alexstarke

soo. ich habe nun den dns neu aufgesetzt. und noch einige andere fehler behoben im AD. der server läuft jetzt ohne fehler in der ereignisanzeige. Die Zertifikatsdienste laufen auch Fehlerfrei. Also nun zurück zum ursprünglichen Problem: was brauche ich jetzt in richtung Zertifikate, wenn ich eine VPN-Verbindung L2TP auf Zertifikatsbasis aufbauen möchte und wie stelle ich das an? Was brauche ich für eine CA?

soo. hab eine lookupzone eingerichtet.

C:\Dokumente und Einstellungen\starke_a>nslookup http://www.google.de *** Der Servername für die Adresse 10.1.0.3 konnte nicht gefunden werden: Non-existent domain *** Die Standardserver sind nicht verfügbar. Server: UnKnown Address: 10.1.0.3 Nicht autorisierte Antwort: Name: http://www.google.akadns.net Addresses: 66.102.11.104, 66.102.11.99 Aliases: http://www.google.de, http://www.google.com Als Zertifikatsservice hab ich Stammm Organisations CA aufgesetzt. ist doch richtig, als alleinstehender Server ohne kontakt zu anderen...?

ok! ich seh's ja ein! wenn ich die Links falsch poste, könnt ihr mir auch nicht antworten ;-) also nochmal richtig: netdiag: http://ast.dyndns.org/netdiag.txt dcdiag: http://ast.dyndns.org/dcdiag.txt

also wenn Global Catalog (GC) nur der eine Haken zu setzen ist unter standorte, servers, eigenschaften des servers, dann habe ich's. die pdc emulation und alles andere auch was möglich war, hab ich mit ntdsutil übertragen (konnte zumindest keine fehler erkennen) jetzt schaumermal was so passiert an fehlermeldungen... ;-) netdiag: http://ast.dynds.org/netdiag.txt dcdiag: http://ast.dyndns.org/dcdiag.txt also so ganz kanns noch nicht stimmen...

das entfernen war in einem anderen artikel hier im Board. Das habe ich o gemacht, wie es da steht. Also grob gewaltsam! ;-) Daher wohl auch das verhalten jetzt, weil die aufgaben nicht übertragen wurden. http://www.mcseboard.de/showthread.php?threadid=46140 werde die aufgaben nachher mal übertragen mit ntdsutil. aber wie mache ich aus einem DC ein GC? und was ist das üpberhaupt??? ;-) oh man. ich glaube ich sollte mir demnächst mal ne schulung antun, bzw nen paar bücher wälzen. Learning by doing is eben doch nit 100% das wahre...

dcdiag:

deinstalliert hab ich mal. Aber irgendwas scheint da sowieso im argen zu sein: netdiag:

ok. tests werde ich nochmal durchführen. (unter dns der verwaltungskonsole von dns und da in den servereigenschaften, ist der richtige, oder?) habe auch schon auf den dns getippt, aber er funktioniert ja ansonsten... CA: keine ahnung. also es gibt nur einen server. daher wird das egal sein, oder? hätte ich das irgendwann mal auswählen müssen? Könnte mich jetzt nicht dran erinnern.... ast

genaueres Umfeld: win2k3 domain controller. mit IIS, PHP, MySQL Dienste: DNS, DHCP, RRAS und Zertifikate. Zertifikate wird für späteren einsatz mit VPN (IPSec) benötigt. nur funktionert er alleinstehen noch nicht... was brauchste noch für info's? danke schonmal für die mühe, alex

neue fehler im eventlog:

Moin. hab nach dem einrichten von Zertifikatsdiensten im Eventlog folgenden eintrag öfter:

also dcpromo /forceremoval geht nur, wenn ich den DC noch habe würde ich sagen ;-) aber mit der MS Knowledge Base Seite bin ich weiter gekommen. dneke ich habe jetzt den DC komplett entfert! vielen dank nochmal. und sorry, dass es so lang gedauert hat, bis ich mich wieder melde. war etwas beschäftigt ;-)

nein! eben nicht! das hab ich vergessen... wie kann ich das jetzt noch machen ohne den server zu haben...

1723 ist der port für PPTP???!? aber der ist auch weitergeleitet! VPN connect mit PPTP geht ja....

ok! mit hilfe von dem umstellen hab ich es jetzt auch geschafft. ansonstren hat er immer eine PPTP verbindung aufgebaut. aber er beut die IPSEC verbindung nicht auf. Der pre-shared-key stimmt überein auf server und client. Fehlermeldung ist:

Moin gemeinde, folgende frage: habe einen neuen server aufgebaut in einem netz, hab ihn als memberserver genommen, AD syncronisier und den server als shemamaster eingetragen. dienste laufen alle auf dem neuen server. problem: ich hab den alten server jetzt "vernichtet" anmeldungen und alle sienste hat der neue auch wunderbar übernommen. aber: wie entferne ich den DC jetzt aus der domäne, wenn er nicht mehr exestiert?? erzeugt diverse fehlermelduingen wegen fehlgeschlagener syncronisation der ordner (netlogon usw.) was muss ich wo alles löschen? (im dns hab ich ihn schon gelöscht; in der standortverwaltung kann ich ihn nicht löschen...) gruß, alex

jawohl. verständnis richtig. den ersten absatz hab ich schon so. das funktioniert auch alles. nur das die user es selber änder könnten wäre eben schön. falls jemand anderem noich eine lösung einfällt??? gruß, ast

1 und 2 werde ich nachher probieren, danke schonmal. mit 2. meine ich, ob es eine möglichkeit gibt die rechte auf verzeichnisse (haken bei anonyme anmeldung und dann die zugriffsberechtigung für user) irgendwie anders setzen kann außer in der mmc-console des IIS? Ziel: die möglichkeit für user, die dort dateien ablegen (quasi wie bei einem webhoster) ihre ordner zu schützen, aber trotzdem für einige zugänglich zu machen. (die dateien draufkopieren tun sie via einer vpn einwahl und anschließendem nutzen der freigabe IHRES ordners. dieser ordner ist ein unterordner vom STammverzeichnis des Webservers. danke schonmal.... ast

Moin Gemeinde, habe meinen Webserver umgestellt von Apache mit PHP und Mysql auf IIS 6.0 mit PHP5 und Mysql. Ist auch alles lauffähig. Nur noch ein paar fragen zur technologie: 1. welchem user muss ich ntfsrechte geben, damit php in die dateien schreiben kann? (bei apache lief's ja unter system...) 2. Zugriffsschutz für verzeichnisse: wenn ich windowsintegrierte anmeldung haben will, gibt es eine ähnliche möglöichkeit wie htaccess, dass auch leute von extern in "ihre" verzeichnisse auf dem server sie sicherheit einstellen können? 3. wenn ich die php-config ändere, wie bringe ich IIS zum neustarten? ein neustarten der Stadtartwebsite reicht nicht. gruß, alex

also: habe den IPSec pre-shared key eingegeben in client und server aber er stellt eine verbindung über PPTP schnittstelle am RRAS her. Nur warum weiß ich nicht. ist das Howto schon vorhanden? kann ich das vielleicht vorab schonmal per mail, o.ä. bekommen?? Wär echt super! Würde es nämlich weit lieber mit zertifikaten machen. einen einzigen preshared key für alle ist mir einfach zu unsicher, dass der irgendwann beine bekommt und überall im umlauf ist. Zu der verschlüsselung: mir ist klar, das eigentlich nicht ALLES verschlüsselt werden kann. dennoch gibt es wohl unterschiedliche arten der IPSec verschlüsselung in der menge des paketes. Der Borderware Firewall server verschlüsselt z.b. angeblich umfangreicher als Windows?? Hab ich nur gehört! Weiß es nicht wirklich. Aber ist da was dran?

soo. also hab das nun so umgesetzt wie in der hilfe von tabo beschrieben. IPSEC passwort auch vergeben. beim aufbau im client eingestellt. trotzdem sieht es aus wie eine PPTP verbindung. und wenn ich das passwort falsch eingebe im client kommt trotzdem eine verbindung zu stande. wieso das? außerdem noch 2 fragen: kann ich die anmeldung/verschlüsselung irgendwie mit zertifikaten realisieren? Beziehungsweise mit eine pre-shared key für jeden user und nicht einem allgemeinen? Wie sieht es mit der verschlüsselung von dem in Windows implementierten IP-Sec aus? Ist das ein "Full-IPSEC" oder wird nur der Paket-inhalt verschlüsselt anstatt ein komplettes paket? danke im vorraus, alex

ich hab langsam echt keine ahnung mehr woran es liegen könnte? Hier auch keiner eine idee? Mit was für info's kann ich euch weiterhelfen?

nein problem ungelöst. aber warum ist mein screenshot nicht da? wieso wurde der nicht freigeschaltet? :-( also eben externer link zum screenshot! http://ast.dyndns.org/iis-worker.jpg