StefanWe

Hi, ich habe eine Testumgebung mit den RemoteApps aufgebaut. Und zwar habe ich einen domänencontroller aufgesetzt und darauf die Terminal Services. ( Ja ich weiß, sollte in der praxis nicht gemacht werden) Dc wird aber benötigt, so dass man bei den Remoteapps die Anwendungen zu benutzergruppen zuordnen kann. Habe dann einen Benutzer angelegt: benutzer1 Wenn ich nun als App z.b. Paint in den Remoteapps freigebe und per Webüberfläche ( https://terminalserver/rdweb ) eingebe, muss ich mich authentifizieren. Nun kann ich das App anklicken und es wird gestartet. ****erweise wird in dem Moment, wo ich auf das App klicke, nochmal nach Benutzername und Kennwort gefragt. Client ist in diesem Fall Vista Business mit aktuellstem Update für RDP. Kann man diese letzte authentifizierung irgendwie ausschalten, so dass die anmeldung an der Webseite weiter gereicht wird ?

ja genau, das Cert war mittels der GPO in den Trusted Root Store importiert. Aber hilft auch nichts. Ich glaube ich gebe das langsam auf ^^

mh du hast recht. Naja mit die Fehlercodes hab ich nicht wirklich ernst genommen, da meist diese mir nichts ausgesagt haben, wenn man nach gegoogelt hat. Aber scheint ja diesmal anders zu sein. Dann versuche ich einmal das Zertifikat aus dem IIS zu exportieren und auf dem MObile Client zu importieren. Aus dem IIS sollte ja richtig sein, weil hier das OWA Cert liegt. Oder?

so, habe gerade nochmal nachgeschaut auf dem mda. Fehlermeldung lautet exakt. Synchronisierung konnte nicht beendet werden. Fehler 0x80072F17.

Guten Morgen, also das DRA liegt im Physikal Store unterhalb von Vertrauenswürdige Stammzertifizierungsstellen-> Gruppentichlinie->Zertifikate Ein anderes Cert als DRA hab ich nirgends gefunden. Das einzige, ich hatte unterhalb von Vertrauenswürdige Personen zwei mal den Administrator drin mit einem Cert für verschlüsselndes Dateisystem. Habe das eine Cert gelöscht und das andere in den Vertrauenswürdigen Stammcerts importiert. Aber trotzdem kein Erfolg. Kann es denn nicht sein, dass das DRA Cert falsch ist? Muss ich das wirklich nur mit cipher.exe /r:dateiname machen? Und dann in dem Gruppenrichtlinienverwalter das cert also die *.cer Datei auswählen? Muss ich den Privaten schlüssel nicht irgendwo extra noch importieren?

Ähm die Fehlermeldung lautet: Der Synchronisierungsvorgang wurde abgebrochen. Mehr steht dort nicht, wenn man auf "Status" klickt. Aber um das mit dem CA nochmal anzusprechen. Dies wird vermutlich der Grund sein, oder? Zum testen, wie bekomme ich das selbstsignierte Cert denn exportiert, bzw. auf den Mobile Client importiert ?

Hi, bei einem Kunden betreibe ich einen Exchange 2007. Owa ist von extern erreichbar. https://mail.firma.de/owa Das iphone ließ sich einwandfrei mit der push funktion einrichten. Nun hat ein weiterer mitarbeiter ein MDA mit Win Mobile 5. Hier sollte nun Active Sync eingerichtet werden, das er dirrekt mit dem exchange abgleichen kann. Habe soweit alles eingetragen, allerdings sobald ich auf Synchronisieren klicke, kommt kurz die Meldung Ordner werden synchronisiert und dann bricht der vorgang ab. Leider steht dort keien Fehlermeldung die weiterhilft. Nun ist es so, das ich für den Exchange kein offizielles Zertifikat habe. Kann es sein, das ich das Exchange Zertifikat erst auf das Mobile Gerät kopieren muss, oder gibt es noch weiteres was falsch läuft? An der Firewall ist nur Port 443 für die SSL Verbindung und 25 für SMTP zum Exchange weitergeleitet. Der User hat in den Eigenschaften Active Sync und owa Zugriff.

Guten Morgen, erstmal nocheinmal ein großes Danke, das du dir die Mühe machst. der RSOP war vom SBS. Ich habe jetzt gerade im Lokalen Zertifikatsspeicher des SBS geschaut( nicht des Administrators) Und im Ordner Vertrauenswürdige Stammzertifikate -> Zertifikate gibt es ein "Datenwiederherstellungs Zertifikat. Dieses ist fausgestellt für den Administrator und auch vom Administrator ausgestellt. Gültig bis 19.09.2109. Allerdings bei Angezeigter Name steht <Keine> Es lässt sich nun auch nach einigen Tagen warten immernoch nichts auf dem SBS verschlüsseln.

@sschulz80: der Haken ist definitiv gesetzt. @olc: Punkt 6 habe ich noch nicht gemacht. Habe es nun aber durchgeführt, sowie ein gpupdate - brachte leider immernoch keinen Erfolg. Im lokalen Zertifikatsspeicher ist das Zertifikat nun auch bei allen CLients drin. Die GPO wird also einwandfrei angewendet. Ich vermute das Problem liegt eher am Administratorkonto. Da ich selbst wenn ich am SBS2003 angemeldet bin, als Administrator auf den Lokalen Festplatten nichts verschlüsseln kann, ich erhalte dann immer die selbe Fehlermeldung, wie beim Client.

Also der Fileserver ist gleichzeitig der Domänencontroller auf dem ich das DRA Zertifikat erstellt habe. Durch die Gruppenrichtlinienergebnisse habe ich folgende ausgabe. ZertifikateAusblenden Ausgestellt für Ausgestellt von Gültig bis Beabsichtigte Zwecke Ausschlaggebendes Gruppenrichtlinienobjekt Administrator Administrator 19.09.2109 17:02:33 Dateiwiederherstellung Default Domain Policy Starten Sie den Gruppenrichtlinienobjekt-Editor für weitere Informationen über bestimmte Einstellungen. Damit wurde die DomainPolcy geladen und auch angewendet. Allerdings ist mir folgendes Aufgefallen. Ich habe gerade als angemeldeter Administrator am Server(Fileserver) versucht einen Ordner zu verschlüsseln. Hier erhalte ich die selbe Fehlermeldung wie vom Vista CLient übers Netzlaufwerk. Also scheint der Hund beim Server begraben zu sein. Benötige ich denn noch ein anderes Cert ?

Hi, habe gerade folgendes festgestellt. Wenn ich von meinem Vista Client auf dem Lokalen PC einen Ordner verschlüssel geht dies einwandfrei. Mache ich es aber auf einem Netzlaufwerk auf dem Server, erhalte ob obige Fehlermeldung. Habe nun die Selbsterstellten Zertifikate mit cipher /r:dateiname gelöscht. Anschließend in der Default Domain Policy das Datenwiederherstellungszertifikat gelöscht. Dann mit cipher ein neues Cert erstellt und in die DefaultDomainPolicy importiert. EIn Update mittels gpupdate /force am client brachte weiterhin keinen Erfolg. Ich kann keine Ordner/Dateien auf Netzlaufwerken verschlüsseln.

Das Howto habe ich bereits gelesen, allerdings brachte es nicht den erhofften Erfolg. Ich habe mir mit cipher /r:dateiname ein neues zertifikat für den Administrator erstellt. Habe eine Zertifikatdatei und eine Datei mit dem Privaten Schlüssel. Wenn ich nun im Gruppenrichtlinieneditor unterhalb von Verschlüsselndesdateisystem auf Datenrettungsassistentren hinzufügen klicke und im Wizard den Admin auswähle, erhalte ich die Fehlermeldung, das der ausgewählte Benutzer nicht über geeignete Zertfikate für EFS-Weiderherstellung verfügt. Wähle ich hingegen das Zertifikat direkt aus, importiert er dieses einwandfrei und der Admin steht dort wieder drin. Am Vista Client hingegen kann ich trotzdem keine Dateien verschlüsseln, da ich die Fehlermeldung bekomme, das der Client über kein geeignetes Wiederherstellungszertifikat verfügt. Natürlich habe ich ein gpupdate /force durchgeführt und auch einen neustart. Also die Default Domain Policy sollte eigentlich erfolgreich geladen worden sein. Hier im Forum oder internet hab ich diesbezüglich leider noch nichts gefunden, was mir weiterhilft. Was mich eben auch sehr stark wundert, das im am Server die Meldung bekomme, dass der Administrator über kein geeignetes Zertifikat verfügt. Wenn ich im lokalen Zertifikatsspeicher des Benutzers-Administrator schaue, ist das Datenwiederherstellungscert dort vorhanden.

also ich habe mir die adm dateien für outlook2007 bei http://www.gruppenrichtlienen.de runtergeladen und im gruppenrichtlienieneditor importiert. dann hatte ich unterhalb von den benutzereinstellungen->administrative einstellungen die möglichkeit outlook dementsprechend zu konfigurieren. Du musst aber die richtige outlook adm nehmen und nciht office 2007. und dann kannst du dort das simple mapi einstellen. Aber du musst mehrere einstellungen machen. Die eine reicht nicht. kann dir jetzt außem kopf nicht genau sagen welche das sind. Du musst aber auch in relativ oberer instanz sagen, das er die domäneneinstellungen nehmen soll und nicht die lokalen.

Guten Morgen, ich habe hier einen Win 2003 Server. Dieser läuft nun seit 3 Jahren. Ich möchte nun für einige User aus der Buchhaltung EFS auf den Netzlaufwerken auf dem Server nutzen. Ich habe keine Zertifikatsstelle, möchte also mit Selbstsignierten Certs arbeiten. Nun wollte ich zuerst das Datenwiederherstellungszertifikat des Domänenadministrators + Privaten Schlüssel sichern. Mir ist allerdings aufgefallen, dass das Zertifikat abgelaufen ist. Nun soll ja auch der oder die User EFS nutzen. Beim aktivieren der Dateiverschlüsselung wird ja das UserCert automatisch erstellt. Allerdings erhalte ich folgende Fehlermeldung: Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat. Ich vermute diese meldung kommt, weil das Cert des Admins abgelaufen ist, richtig ? Nun meine Fragen. 1: Wie verlänger ich das Datenwiederherstellungszertifikat des Admins ohne Zertifikatsstelle ? 2: Reicht es das Datenwiederherstellungszertifikat + Priv. Schlüssel zu sichern, oder muss ich das Datenverschlüssellungszertifikat auch noch sichern ? 3: Wenn in 2 Jahren das Zertifikat für die User abläuft, wie verlänger ich dann diese Zertifikate ?

Hi Günther, das habe ich bei Outlook 2003 versucht. Du meinst eine Clientregel? Ich habe gesagtm, wenn Empfänger = @domain2.de dann in den unterordner schieben. Dies brachte aber leiden keinen erfolg. Die Mails kamen trotzdem alle in dem Haupteingang rein. Und als Empfänger stand immer die Hauptadresse des benutzers.

Wie meinst du das mit dem zweiten Postfach? Das Problem ist aber auch, wenn alle Mails in einem Eingangsordner landen, das man komischerweise nciht erkennen kann, ob die Email nun an Domain1 oder Domain2 gerichtet war. Da im An Feld lediglich die Hauptadresse des Benutzers auftaucht.

Ja funktionieren tut es, Allerdings müssen dann für jede Emailadresse für jeden Benutzer 2 Postfächer eingerichtet werden. D.h. doppelte Anmeldung. Also User1PostfachDomain1 und User1PostfachDomain2. Und das ist ja auch nciht so ganz Sinn der Sache und dazu kommt, das man die mails dann mit dem einen Konto per Pop3 oder Imap Abruft, was ja auch wieder unschön ist.

Guten Abend, ich habe ein großes Problem bzgl eines Exchange designs. Ich hatte hier diesbezüglich schon einen ähnlichen Thread erstellt. Es geht darum, das es ein AD gibt in dem arbeiten 10 Benutzer. In diesem AD sind zwei Firmen vorhanden. Firma A und FirmaB. Die Mitarbeiter arbeiten für beide firmen. Dementsprechend gibt es 2 domains. Domain1 und Domain2. Da weder Exchange noch Outlook sinnvoll mit 2 Domains umgehen kann, die Frage wie man dieses Problem allgemein am besten Lößt. Ein zweites AD aufbauen mit zweitem Exchange? Nur dann muss ich ja die User doppelt pflegen. Eine Sinvolle Idee wie man hier am besten vorgeht ? [Nachtrag] Frage, kann man in einem Forest 2 Domänen mit 2 Exchange 2007 betreiben, die nicht zusammen gehören? D.h. ist ein Exchange an eine Domäne oder an die Gesamtstruktur gebunden ?

du könntest auch einen RODC in die DMZ stellen, das hätte wenigstens den vorteil, das aufs AD 1. nur gelesen werden darf und 2. nur die Benutzer auf dem RODC gespeichert sind, die sich per Terminalserver anmelden.

- Zentrales Backup der Emails, - Zentraler Ein und Ausgang aller Mails, - Einfachere Filterung der Mails auf SPAM und Viren an EINER Stelle, - verzicht auf den externen Dienstleister ( Kostenredizierung ), da Mails direkt ins Internet geschickt werden können - einfachere Wartung der Clients - Zugriff von Außen für Mobile Geräte oder über Outlook Web Access

@Deejablo: Danke, das war genau das was ich wissen wollte. Bzgl meines Exchange sollte dann soweit auch alles richtig sein. Habe die Sache mit dem SPF wohl doch durcheinander geworfen. Für SPF wird ein weiterer Resource Record im DNS eingetragen, welcher die Liste der Mailserver enthällt, die für diese Domain Mails verschicken. [OFFTOPIC] Allerdings, wenn ein einziger Reverse DNS Eintrag reicht, um nicht mehr als SPAM Server zu dienen, könnte ich ja mit diesem Mailserver für sämtliche Domains Mails verschicken, egal ob die Domains auf meinem Namen gehostet sind, oder eben nicht. So wäre es ja ohne Probleme möglich im Namen der Deutschen Bank Mails zu verschicken.

ok, würdest du mich vielleicht trotzdem kurz aufklären, ob das so dann trotzdem von den einstellungen her in Ordnung ist? Reverse Lookup ist jedenfalls für die IP Adresse gesetzt, womit der Exchange rausschickt.

Ist es nicht so, das einige Mailserver beim Empfang überprüfen, ob der Absendende Mailserver als MX gelistet ist ? (War das nciht Teil von SPF, oder werf ich hier gerade alles durcheinander ? ) Ich habe nciht vor, das mein Mailserver als SPAM Server deklariert wird ^^

Also Situation ist die, das der Provider wo domain2 liegt zwei webserver betreut. Dort liegt ein Onlineshop. Auf beiden Webservern ist ein Mailserver installiert - dieser soll ja ausschließlich als Relay für Domain2 fungieren. Die beiden mailserver sind MX1 und MX2. Als MX3 hab ich nun unsern Exchange eingetragen ( Ja Standleitung ist vorhanden ;) ) Dies habe ich gemacht, das beim Lookup auch überprüft werden kann, das der Exchange auch wirklich für die Domain verantwortlich ist.

Ok habe mir jetzt folgendes überlegt. Habe bei domain2 als dritten mx nun meinen exchange eingetragen. Dieser soll nun die Mails direkt rausschicken. Ich hoffe das dies dann auch einwandfrei klappt und nicht als SPAM Server identifiziert wird.