olc

Hi,

daß Du nur die URL eingibst und keine konkrete CRL ist normal und "Sinn der Sache". ;)

OCSP bietet Dir ja genau die Möglichkeit, eben nicht eine komplette CRL oder Delta CRL abzurufen, sondern Du prüfst beim Zugriff konkrete Zertifikate auf Gültigkeit.

Wie genau bist Du denn bei der Einrichtung vorgegangen, welche Schritte hast Du durchgeführt (nach welcher Anleitung). Hast Du das OCSP signing Zertifikat angelegt, ggf. die IIS Zugriffseinstellungen bearbeitet usw.?

Ist der Client, auf dem Du den PKIVIEW durchführst Vista / 2008 oder höher oder noch XP? Unter XP / 2003 wird OCSP nicht standardmäßig unterstützt.

Viele Grüße

olc

Hi,

SETSPN sollte auf dem DC vorhanden sein. Ansonsten installierst Du das folgende Paket: http://www.microsoft.com/downloads/details.aspx?FamilyId=49AE8576-9BB9-4126-9761-BA8011FABF38&displaylang=en

War übrigens Platz 2 bei der Suchmaschine meiner Wahl... :wink2:

Viele Grüße

olc

Hi,

merkwürdig, bei mir gibt es eine Beschreibung auf Platz 1 der Suchmaschine meiner Wahl: Windows Server 2008: Active Directory OCSP einrichten - Windows-Authentifizierung durch Zertifikate | TecChannel.de

Oder auch Platz 2 und 3:

Configure a CA to Support OCSP Responders

Konfigurieren einer Zertifizierungsstelle zur Unterstützung von OCSP-Respondern

Viele Grüße

olc

Hi,

warum machst Du so vielen Menschen unnötige Arbeit?

Deine Antworten hast Du hier schon bekommen: Server remote über powershell(v2) abfragen --> verstehen mußt Du diese natürlich selbst.

Viele Grüße

olc

Hi,

vermutlich zeigt der DC2 in seinen DNS Einstellungen nur auf sich selbst?

Viele Grüße

olc

Hi,

vermutlich hast Du die gesamte Platte bzw. einen Snapshot zurück gesichert?

Dann bist Du in einen USN Rollback gelaufen und mußt den DC ggf. neu promoten.

Siehe dazu auch: faq-o-matic.net Warum Images nicht als Datensicherung taugen

Viele Grüße

olc

Hi,

fordere das Zertifikat per MMC (SnapIn "Zertifikate" --> Computer) oder aber benutze direkt den IIS des Zielservers für die Anforderung.

Im IIS kannst Du im SSL Dialog meines Wissens das Zertifikat direkt beantragen.

Oder handelt es sich um einen anderen Webserver als den IIS (SSL Zertifikat Ziel)?

Viele Grüße

olc

Hi Fabse und willkommen an Board, :)

Du kannst den Eintrag einfach per Hand abändert oder aber den Reverse Lookup Eintrag löschen - einige Zeit später wird er automatisch neu (und damit korrekt) registriert werden.

Viele Grüße

olc

Hi Soapp,

ja, auch Computer sind "Authentifizierte Benutzer".

Viele Grüße

olc

Hi,

wurden die Größen unter Umständen per Gruppenrichtlinie festgelegt?

Schau doch einmal in einen GPMC Group Policy Results Report und prüfe dort die Einstellungen - ggf. muß es zentral an der GPO geändert werden.

Viele Grüße

olc

Hi,

in welchem Eventlog schaust Du nach? Es wird auf dem DC ins Eventlog geschrieben, der die Änderung durchführt.

Zusätzlich hast Du die entsprechende Gruppenrichtlinie für "Object access" auf "Success" aktiviert? Die Richtlinie kommt auch auf den DC an?

Viele Grüße

olc

Hi Jing,

bei dem ADPREP fehlt das "RODCPREP". Hattest Du das auch durchgeführt?

Prepare a Forest for a Read-Only Domain Controller

Viele Grüße

olc

Hi,

gern, vielen Dank für die Rückmeldung. :)

Viele Grüße

olc

Hi,

Deine Beschreibungen lassen nur wenig Spielraum für eine Aussage. Wie bist Du denn genau vorgegangen, als Du den RODC installiert hast (Schema Upgrade, RODCPREP, Installation etc.)?

Wenden sich die Clients beim Zugriff auf die Shares unter Umständen an den RODC? Hat dieser Zugriff auf den SBS?

Viele Grüße

olc

Hi,

nimm Dir ein Zertifikat und lasse ein "certutil -urlfetch" dagegen laufen - Du wirst dann sehen, über welche URLs er sich beschwert.

In jedem Fall solltest Du Dich noch einmal mit den Grundlagen zur PKI beschäftigen, sonst wird das schwierig mit der Einrichtung. Wenn ich mich recht entsinne, behandelt das 2008er Buch von Brian Komar auch Online Responder.

Viele Grüße

olc

Hi,

das ist der Vorteil von 2 DCs - Du kannst das DNS AD integriert installieren, somit ist das AD als auch DNS "redundant" (Multi Master fähig, bis auf einige wenige Funktionen). Das ist der Sinn mehrerer DCs. :)

Wichtig ist sich mit den AD Grundlagen ein wenig zu beschäftigen, dann fällt das Verständnis dafür leichter. :)

Viele Grüße

olc

Hi,

ok, dann prüfe einmal die Punkte aus dem o.g. Blog.

Viele Grüße

olc

Hi,

wie sieht Deine DNS Konfiguration aus? Scheinbar trägt sich der neue Server nicht im DNS ein:

Starting test: Advertising

Warning: DsGetDcName returned information for \\dc1.meine-domain.local, when we were trying to reach MEINSBS.

Server is not responding or is not considered suitable.

......................... MEINSBS failed test Advertising

Ich vermute, daß da irgendwo ein Problem liegt und das SYSVOL daher nicht repliziert und daher nicht freigegeben wird.

Sind denn schon SYSVOL Daten repliziert worden oder ist da noch gar nichts passiert?

Viele Grüße

olc

...und ergänzend noch ein Link vom fleißigen Yusuf: LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

Viele Grüße

olc

Hi sheltem und willkommen an Board, :)

wie hast Du die Firewall deaktiviert - den Dienst gestoppt oder direkt über die Firewall GUI deaktiviert? Letzteres wäre das korrekte Vorgehen.

Welche Fehlermeldung erscheint, wenn Du remote auf die Datenbank zugreifen möchtest?

Seit SQL Server 2005 mußt Du remote connections auch zulassen, siehe dazu: SQL Protocols : SQL Server 2005 Remote Connectivity Issue TroubleShoot

Insbesondere die Sektion "On your server side:" wäre für Dich also relevant.

Viele Grüße

olc

Hi,

mich macht die Meldung zum NETLOGON Dienst stutzig:

C:\Windows\System32>err 0x424
# for hex 0x424 / decimal 1060 :
 RMON_RESTYPE_BAD_TABLE                                        clusvmsg.h
 SQL_1060_severity_15                                          sql_err
# The number of rows in the TOP clause must be an integer.
[b][color="Red"]  ERROR_SERVICE_DOES_NOT_EXIST                                  winerror.h[/color][/b]
# The specified service does not exist as an installed
# service.
# 3 matches found for "0x424"

Es scheint zu diesem Zeitpunkt der Dienst schlichtweg (noch) nicht zu existieren. Das würde das Problem erklären. Was mich aber von der Installationslogik her verwundern würde, er muß zu diesem Zeitpunkt schon "installiert" sein.

Zusätzlich würde ich einmal versuchen, anstatt des NetBIOS Domänennamens den DNS Namen der Domäne in der Unattend-Datei einzutragen.

Viele Grüße

olc

+ Angry IP Scanner : Home - IP and Port Scanner Tool for Analyzing Networks

Hallo nochmal,

habe noch was "nettes" gefunden: System Center Operations Manager 2007 Training Videos --> siehe "About groups".

Viele Grüße

olc

Hi,

ohne Grundkenntnisse wird es natürlich schwer, so etwas zu erläutern. Vielleicht ist ein wenig Geld für ein Training drin - SCOM ist nicht "nebenbei" konfiguriert... :wink2:

Schau einmal hier hinein, dort findest Du einige Hinweise: How to create and configure custom groups in SCOM 2007 - systemcentercommunity

Viele Grüße

olc