RalphT

Dann bedanke ich mich für eure Antworten. Dann kann ich das Thema ja als gelöst markieren.

Stimmt. Da nichts gesperrt wurde, gab es auch keine Einträge.

Ok, dann kann (sollten) die Einträge ja erhalten bleiben.

Nun war ich doch etwas schneller und habe im LDAP die beiden Sperrlisten gelöscht. Ich war in diesem Pfad:

CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration

Auch in dem Pfad, wo die Zertifikate und Sperrlisten für http stehen habe ich bereinigt.

Jetzt wird mir in der MMC jeweils bei den beiden Sperrlisten ein Fehler angezeigt. Das ist jetzt nicht weiter tragisch, da sich das hier um eine Testumgebung handelt. Ich meine diesen Fehler bekommt man wieder weg, indem man wieder das ZertifizierungsstellenZertifikat erneuert.

Was ich bisher nicht wusste, dass man die alten Sperrlisten noch aufbewahren sollte, damit die Sperrinformationen von den älteren Zertifikaten weiterhin überprüft werden kann. Ich bin bislang davon ausgegangen, dass alles in einer Sperrliste vorhanden ist.

Nein, das ist nicht möglich. Nicht dass wir aneinander vorbeireden: Ich bin in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen"

ENTF geht nicht und ein Kontextmenü ist auch nicht vorhanden.

Danke dir. Kannst du mir noch sagen, wie man die Sperrlisten löschen kann, bzw. wo man das macht?

Hallo,

ich habe eine Verständnisfrage zu einer zweistufigen PKI. Wenn ich von der SUB-CA das ZertifizierungsstellenZertifikat erneuere, dann habe ich eine weitere Sperrliste in der SUB-CA. Zu sehen in der MMC unter Gesperrte Zertifikate - Eigenschaften - Reiter "Zertifikatsperrliste anzeigen". Dann stehen dort zwei oder mehr Sperrlisten. Einmal für den Schlüsselindex 0 und
dann weiter forlaufend.
Auch die CRL-Dateien unter C:\Windows\System32\CertSrv\CertEnroll sind dann entsprechend vorhanden.

Meine Frage ist jetzt: Kann man die alten Sperrlisten und auch Deltasperrlisten löschen?
Für mich ist das eigentlich nur ein "optisches" Problem. Sie stören ja nicht.

vor 8 Stunden schrieb Nobbyaushb:

Images vom Sever - schlechte Idee...

(es sei denn, es gibt nur einen...)

Stimmt. Aber in diesem Fall gibt es nur einen.

Naja, eigentlich wollte ich ja gestern die Finger von dem Problem lassen, da aber gestern genug Zeit war, hatte ich doch noch mal etwas weiter geforscht.

Auf einen Memberserver hatte ich das Zertifikat gelöscht. Anschließend dann den Netzwerkstecker aus dem Gerät gezogen. Neustart gemacht, Zertifikat war sofort da. Das hatte ich mal testweise auch mit einem anderen Memberserver gemacht. Auch hier das gleiche Ergebnis.

Zitat

Aus deiner Beschreibung lässt sich kaum ablesen, wie das auf die Rechner kommen könnte.

Naja, wie auch. Ich weiß es selber ja nicht. Den DC hatte ich damals soweit fertiggestellt, dass auf diesem PC ein DC installiert wurde.  Bevor ich eine CA installiert hatte, hatte ich ein Images vom DC gemacht.

Aber du hast Recht, eigentlich ist es sinnlos das weiter zu verfolgen, da es nicht in der Praxis vorkommen wird und der Zeitaufwand hier einfach höher ist.

Moin,

ich habe hier eine Testumgebung und einer 2-stufen PKI und vieles mit Zertifikaten ausprobiert. Die Testumgebung besteht aus einem DC und vier Mitgliedservern.
Auf einem Mitgliedserver habe ich die SUB-CA installiert. Die offline-Root-CA ist noch extra und nicht der Domäne.

Irgendwann wollte ich mal wieder von vorne anfangen und habe alle Server mit einem Image (nur Windows) wieder bespielt. Der Zeitpunkt, wo das Image erstellt worden ist, war ohne CA.
Allerdings habe ich einen Memberserver nicht erneut mit dem Image bespielt. (War mir zuviel Arbeit)
Auf diesen Server habe ich die Rolle der CA entfernt, aus dem lokalen Speicher alle Zertifkate entfernt und aus der Domäne entfernt.

Nachdem alles wieder betriebsbereit war, habe ich den einen Member Server wieder ind die neue Domäne gesetzt und dort auch wieder eine SUB-CA installiert.

Jetzt habe ich den kleinen Schönheitsfehler, dass auf allen Memberservern sich ein altes Zertifikat in ihren lokalen Speicher installiert.
Das hatte ich dann auf allen Servern wieder gelöscht und mit gpupdate probiert, ob es auch nicht mehr wieder erscheint.
Das war soweit in Ordnung. Allerdings viele Stunden später ist es doch wieder auf jeden Server verfügbar.

Das ist jetzt nicht wichtig, da es ja nur eine Testumgebung ist. Aber interessiert mich trotzdem, wie man das alte Zertifkat endgültig löschen kann.

In der MMC pkiview habe ich schon nachgesehen, ob dort noch ein alter Eintrag von der alten CA vorhanden ist. Das ist aber alles sauber.

Wo könnte das alte Zertifkat immer wieder herkommen? Als einzige Möglichkeit kann ich mir nur vorstellen, dass das von dem Memberserver kommen kann,
den ich damals nicht neu erstellt habe. Aber das ist nur eine Vermutung.

Am 17.2.2018 um 10:53 schrieb RolfW:

Aber angezeigt werden die Systempostfächer nun?

Ja, wurden sie auch vorher. Ich hatte, nachdem ich oben den Thread eröffnet hatte, eine Abfrage durchgeführt. Dabei hatte ich festgestellt, dass die Systempostfächer nur auf der alten Datenbank hinterlegt waren. Jetzt habe ich einfach die Postfächer auf die neue Datenbank verschoben und die Systempostfächer werden jetzt nur auf dem neuen Server angezeigt.

vor 4 Minuten schrieb testperson:

Und wo ist / war jetzt das Problem?!

Ich bin vorher davon ausgegangen, dass der neue Server auch Systempostfächer angelegt hatte. Daher wusste ich nicht, ob man die einfach überschrieben kann oder nicht überschreiben darf.

Da ich das aber erst später das überprüft hatte und dabei festgestellt hatte, dass da keine vorhanden sind, hat sich das Problem damit erledigt.

Hallo,

ja, so dachte ich mir das auch.

In der Zwischenzeit, habe ich mal eben eine Abfrage

Get-Mailbox -Arbitration -Server <alter Exchange>

auf beiden Datenbanken gemacht. Dabei kam heraus, dass der neue 2010 gar keine Systempostfächer hat. Dann kann/muss ich diese ja verschieben. Ich bin davon ausgegangen, dass bei der zweiten, neuen Installation auch jeweils welche angelegt werden.

Moin,

ich habe ein Frage zum Umzug auf einen anderen Server: Nachdem ich die Postfächer auf die neue Hardware verschoben habe, muss ich die Systempostfächer auch verschieben? Da finde ich momentan keine Lösung. Die Systempostfächer werden ja per default auch bei der neuen Installation angelegt.

Hmm wird denn nicht vom Server auf den Client ein Registryeintrag gesetzt, so dass die GPO umgesetzt wird?

Ich dachte, dass ab Windows 8 auch die ganzen ADM-Templates auf dem Client zur verfügung stehen. Oder haben das Vorhandensein der Templates nicht mit der eigentlichen Wirksamkeit zu tun?

Oder anders ausgedrückt: Reicht es nicht einfach die Templates auf den Client zu kopieren?

Ich habe gerade noch mal nachgesehen, ob der richtige Registry-Eintrag auf dem Client vorhanden ist. Das ist der Fall.

Dann sieht es wohl so aus, dass ein Windows 7-Client einfach nichts mit diesem Registry-Eintrag anfangen kann. Dann scheint das wohl doch nicht zu funktionieren.

Was funktioniert nicht? Das bearbeiten der GPO oder das die GPO greift?

 

Btw: Die GPO's sollten auf den Central Store kopiert werden.

https://www.gruppenrichtlinien.de/artikel/central-store-fuer-administrative-vorlagen/

Ach sorry,

dass sie greift. Bearbeiten kann ich diese auf dem Server.

Moin,

ich habe eine Frage zur GPO.

Ich wollte eine GPO auf einem Server 2008 R2 für das Netzwerk (Windows-Verbindung-Manager) erstellen.
Diese Einstellung ist normal noch nicht implementiert. Diese Einstellungen sind erst ab Server 2012 / Windows 8 verfügbar.
Ich habe mir die ADM-Templates (Paket) heruntergeladen. Da ich nur die WCM.admx Datei bentötigte, habe ich nur diese in das entsprechende
Verzeichnis vom einzigen DC kopiert.
Jetzt konnte ich auf dem DC meine GPO erstellen.

Zum Testen habe ich einen Client mit Windows 10 genommen. Hier funktierte alles.
Nur bei einem Windows 7 Client funktioniert das nicht. Auch ein Kopieren der ADMX-Datei auf den Client brachte nichts.

Kann das nicht funktionieren oder habe ich etwas übersehen?

Moin,

ich habe ein kleines Problem zur GPO WLAN. Ich habe unter Server 2008R2 eine Drahtlosnetzwerkrichtlinie erstellt.

Unter dem Reiter Allgemein habe ich ein Profil "Firma-Produktiv" erstellt. In diesem Profil habe ich alle
SSIDs die hier zur Verfügung stehen, in diesem Fall Test-1 und Test-2 eingetragen. Unter dem Reiter
Netzwerkberechtigungen sind die beiden SSIDs auch hinterlegt. Verbindungen zu Ad-hoc-Netzwerken und anderen
Infrastrukturnetzwerken habe ich dort verboten.

Auf dem Windows-7-Client wird als WLAN die SSID "Firma-Produktiv" und auch "Test-2" angezeigt. Diese beiden
SSIDs werden dort auch als erlaubt angezeigt. Alle anderen SSIDs werden dort mit einem roten Kreuz gekennzeichnet.

Eigentlich fast alles richtig.

Warum wird denn noch die SSID "Test-2" angezeigt? Müsste die nicht, wie auch die SSID "Test-1" verborgen sein?

Moin,

ich habe mir eine 2-stufige PKI Testumgebung mit einer offline ROTT-CA aufgebaut. Ein Rechner, der Mitglied der Testdomäne ist, soll eine WLAN-Verbindung, gesichert mit Zertifikaten aufbauen. Hier habe ich EAP-TLS gewählt. Der Client benötigt also auch ein Zertifikat und hat es auch in seinem Speicher (Computer).

Funktioniert alles soweit gut.

Jetzt habe ich auf der Sub-CA das Computerzertifikat von dem Client gesperrt. Der Client soll keine WLAN-Verbindung mehr aufbauen dürfen. Die Standardwerte zur Veröffentlichung der Basis- und Deltasperrliste habe ich so belassen. Also Basissperrliste hat 7 Tage, die Deltasperliste hat als Intervall einen Tag. Noch zur weiteren Info: Die Veröffentlichung der Sperrlisten habe ich über LDAP, HTTP und über eine Freigabe realisiert. Um das zu testen, wollte ich nicht so lange warten. Ich habe auf dem Client den Cache mit "certutil -urlcache CRL delete" gelöscht. Danach habe ich wieder probiert eine WLAN-Verbindung aufzubauen. Das funktionierte immer noch. Erst am nächsten Tag funktionierte es nicht mehr. Auch in der Ereignisanzeige war dann ein Eintrag, dass das Zertifiakt gesperrt wurde. Ist das Verhalten richtig oder kann man das händisch doch beschleunigen?

Dann hatte ich auf dem Client in der MMC mir das Zertifikat angesehen. In der MMC wird mir das bis jetzt immer noch als gültig angezeigt. Ist das richtig?

Ja danke dir - läuft!

Moin,

ich habe hier eine 2-stufige PKI aufgebaut. Sie besteht aus einer OFF-Line-CA und einer untergeordneten Unternehmens CA auf Server-2008R2 Basis. Als Leitfaden gilt das hier:

http://openbook.rheinwerk-verlag.de/windows_server_2008/windows_server_2008_kap_12_012.htm#mj2fdff0577b9ff24cb4463c10fcc415dd

Eigentlich lief alles soweit ganz gut. Allerdings habe ich bei der Root-CA einen Fehler gemacht. Bei den AIA- und CDP-Listen habe ich jeweils falsche Einträge hinterlegt.
Das habe ich erst zum Schluss bemerkt. Bei pkiview.msc kam der Fehler zu Tage: Er kann bei zwei Punkten AIA und CDP kein Download durchführen, da ja die Einträge falsch sind.
Die beiden Einträge auf der Root-CA habe ich korrigiert. Wie bekomme ich jetzt in der pkiview den Fehler weg?

Außerdem macht mich eins etwas nachdenklich: Wozu brauche die diese Einträge von der Root-CA, da sie doch eh offline ist?

 

Oulook speichert intern die SID, daher kann das manchmal zu Problemen kommen.

 

;)

Ahh, alles klar, das wirds wohl sein.

Danke für die Info.

Moin,

worin besteht eigentlich der Unterschied zwischen dem Exchange-Adressbuch und dem Autoausfüllen in der Adressleiste in Outlook? Folgendes Phänomen ist mir aufgefallen:

Wenn an in Outlook eine E-Mail verfasst und in der Zeile die Adresse eintippen möchte, dann wird ein Autoausfüllen angeboten. Wenn dann die Mail versendet wird, dann kommt die Mail zurück.

Klickt man jedoch im Adressbuch den entsprechenden Nutzer an, dann wird die Mail zugestellt.

Das ist nur bei einem Nutzer der Fall. Natürlich stimmen beide Adressen überein.

Warum wird die Mailadresse beim Autoaufüllen nicht mehr akzeptiert?

Moin,

 

wir bohren unseren Versatel-Glasfaseranschluß gerade von 100Mbit Sym auf 500Mbit Sym auf.

Kostet knapp 1.600 € netto / Monat.

QSC hat hier in Bremen für 20Mbit über S-DSL 399 € / Monat genommen, davon haben wir auch noch drei Stück....

 

Nur als Info.

 

Glücklich sind halt die Leute im Einzugsgebiet Net Colonge....

 

;)

Ach, ihr habt auch QSC 20M? Dann haben wir das gleiche Produkt in HB. Auch der Preis ist der Gleiche. Die waren früher deutlich teurer.

Hallo liebes Forum,

 

bei uns steht die Erweiterung der Internet-Leitung an von derzeit 2 MBit auf 10-20 Mbit. Die derzeitige Standleitung wird für die Verbindung mit einem Rechenzentrum  (Email-Frontend, Anwendungen über Citrix) sowie für den Internet-Zugang genutzt.

 

Da derzeit bei uns Glasfaser (sozusagen direkt vor der Haustür) ausgebaut wird, bietet sich die Aufrüstung der Leitung an. Jetzt ist aber das Problem, dass Business-Leitungen ("Standleitungen") ja nunmal preislich in einer anderen Liga spielen als der heimische DSL-Anschluss... Darum habe ich jetzt die dankbare Aufgabe, dem Entscheidungsgremium (Gemeindegremium von denen niemand auch nur im Ansatz was mit der Materie zu tun hat) klar zu machen, warum der 40 € Heim-DSL für den Business-Einsatz NICHT reicht.

 

Als Argumente habe ich bis jetzt folgendes:

- Symmetrische Leitung mit vollen 10 bzw 20 Mbit im Up- UND Download

- Garantierte Bandbreite

- Traffic-Priorisierung gegenüber anderen Anschlüssen/Tarifen

- Feste IP-Adresse(n) und keine Zwangstrennung

- Höhere Verfügbarkeit

 

Wenn ich hier falsch liege oder es noch andere Argumente gibt wäre ich dankbar für jede Antwort :-)

Moin,

da liegst du schon richtig. Der Kostensprung von einem Privat-Anschluss zu einem Business-Anchluss ist doch schon enorm. Was in meinen Augen wichtig ist, ist der Verfügbarkeit und bei Ausfall, was doch sehr selten sein soll, die schnelle, unkomplizierte Möglichkeit den Schaden zu melden. Du hängst nicht in einer endlosen   Warteschleife usw. Und das bezahlst du.

Ich kann mir auch gut vorstellen, dass ein Ausfall der Leitung für beispielsweise 4 Stunden, bestimmt nicht gut bei der Geschäftsleitung ankommt - oder?

Ich glaube, ich werde das mal praktisch ausprobieren.