Kat'l

mir würde ja auch schon eine Antwort reichen wie: das geht nicht oder das geht nur so und so *mhm*:suspect:

Hallo, ich möchte mit einer anderen Organisation verschlüsselte E-Mails austauschen. Dazu besteht auf meiner Seite eine MS Zertifizierungsstelle (unrelevant) und es sind die öffentlichen Schlüssel der anderen Organisation zugänglich (sowie Zertifizierungsstellenzertifikat-beispielsweise über Grupenrichtlinien als vertrauenswürdige CA verteilt). Wie kann ich jetzt die Kontakte mit entsprechenden öffentlichen Schlüsseln (der anderen Organisation) für jederman zugänglich machen (egal wo er sich befindet) ohne das die Schlüssel lokal gespeichert werden müssen bei jedem Nutzer? Die eine Möglichkeit wären ja die ÖO, da gibt es aber soweit ich das probiert habe, keinen Chance mit OWA.Aber zumindest wären intern die Zertifikate verfügbar. Gedacht hatte ich mit das egtl so, dass ich ein Kontakt im AD anlege und zu diesem dann das entsprechende öffentliche Zertifikat hinzufüge - aber dafür finde ich keine Möglichkeit?! Kann mir da jemand weiterhelfen?Oder gibt es da noch andere Ansätze? Katja

so hoffe mein posting hilft wenigstens anderen weiter. das einzigste Problem dabei war das auch die Gruppe DomainController (nicht nur Domainbenutzer oder Domaincomputer) mit in CERT_DCOM_ACCESS eingefügt werden musste.

so ich schon wieder ;) wie ich festgestellt habe, tratt der erwähnte Fehler nur dieses wochenende auf und da hatten ein Problem mit der Netzwerkkarte des Zertifizierungsserver - dh der Fehler wäre schon mal abgehakt! *juhu* aber seit letzte woche tritt der Fehler auf, welcher dem andern zum verwechseln ähnlich ist, sozusagen: Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskategorie: Keine Ereigniskennung: 13 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert Bis jetzt konnte ich diesen Fehler nicht beheben, hab schon folgendes gemacht: =================================================== Zur Kontrolle ob es eine CA gab/gib, folgenden Filter setzten: dsquery * forestroot -scope subtree -filter (objectclass=PkiEnrollmentService) Mögliche Ausgabe: "CN=InternalCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=domäne,DC=int" >> ist korrekt ------------------------------------------------------------------------------------------------- Nach SP1 wird Sicherheitsgruppe CERT_DCOM_ACCESS angelegt: - Kontrolle ob DomainBenutzer und DomainComputer hinzugefügt sind >> ja ------------------------------------------------------------------------------------------------- MS: "Zuweisen von Berechtigungen für die Zertifikatsregistrierung Zum Schluss müssen Sie jeder Sicherheitsgruppe der Domänencontroller der Domäne die Berechtigung gewähren, sich für die Domänencontrollerzertifikate zu registrieren. So gewähren Sie Domänencontrollergruppen die Berechtigung, sich für Domänencontrollerzertifikate zu registrieren 1. Starten Sie das Snap-In für Active Directory-Sites und -Dienste. 2. Klicken Sie auf das Menü Ansicht und anschließend auf Dienstknoten anzeigen. 3. Doppelklicken Sie auf den Knoten Dienste und den Knoten Public Key Services und anschließend auf Zertifikatvorlagen. 4. Doppelklicken Sie auf Domänencontroller, dann auf Eigenschaften, und wählen Sie dann die Registerkarte Sicherheit. Hinweis: Die Domänencontrollergruppe in der Domäne der Zertifizierungsstelle weist bereits die Berechtigung Registrieren für diese Vorlage auf. Sie müssen die Berechtigung Registrieren allen anderen Domänencontrollergruppen aus anderen Domänen in der Gesamtstruktur gewähren. Andernfalls verfügen diese Domänencontroller nicht über die Berechtigung, die Zertifikate Domänencontroller erfolgreich anzufordern, und deren automatische Registrierung schlägt fehl." Authentifizierter Benutzer: read; DC's: read, enroll >>ok ------------------------------------------------------------------------------------------------- certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG War erfolgreich und erhielt neuen Wert + certsvc neugestartet. ------------------------------------------------------------------------------------------------- - Rechte auf Zertifikatsvorlage "Domänencontroller" gesetzt (domänencomputer: read,enroll; auth. Benutzer: read) - Einstellung der Gruppenrichtlienen im Active Directory(-Benutzer und -Computer) auf Automatische Zertifikatsanforderung + autom. Registrierung http://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/artikel/erstellen-einer-organisations-stammzertifizierungsstelle.mspx ------------------------------------------------------------------------------------------------- C:\Dokumente und Einstellungen\ibes_monitor>certutil >> Eintrag von Zertifizierungsstelle korrekt ------------------------------------------------------------------------------------------------- Rechte auf “C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys" Administrator / Benutzer /System /Jeder -> alle mindestens Rechte zum lesen, ausführen und ordnerinhalte auflisten Weiß jemand von euch noch weiter?...wäre toll. Danke schonmal fürs lesen.

Hallo zusammen, ich komme bei diesem Problem echt nicht weiter. Seit wir eine Unternehmens-CA installiert haben, tritt folgender Fehler, alle 8h - ich nehme an, nach Aktualisierung der Richtlinien, auf unserem 2. DC auf: Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskennung: 13 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar. Der anderen DC (wo die Zertifizierungsstelle installiert ist) hat das Zertifikat dagegen automatisch erhalten. weiter infos: - Windows 2003 Server + SP1 - Die Seite der Zertifizierungsstelle ist zu den vertrauenswürdigen Sites hinzugefügt. - Zertifizierungsstellenzertifikat wurde automatisch verteilt und befindet sich in "Vertrauenswürde Stammzertifizierungstellen" - Händiges Richtlinien aktualisieren (gpupdate /force) hat nichts gebracht. Leider hab ich keine Ideen mehr, auch nicht so ich noch suchen soll (eventid.net, support.microsoft.com - nix gebracht). Ist jemanden von euch dieser Fehler schon mal untergekommen oder hab ihr noch Ideen was man testen könnte? Danke für eure Hilfe.

hatte nochmal alle Zertifikate kontrolliert, das Zertifikat des ISA Servers war falsch ausgestellt. der Proxy des Outlookprofils war außerdem nicht korrekt(muss ja auch msstd:externe_exchange). daraufhin habe ich am ISA ein RPC_DATA_IN erhalten. und der letzt endliche Übeltäter war dann dieser Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\RpcProxy ValidPorts Servername_intern:6001-6002;FQDN_intern:6001-6002;FQDN_oder_IP_extern:6001-6002; Servername_intern:6004;FQDN_intern:6004;FQDN_oderIP_extern:6004; Ich bekomme nun mein Postfach auf, dies passiert aber erst beim zweitenmal der Einwahl. woran könnte das hängen? wäre toll wenn ihr eine idee hättet. danke.

ok habe jetzt die outlookfehlererkennung angeschalten und bekomme Remoteprozeduraufruf Fehlercode (6BA) was laut http://www.megos.ch/support/doserrors.txt darauf hinweißt das der RPC Server nicht erreichbar ist ... das sagt mir nun irgendwie nicht mehr als vorher. ist vielleicht der eintrag in der hostdatei nicht korrekt. oder kann es auch sein, dass das mit den Zertifikaten noch nicht genau überein stimmt?

soooo dummerwiese bin ich immer noch nicht weiter. die fehlermeldung auf das rpc verzeichnis kommt jetzt wieder, ich hatte lediglich dort schreib/lese rechte vergeben. wenn ich nun direkt über IE auf das rpc verzeichnis zugreife https://externe_ip_von_isa/rpc, werde ich ja richtig weiter geleitet und laut isa log wird diese Verbindung auch zugelassen. mir scheint als ob der ISA nichts mit der outlook anfrage anzufangen weiß-also wohin er sie weiter leiten soll (? wieso auch immer, obwohl der listener der webveröffentlichungsregel auf den externen port des isa's lauscht und auf den exchange weiterleitet).deshalb habe ich noch einträge in die hosts und in die lmhosts gemacht (externe_ip_isa exchange_fqdn). leider habe ich keine ideen mehr. ich hoffe aber jemand von euch hat noch eine idee, wo der fehler liegen könnte.

Hallo, und zwar möchte ich über ein outlook konto zurgiff zu meinem exchange postfach haben (rpc over http), der exchange server (ebenfalls DC und zertifizierungsstelle) befindet sich hinter einem isa server. folgende konfiguration habe ich dazu vorgenommen: -> RPC-über-HTTP Proxy installiert/eingerichtet -> Standartwebsite konfiguriert (+ Zertifikat) -> Ports für Proxy in regedit eingetragen -> Zertifikatsstelle angelegt (ISA und Client haben Zertifikate) -> sichere Webveröffentlichungsregel auf ISA angelegt (pfade für webacces und rpc in einer Regel, auch selben Listener) die stolperstelle die noch vorzufinden ist, und wo ich nicht genau weiß was da falsch läuft, ist dass bei der von mir angelegten Richtlinie im ISA im Reiter Bridging zwar SSL aktivieren kann, aber eine Zertifikats auswahl ist nicht möglich ob wohl ich für den Firewalldienst das Zertifikat eingebunden hab - ist das überhaupt notwendig (?) zur konfiguration im isa schreibe ich jetzt nichts weiter, da ich vermute das die soweit korrekt ist, auf grund dessen, dass ich von meinem client aus über webaccess auf mein postfach zugreifen kann (bitte verbessert mich fall ich da daneben liege). ebenfalls komme ich auf das /rpc-verzeichnis, es kommt die zertifikatsabfrage (name das zertifikates stimmt ja nicht mit dem von außen erreichbaren exchange überein) dann die anmeldung , aber keine fehlermeldung ( obwohl HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters NSPI interface protocol sequences - ncacn_http:6004 gesetzt ist) liegt dabei schon der fehler? nun zu meinem outlook problem: die konfiguration erfolgte nach der ms anleitung http://office.microsoft.com/en-us/assistance/HA011402731033.aspx aber es kommt keine verbindung zustande. dad log des isa servers hat mir bisher dabei auch nicht weiter geholfen... es kommt eine Anfrage an den isa server(init) und das nächste ist dann wieder die trennung, der isa baut keine verbindung richtung exchange auf, so wie es aussieht, obwohl haargenau das selbe im log des isa's bei dem webaccess zugriff drinsteht (cient und ziel-ip...) ich weißt leider nicht wo ich noch bei der fehlersuche ansetzten könnte, habt ihr da ideen? achso und eh ichs vergesse ein urlscan ist nicht mit drin.

Das beim server ist echt sehr komisch :suspect: na gut, aber am client hab ich's nun auch getestet (Einstellungen sind am Server und am Client vorgenommen) und es will wieder nicht gehen....*wah* also ehrlich gesagt fällt mir dazu jetzt gar nichts mehr ein keine ahnung ob das evtl damit zusammenhängt das es bei den Druckaufträgen auch relativ lang dauert (>1min) bis sie "ankommen" und gedruckt werden?! aber ich kann mir das schwer in zusammenhang mit der Bestätigung vortsellen...was könnte das den für ne Ursache haben?

ich meine wenn du direkt ein dokument vom server auf druckst, bekommst du dann auch die Bestätigung auf dem server? bis jetzt habe ich das nämlich nur so probiert.

Also theoretischer Weise müsste das laufen?! *mh?* hab jetzt auch mal nur die 2 Haken drin gehabt und es kommt trotzdem nichts an. Aber muss auch dazu sagen, das ich das Ganze vom Server aus ausprobiere und es funktioniert weder zu Netzwerkdruckern noch zu Druckern an einem anderen PC. @cyrus: funktioniert das denn bei dir direkt am Server?

Hey cyrus, ja die habe ich auch ausgewählt (meinte ich mit " xx> Druckerbenachrichtigung für Vorgängerversionsclients auch alle Haken gesetzt " war nur zu faul alles auf zu schreiben :rolleyes: ). und obs dazu noch ne policy gibt *mh* ehrlich gesagt keine ahnung. ich weiß nicht, habe das ganze auch noch bei einem anderen win2k3 server probiert,leider auch ohne erfolg. nun frag ich mich halt ob das überhaupt noch geht!? nutzt das jemand von euch bzw weiß ob das egtl gehen müsste?

hallöchen, hat von euch jemand schon mal probiert ob er bei einem win2k3 server (w2k, xp clients) nachrichten bekommt die den druckauftrag bestätigen? ich weiß hier wollen alle den Dienst ausschalten... wenn ihr noch ne andere möglichkeit habt um die User darüber zu Informieren (damit sie nicht vergessen das sie gerade gedruckt haben ;) ) wär ich auch dafür offen. nun erstmal zur Konfiguration: - Nachrichtendienst ist aktiviert ("net send" funktioniert auch zwischen den Servern bzw Clients) - in den Servereigenschaften (Drucker und Faxgeräte) ist folgendes aktiviert: xx> Informative Benachrichtigung für lokale Drucker anzeigen xx> Informative Benachrichtigung für Netzwerkdruckeranzeigen xx> Druckerbenachrichtigung für Vorgängerversionsclients auch alle Haken gesetzt Muss sonst noch irgendwas eingestellt werden? danke fürs lesen, hoffe ihr habt ideen dazu!

so also wir habens jetzt gepackt. erst haben wir das alles noch mal gecheckt: - maustreiber (USB-Maus durch Ps2 maus ausgetauscht) - Updates sind alle die gleichen drauf (auf beiden clients) - farb und desktopeinstellungen denke ich nicht, weil eine "normale" remoteverbindung erst funktioniert (deswegen auch nicht GraKa) daran lags auf jeden fall nicht. und die lösung des problems war nun ( keiner kann sich das erklären...): wir haben die ältere version davon installiert (Terminaldiensteclient), dort hat das ganze einwandfrei funtioniert. und danach wieder die Remotedesktopverbindung (neuer) laufen lassen und schon ging auch das. dankeschön für eure Hilfe!!! und wenn noch jemand ne idee hat wieso das so ist, dann würde mich das auch interessieren ;)

also ich hab keine ATI grafikkarte. somit hab ich auch keinen prozess von der art gefunden. wofür sollte dieser prozess den verantwortlich sein bzw was macht der genau?

Ok also ich erläutere noch mal kurz meine vorgehensweise, weil sonst weiß hier keiner, was ich falsch gemacht haben könnte. da das ganze erstmal nur zu testzwecken auprobiert wird, besteht meine alte datenbank noch. 1. von dieser mache ich ein (online-)backup. in der datenbank ist das häkchen "Diese Datenbank kann bei der Wiederherstellen überschrieben werden" gelöscht und es wurde nur der Informationsspeicher des Postfachspeicher ausgewählt, nicht der für öffentliche Odner. 2. dann erstelle ich eine speichergruppe für die wiederherstellung, welche bei wiederherstellung überschrieben werden darf. 3. ich nehme alle postfachspeicher offline 4. füge eine datenbank zu der speichergruppe für die wiederherstellung hinzu - stelle die speichergruppe für die wiederherstellung bereit 5. ich nehme die datenbanken wieder online (außer die für die wiederherstellung) 6. backup wiederherstellen, es gibt keine fehlermeldungen (backup entspricht auch der größe des postfaches) erst gab es welche, habe dann aber ein registrykey gesetzt (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\ParametersSystem Recovery SG Override (dword)=1) 7. Bereitstellen des Informationsspeichers für wiederherstellung. und nun wird mir nur anmeldungen und postfächer angezeigt, aber beide ordner sind leer. wieso das? es hat auch schon mal geklappt das mir unter postfächer, die entspechenden der personen angezeigt wurden, aber da hatte ich nichts anders gemacht... habe das auch mal mit und ohne logfile wiederherstellt, aber hat keine veränderung gebracht. habt ihr noch ideen?

Treiber sind ja alle da. wenn ich von meinem client aus, 2 terminalverbindungen öffne dann funktioniert die maus noch. sobald ich dann aber bei einer terminalverbindung in der Terminaldienstverwaltung, die andere verbindung überwache, ist die maus weg. und ohne läßt sich das ganze ja schlecht steuern! sobal ich dann die überwachungabbreche, geht das ganze wieder.

habt ihr keine vermutungen oder irgendwelche ideen zu dem thema was ich ganz vergessen habe zu sagen, vor einem Update (leider nicht mehr klar welches das genau war) hat es ja noch funktioniert-ok das macht die sache nicht wesentlich besser. aber ich weiß nicht mit was das nun genau zusammen hängt, mit welchem treiber dienst oder was weiß ich. das der mauszeiger nicht auf dem "remotekontrollierten" angezeigt wird das ist mir klar. aber wieso auf einmal nicht mehr beim "remoteüberwacher"?

Hallöchen, leider komm ich mal wieder bei einem problem nicht weiter und hoffe auf eure hilfe. habe einen win2k server, auf diesen wird von einem w2k client per terminaldienst zugegriffen, ein weiter client greift in die remoteverbindung per remoteüberwachung ein. und seit neusten (nur paar neue updates auf client), seh ich meine maus nicht mehr in der "session" - keiner von beiden clients tut das. nun hab ich das ganze nachgestellt und greife jetzt von einem dritten client drauf zu (2 terminalverbindungen) und es laufen die selben updates usw. und ich sehe meine maus. also wird es wohl kaum an irgendwelchen updates liegen. was könnte denn dann verstellt sein? oder woran liegt das? ich hab leider keine Idee. :( danke fürs durchlesen hoffe ihr könnt mir helfen.

hallo, habe schon fast euer ganzes Forum durchgeschaut, aber keine lösung dafür gefunden. also erstmal meine situation: habe, wie in http://www.msexchange.org/tutorials/Recovering-Mailboxes-Exchange2003-SP1.html und http://www.msexchangefaq.de/admin/rsg.htm beschriebenen Anleitung, versucht die Postfächer des exchange 2003 wiederherzustellen. habe alle häkchen gesetzt usw. Das Backup zu erstellen und das wiederhestellen klappt problemlos. Ich kann den Informationsspeicher bereitstellen, aber dann sind die ordner "anmeldungen" und "postfächer" einfach nur leer. Was aber ja egtl nicht sein kann, da das Backup die entsprechende größe des ehemaligen Postfaches hat. Fehlermeldungen finde ich im ereignissprotokol leider auch keine. Hoffe ihr habt ideen dazu. ich kann auch einiges ausprobieren, da das ganze nur auf nem Virtuellen Testserver läuft. Danke schon mal.

Hallo, weiß nicht ob du mittlerweile was gefunden hast wegen dem Komma. Aber für die, die's noch interessiert: Es muss bei Ms ein Hotfix bestellt werden KB Article Number: 883419. Eigentlich sollte das ganze schon in SP1 implementiert werden, ist aber anscheinend nicht geschehen.

ok, da hab ich wohl den falschen suchbegriff gehabt. ok dann probier ich das mal mit dem tool (http://support.microsoft.com/default.aspx?scid=kb;en-us;237282&Product=win2000). hat das jemand schon unter win 2k3 getestet? Danke schön für eure Hilfe!

Aus Sicherheitsgründen müsste die Anmeldung nur an einer WS funktionieren. Bei einer anderen WS müsste die Anmeldung nicht mehr möglich sein. jep, so war das gemeint, da hab ich mich wohl etwas zweideutig ausgedrückt :rolleyes: Geht das überhaupt?

hallo, habe folgendes problem: Die Benutzer sollen sich an der Domäne (win2003 server) insgesammt nur einmal anmelden dürfen (Admin mehrmals). Über das Benutzermanagement (usrsvr.exe) ist das nicht möglich, das geht anscheinend nur bei NT. Wie und wo kann ich das dann einrichten? :suspect: Hoffe ihr könnt mir weiter helfen. Danke fürs durchlesen ;)