Murf
-
Gesamte Inhalte
77 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Murf
-
-
Hallo zusammen,
habe eine ADCS-Infrastruktur auf Basis Windows Server 2012 R2 implementiert.
Für die Webregistrierung habe ich ein Zertifikat über eine Kopie der Vorlage Webserver ausgestellt.
Als Antragsteller (Allgemeiner Name, CN) ist adcs01 eingetragen.
Als SAN-Attribut habe ich den FQDN angefügt: adcs01.mydomain.de
Das Zertifikat wird als gültig angesehen, wenn ich die cer-Datei im Explorer öffne.
Das Zertifikat ist im IIS unter der Bindung Port 443 hinterlegt.
Wenn ich jetzt mit dem Browser die Website aufrufe (https://adcs01/certsrv) wird die Fehlermeldung ausgegeben: "Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt".
Wenn ich den FQDN eintrage (https://adcs01.mydomain.de/certsrv) funktioniert der Aufruf ohne Probleme.
Habe das mit unterschiedlichen SAN-Attributen getestet, jeweils gleiches Phänomen, auch als Antragsteller den FQDN und im SAN nur den Hostname, es wird immer nur die Schreibweise vom IE akzeptiert, die im SAN-Attribut steht.
Auch certutil -verify zeigt mir an, dass das Zertifikat gültig ist.
Habe ich ggf. eine Konfiguration am IIS übersehen?
Bin für jeden Tipp dankbar!
VG, Bernhard
-
Vielen Dank, Robert!
Das bringt mich deutlich weiter. Jetzt baue ich mir eine Testlandschaft auf und lese mich in den genannten Themen tiefer ein.
Ähm, zwei Maildomänen? Wenn ich es jetzt richtig verstehe, meinst Du damit extern erreichbare MX-Records (firma.de und test.local)? Ich möchte aber nur über firma.de erreichbar sein.
Danke nochmal und good byte...
-
Hallo zusammen,
ich versuche gerade folgendes Szenario:
AD-Domäne 1 = test.local
AD-Domäne 2 = firma.de (hier besteht ein MX-Eintrag auf einen Smarthost für firma.de)
Die AD-Domäne 2 ist über einen Smarthost (SMTP-Connector) nach extern verbunden.
Beide AD DS Domänen haben eine eigenständige Exchange-Organisation und sind vertrauen sich über eine Gesamstrukturvertrauensstellung. Das eine ist Windows Server 2008 (AD2), die andere Windows Server 2008 R2 (AD1). Beide mit Exchange 2010.
Welche SMTP-Connecotoren, Einstellungen, akzeptierte Domänen, Emailadressen ... muss ich jetzt konfigurieren, um Emails von der AD Domäne 1 nach extern zu versenden und wie ist der Mailflow von extern zur AD1 zu bewerkstelligen?
Ich möchte eigentlich einen weiteren MX-Eintrag vermeiden, aber dennoch mit beiden von extern erreichbar sein und auch mit beiden nach extern kommunizieren können.
Wäre dankbar über alle Ideen, Hinweise etc.
Danke!!!
-
Hallo zusammen,
ich bin auf diesen Thread gestoßen...Funktioniert auch soweit.
Nur, wenn jetzt Dienst 1 durch einen Systemfehler abgeschossen wird (z.B. über den Taskmanager nachgestellt) wird der abhängige Dienst 2 nicht mit beendet.
Kann das realisiert werden? Mir fällt auf die schnelle nur ein Script ein, der zyklisch prüft, ob Dienst 1 noch am Leben ist....aber ja nicht gerade die feine Lösung.
Danke schon mal!
VG
-
super, danke.
natürlich testumgebung...unser datenschützer sitzt weit weg *g*
-
Hi,
hierzu noch eine kurze Frage: WINS wird also benötigt, ok. Kann ich aber (leicht) herausfinden, wer bzw. was Anfragen an die WINS-Server richtet?
Z.B. über Sniffing? Welchen Port nutzt WINS, habt ihr sowas schon mal gemacht?
Danke!
-
danke für die Info...hab ich bei Vista wohl nie beachtet - gebraucht :)
aber warum is das so? MS hat sich doch sicherlich/hoffentlich was dabei gedacht!
Evtl., dass so nachverfolgt werden kann, welcher Admin zugegriffen hat?
-
Hallo zusammen,
ich bin gerade auf ein "Feature" gestossen.
Ich habe lokal auf meinem Win7-Rechner einen Ordner "Daten" angelegt, auf diesen Zugriffsrechte für Benutzer1 "ändern", Benutzer2 "lesen" und Administratoren "Vollzugriff" eingeräumt.
Wenn ich jetzt als Admin1 (ein zusätzliches Konto, das in der Gruppe Administratoren) ist auf den ordner Daten zugreife, warnt mich die UAC.
Ich bestätige das und habe Zugriff - soweit noch klar.
Wenn ich mir dann aber die ACL dieses Ordners anschaue, steht Admin1 mit Vollzugriff drin. Das will ich ja aber eigentlich gar nicht, weil ich diese Rechte über die Gruppe Administratoren regeln will und nicht den einzelnen User in der ACL stehen haben will...
Was haltet ihr davon, habt ihr hier Erfahrungen gesammelt?
Danke schon mal für euer Feedback!
VG
-
danke für euer Vorschläge!
Leider ist als Besiter bei den meisten "Domänen-Admins" gelistet...Und Log-Parser? Das haben meine Kollegen, die für die DCs zuständig sind noch nie gehört :D
Wenn Log voll, dann voll :cool:
-
Hallo Murf,
fällt mir spontan nur das Auditing ein. Sofern es aktiviert ist, werden Objektänderungen/Löschungen oder Neuanlage von AD Objekten mit den entsprechenden Hinweisen im Security Log protokolliert.
Danke, das Auditing ist natürlich nicht aktiv :(, weißt ja, Ressourcen und so...
schade...
-
Hallo zusammen,
ich habe in unserem AD einige Konten entdeckt, zu denen ich eine Frage an die verantwortlichen habe...jedoch weiß ich nicht, wer diese angelegt hat. Jetzt kann ich an 20 Leute ne Rundmail schicken, keine Antwort bekommen weil sich niemand zuständig fühlt oder derjenige vielleicht schon gar nicht mehr in der Firma ist...
Deshalb bin ich auf die Idee gekommen, ob es evtl. ein Attribut "createdBy" oder so ähnlich gibt, aus dem ich die SID o.ä. des Erstellers oder zumindest letzten Bearbeiters lesen kann?
Zeit der letzten Änderung und Erstellung gibt's ja auch...Hab leider sonst nichts gefunden.
Danke!
-
Hi olc,
super, vielen Dank, es tut!!!
Was ein "-" nicht so alles ausmachen kann :D
-
Hallo zusammen,
gibt es eine Möglichkeit 2 Bedingungen in der Powershell in einer while oder do-while schleife abzufragen?
Sorry, vielleicht ist die frage auch zu ****, arbeite mich gerade erst ein...
Hintergrund:
ich frage mittels read-host etwas ab, eingegeben werden soll nur J/N. Wenn aber einer was anderes eingibt, soll nochmal nachgefragt werden.
zum besseren verständnis, ein Codebsp:
#Benutzerabfrage $msg = Read-Host ("Arbeiten Sie mit diesem PC ausschließlich per Ferneinwahl? J/N") $msg.ToUpper() if ($msg -eq "J"){ #tu das für ferneinwahl } elseif ($msg -eq "N"){ #tu das für domänenbenutzung } else { Write-Host "Bitte geben Sie entweder J oder N ein" }somit hatte ich mir eine Schleife ala
while ($msg -ne "J" && -msg -e "N"
vorgestellt, aber weder && noch and werden von der Powershell akzeptiert.
Bin natürlich auch für andersartige Lösungen offen.
Vielen Dank!!!
-
Danke, aber leider nicht...
in der $split steht dann die ganze zeile, also $_
aber gut, ich habs nun mit einer reorganisation der csv und einem Array hinbekommen:
#Gruppenmitgliedschaften pflegen Import-Csv C:\temp\users.csv | ForEach-Object { $user = $strTarget + "/" + $_.Name $gruppen = $_.Gruppe $arr = $gruppen.Split(" ") foreach ($entry in $arr){ $gruppe = "WinNT://./"+$entry $group =[ADSI]$gruppe $group.Add($user) } }Die csv hat nur noch eine Spalte "Gruppe" und die einträge sind durch ein Leerzeichen getrennt.
Aber noch was anderes: Gibts ne Befehlsreferenz zu Powershell? Also neben get-help? Ich suche die Parameter etc. zu .create in diesem Fall:
#Benutzer anlegen Import-Csv C:\temp\users.csv | ForEach-Object { $target = [ADSI]$strTarget $newuser = $target.Create("user", $_.Name) $newuser.SetPassword($_.Password) $newuser.SetInfo() $newuser.psbase.InvokeSet('AccountDisabled', $false) $newuser.SetInfo() }Also welche Informationen kann ich hier wie bei dem neuen Benutzer hinterlegen?
Danke!
-
Hallo zusammen,
ich möchte ein Script, das aus einer csv-Datei
1. lokale Benutzer anlegt
2. diese Benutzer den Gruppen hinzufügt
So, Teil 1 funktioniert soweit. Bei Teil 2 hab ich so meine Probleme...
#Gruppenmitgliedschaften pflegen Import-Csv C:\temp\users.csv | ForEach-Object { $user = $strTarget + "/" + $_.Name for ($i=1; $i -le 5; $i++){ $split = $_.Gruppe + $i if ($split){ $gruppe = "WinNT://./"+$split $group =[ADSI]$gruppe $group.Add($user) } } }Die CSV ist in diesem Format:
Vorname,Nachname,Name,Abteilung,Gruppe1,Gruppe2,Gruppe3,Gruppe4,Gruppe5 Hans,Meier,hm0815,Abt-1,Administratoren Hans,Müller,hm0816,Abt-2,Benutzer,Remoteunterstützungsanbieter,Remotedesktopbenutzer,Hauptbenutzer
Ich weiß, dass $i als Integer angesehen wird und deswegen die Verkettung mit $_.Gruppe um somit die Spalte Gruppe1 oder Gruppe2 anzusprechen nicht funktioniert.
Habt ihr Ideen, wie ich es lösen kann?
Danke!!!
-
Auch wenn es ein wenig vom Thema abweicht, aber ich muss kurz auf das Posting von Murf antworten:
Wieso musst du immer wieder bei fast 0 anfangen? Im Laufe seiner "Laufbahn" baut man sich doch für verschieden Projektaufgaben einen eigenen oder einen firmeneigenen "Best-Practices-Katalog" auf. Also entweder machst du immer wieder was völlig anderes, oder Nachnutzung von Knowhow und Technik ist dir aktuell noch kein Begriff.
Du kannst imho ein Projekt, bei dem du eine kleine Firma mit 15 Clients und einem SBS o.ä. ausstattest nicht mit einem Projekt zur Umstellung einer Exchange-Landschaft mit 3000 Mailboxes etc. vergleichen. Das mein ich damit. Die Vorgehensweise bei der Planung ist immer ähnlich, aber eben nicht gleich..
Ist richtig, aber es gibt auch kostenfreie Alternativen zu MS Project. ;)
Klar, aber es macht keinen Sinn Freeware auf x Clients zu installieren, wenn Excel schon überall verfügbar ist. Und ein Projektteam ist auch oft dynamisch, v.a. bei größeren Unterfangen.
Ist das nicht ein bisschen durcheinander?
ich habe hier keine chronologisch richtige Auflistung erreichen wollen, nur eine Sensibilisierung des Fragenden. Planung ist nun mal einer der wichtigsten Punkte im Projektmanagement, oder meinst du nicht?
in diesem Sinne - good byte -
-
Hi,
naja, so generell kann dir wohl keiner was dazu sagen, da es stark auf das Projekt ankommt.
Ich leite rel. häufig IT-Projekte und muss aber immer wieder fast bei 0 anfangen.
Das A und O bei dem Ganzen ist die Kommunikation. Du mußt dir vorab so viel Informationen einholen, wie nur geht, mit den zuständigen Technikern sprechen, welche Schritte notwendig sind, welche Schnittstellen vorhanden sind, welche Systeme betroffen sind, wie lange die einzelnen Schritte dauern und wer für was zuständig ist.
Erst danach kannst Du anfangen, Arbeitspakete zu stricken, Verantwortlichkeiten zu definieren und einen ersten Zeitplan zu erstellen.
Als Tools verwende ich meist Excel für GANTT-Diagramme (MS Project ist schon ziemlich umfangreich und teuer, Excel hat dagegen fast jeder) und halt Word und PowerPoint. Und das Telefon :) und meinen Outlook-Kalender!
Um was gehts denn? Evtl kann ich dir Típps geben, wenn du den Rahmen bißl absteckst.
VG
-
Hallo zusammen,
ich suche eine Möglichkeit, Ordner auf Netzlaufwerken zu verschlüsseln.
Die Anforderungen
- Verschlüsselung aller Dateien in einem Ordner
- Neue Dateien sollen automatisch verschlüsselt werden
- In den verschlüsselten Ordner kopierte Dateien sollen automatisch verschlüsselt werden
- Entschlüsselung durch mehrere Benutzer möglich
- Wünschenswert ist eine zentrale Administration
- Ein definierter Admin hat das Recht, die Rechte zur Entschlüsselung den Usern ordnerweit zu erteilen
So, ich habs mal mit EFS probiert, funktioniert gut und erfüllt auch meine Anforderungen, bis auf den letzten Punkt.
Ich kann zwar bei einzelne Dateien das Recht zur Entschlüsselung mehreren Usern hinzufügen, aber eben nicht auf Ordnerebene und somit allen darin enthaltenen Dateien und Unterordner.
Und somit ist der Verwaltungsaufwand imho viel zu hoch, als dass ich es einführen würde.
Gibts hierfür einen Aufsatz für EFS o.ä.? Darf auch ruhig was kosten ;)
Umgebung:
AD, Srv 2003 + Srv 2008
Win XP SP2, SP3, Vista
NetApp-StorageSystem (NAS, NTFS, EFS-fähig)
Danke schonmal!
VG Bernhard
-
soooo, hallo nochmal.
habe mir jetzt mal was gebastelt.
@echo off if not "%DBG%" == "" @echo on rem *** Pfade und Variablen setzen! set tmpOutput=%pfad%\tmpOutput.txt set pfad=C:\Temp\B set ACLFile=%pfad%\tlw.txt set GroupFile=%pfad%\HBMig.txt set Output=%pfad%\GrInTlw.txt rem *** Altlasten bereinigen if exist %output% del %output% if exist %tmpOutput% del %tmpOutput% rem *** Schleifen for /f %%i in (%GroupFile%) do @for /f %%j in ('find /I "%%i)" %ACLFile%') do @echo %%i;%%j>>%tmpOutput% Sort %tmpOutput% > %Output%Ich habe eine File %ACLFile% in der meine ACLs mit einigen weiteren Informationen stehen. Ich suche nach dem String im Format Domäne\Gruppe), Die Klammer zu ist wichtig, da einige Gruppen gleich anfangen, manche aber noch zusätzliche Zeichen angehängt haben...
In der Datei GroupFile stehen die Gruppen in Format Domäne\Gruppe
So weit so gut.
Jetzt bekomme ich ein Outputfile im Format
Domäne\Gruppe;----- (immer, egal ob gefunden oder nicht; der Output von find ist leider so)
Domäne\Gruppe;Anfang der Zeile mit gefundenem Suchstring
Jetzt wärs noch super, wenn immer dann wenn er was gefunden hat, dass er dann die Zeile Domäne\Gruppe;----- weg läßt, also wenn der Eintrag Domäne\Gruppe doppelt vorkommt, die Zeile mit den ----- weg läßt oder nachträglich löscht.
Wie kann ich das denn am einfachsten anstellen?
Danke!!!
-
Hallo zusammen,
ich habe nur sehr wenig Übung und Erfahrung in Scripting, ihr könnt mir sicherlich helfen.
- Ich möchte die ACLs der Verzeichnisse bis zur zweiten Ordnerebene auslesen.
- In einer txt-File habe ich Gruppennamen stehen, mittels Zeilenumbruch getrennt.
- Für jede Zeile (Gruppe) in dieser txt-File soll nun geprüft werden, ob diese Gruppe in den ACLs vorhanden ist.
- Wenn nein, soll der Gruppenname in eine File delete.txt (oder wo anders hin) geschrieben werden.
Ich bin mir nicht sicher, wie ich rangehen soll, Batch - PowerShell "get-acl"?
Alternativ könnte ich auch eine txt-File mit den ACLs der Verzeichnisse zur Verfügung stellen mittels "setacl".
Danke schon mal!
Grüsse
- Ich möchte die ACLs der Verzeichnisse bis zur zweiten Ordnerebene auslesen.
-
stimmt, hab ich nicht dran gedacht, da ich kein citrix-admin bin...
aber trotzdem würden dann anfragen an den citrix-server in wartung gehen. bekommen die user dann ne fehlermeldung oder wird auf den anderen server umgeleitet? kann ich dies irgendwie beeinflussen?
Danke!
-
ja hab ich auch schon dran gedacht...
aber wenn er den record löscht, wenn der server in wartung ist, kann er ja keinen neuen hinzufügen :-(
danke...
gibts vielleicht clientseitig ne möglichkeit, die dns-registrierung unter dem roundrobin-record zu unterbinden? finde nur bei den netzwerkeinstellungen die möglichkeit den standardrecord zu verhindern...
-
läßt du nachrichten ohne authentifizierung im virtuellen smtp server zu? (eigentlich standard)
eine empfängerrichtlinie für die empfangende domain ist vorhanden und auch der haken für "exchange ist für diese domäne zuständig" gesetzt?
poste bitte mal einen vollständigen NDR!
-
es gibt das Benutzerrecht "Besitz übernehmen", das du über GPOs bzw. die lokale Sicherheitsrichtlinie best. Benutzern gewähren kannst:
Lokale Richtlinien -> Zuweisen von Benutzerrechten -> Übernehmen des Besitzes von Dateien und Objekten
Standardmäßig sind hier die Administratoren eingetragen. Dies kannst du weiterhin einschränken, gilt aber dann für den gesamten Rechner bzw. gültigkeit der GPO und ist somit nur mit Bedacht anzuwenden...
wie auch schon vorher diskutiert wurde ;-)
ADCS: nur SAN-Attribute werden ausgewertet
in Windows Server Forum
Geschrieben
echt? oh man...bin mir sicher, dass das in anderen Installationen bei mir aber schon funktionier hat.
Aber genau so hab ich mir jetzt mal beholfen - wollte das aber halt noch glatt ziehen.
werden dann alle anderen Felder (c, o, etc.) auch ignoriert? Weil die werden ja bei der ExtendedValidation m.W. auch mit hergenommen?
Danke!