationen von anderen LDAP-Verzeichnissen nach Active Directory effizienter ausgeführt. Das InetOrgPerson-Objekt ist von der Benutzerklasse abgeleitet und kann wie die Benutzerklasse als Sicherheitsprinzipal verwendet werden. Informationen zum Erstellen eines inetOrgPerson-Benutzerkontos finden Sie unter Erstellen eines neuen Benutzerkontos.

Wenn als Domänenfunktionsebene Windows Server 2003 festgelegt wurde, können Sie das userPassword-Attribut in InetOrgPerson und Benutzerobjekten als gültiges Kennwort festlegen, ebenso wie beim unicodePwd-Attribut.

Zuerst muss die Datei in "winnt.sif" umbenannt werden. Danach auf eine Diskette kopieren, die sich beim Start von der XP-CD, im Laufwerk befinden muss. Oder Du brennst die CD neu und kopierst die "winnt.sif" in den Ordner "i386" auf der CD.

Den Dienst "Volumeschattenkopie" über eine Richtlinie abdrehen.

In der Antwortdatei: *.sif, die verweise auf den Adminitrator löschen.

Es gibt einen Eintrag: Administrator = aktiviert oder deaktivert.

Die komplette Zeile löschen und es funkt.