olc

Hi,

ich verstehe den Zusammenhang zwischen der Thematik und Linux/OpenSSL PKI nicht.

Bei OpenSSL mußt Du ebenfalls alles selbst erstellen / scripten? Was genau ist der Vorteil dabei, den Du siehst?

RedHat hat meines Wissens in der eigenen OpenCA Implementierung eine Art Autoenrollment. Aber auch hier wirst Du meines Wissens nicht um Scripting herumkommen.

Viele Grüße

olc

Hi,

das läßt sich meines Wissens leider nicht per Autoenrollment lösen.

Du müßtest also "manuell" die Requests erstellen und die entsprechenden Attribute in die Requests kippen - etwa per MMC, AD CS Webseite oder certreq.exe. Certreq.exe ließe sich automatisieren, sprich die notwendigen inf-Dateien ließen sich sicher per Script aus den AD-Attributen eines Systems einfügen.

Hinweise zu certreq.exe und den anderen "manuellen" Varianten finden sich hier: How to Request a Certificate With a Custom SAN

Hinweise zur Automatisierung finden sich z.B. hier: http://en-us.sysadmins.lv/Lists/Posts/Post.aspx?ID=11 .

Viele Grüße

olc

Hi,

neben der von dmetzger angesprochenen AD-Replikationszeit bei AD-integrierten Zonen hat der DNS-Dienst einen eigenen "poll" Intervall. Bis 2008 lag dieser bei 5 Minuten (zyklisch) und ab Windows Server 2008 bei 3 Minuten.

Abfragen kannst Du diesen mit dnsmcd /info: Dnscmd Syntax: Domain Name System(DNS)

Interessant ist hier der "dwDsPollingInterval". Anpassen geht auch, jedoch ist das in den meisten Fällen eher kontraproduktiv.

Ergo: (AD-Replikation) + (max. 3 Minuten) ab Windows Server 2008.

Viele Grüße

olc

Hallo Richard,

ist die Maschine eine Hardware oder ist es eine virtuelle Maschine?

Sind die Netzwerkkarten-Treiber (Stichwort "offloading") in aktueller Version installiert?

Läuft ggf. einiges an SMB/CIFS Traffic über die Maschinen?

Du kannst über "Computermanagement" --> Diagnostics Logs einen System Performance Report erzeugen. Die Daten werden ca. 5 Minuten generiert und danach kannst Du in den "Reports" eine HTML Zusammenfassung einsehen. Unter Umständen findest Du dort Hinweise, ohne jetzt "hardcore" Logs zu erzeugen.

Viele Grüße

olc

Ok, danke für die Rückmeldung.

Lass Dich nicht fertig machen und melde Dich, wenn es etwas neues gibt. ;)

Viele Grüße

olc

Ich weiß, dass Du es mit Deinem ersten Abschnitt gut meinst und Du mir quasi das gleiche erzählst, was ich in den vergangenen Woche dem Kunden erzählt habe. Also lass es an der Stelle gut sein, das hilft jetzt konkret leider nicht weiter.

:)

Das Kopieren einer vorhandenen Vorlage ins Format 2003 brachte leider nichts.

 

edit: Das mit der "Standard"-Vorlage habe ich missverstanden. Zu viele Fenster gleichzeitig offen. :)

Heißt das, es geht jetzt mit einer "Standard"-Vorlage? Oder auch im 2003er Template ein Problem? Habe gerade in meiner Testumgebung geschaut - mit einer 2003er Vorlage sind die Checkboxen alle auswählbar und nicht einige ausgegraut. Ich habe testweise "einfach mal" das "Subordinate Certificate Authority" Template kopiert.

Viele Grüße

olc

Hi,

Wie ist das eigentlich mit IPv6 - das kann man doch eigentlich lokal komplett rausnehmen - oder gibt es da Probleme? Und wenn nicht - hat jemand ne Anleitung was man wo wie drehen muss (ist ja nicht einfach nur so leicht getan).

Warum möchtest Du das tun?

Hi,

wie es beim AD Server ist, kann ich dir nicht sagen, habe es nicht ausprobiert, jedoch bei einem Exchange kam es schonmal zu Problemen wenn man ipv6 deaktivierte.

 

wenn du ipv6 deaktivierst, dann aber bitte richtig.

Fix it hilft gerne :)

So deaktivieren Sie bestimmte IPv6-Komponenten (Internet Protocol Version 6) in Windows Vista, Windows 7 und Windows Server*2008

Und man beachte dabei die Präambel, die Microsoft am Anfang des Artikels eingesetzt hat:

We do not recommend disabling IPv6. For more information, see the "What are Microsoft's recommendations about disabling IPv6?" question in the following article:

IPv6 for Microsoft Windows: Frequently Asked Questions

Viele Grüße

olc

Hi Robert,

Du hast gelesen, dass die CA nicht vertrauenswürdig ist?! Das Risiko ist also überschaubar, da rein intern (und dort noch nicht Inbetrieb, außer für fünf Webserver).

Ja, gemeinhin lese ich Beiträge, bevor ich auf sie antworte. ;)

Eine PKI ist per se *immer* vertrauenswürdig, ansonsten würdest Du sie nicht betreiben. Natürlich ist es ein Unterschied,ob sie intern oder extern verfügbar gemacht wird - letztendlich ändert das jedoch nichts an der Bedeutung für Deine Sicherheits innerhalb der Firma.

Laß mich die Frage anders stellen: Wenn sie nicht vertrauenswürdig wäre, warum betreibst Du sie dann überhaupt? Und warum Webserver Traffic verschlüsseln, wenn das am Ende eh nicht vertrauenswürdig ist?

Du machst das hoffentlich nicht zum Selbstzweck, sondern um das Sicherheitsniveau Deiner Umgebung zu steigern. Wäre es nicht so, kannst Du Dir den Service sparen.

Und bitte - sag jetzt nicht, die Webserver "müssen" SSL machen und das ist ausschließlich der Grund, warum Du eine PKI betreibst. Wenn es so wäre, käme jetzt nicht die Anfrage der Cisco Kollegen.

Hat er ja. Er zeigt mir den Guide von Cisco und sagt: So sollen die aussehen. Und leider sehen sie nach der CA von Windows nicht so aus.

Warum?

Ich sage Dir, daß es ein wunderschönes Gefühl ist, wenn Du ohne Sicherung einen 3.000 Meter Gletscher besteigst. Machst Du das dann auch einfach so?

Ok, das kann ich aus dem Kopf nicht sagen. Da hier aber eine homogene Win 2008 R2 Umgebung ist, habe ich mit hoher Wahrscheinlichkeit eine 2008-Vorlage erstellt.

Vermutlich. Kopiere die "Standard"-Vorlage noch einmal und wähle "Windows Server 2003". Unter Umständen geht es dann.

Viele Grüße

olc

Moin Robert,

auf auf die Gefahr hin, daß Du mich als renitent bezeichnest... ;)

vielleicht hätte ich dazusagen sollen, dass wir intern schon über den "Sinn/Unsinn" diskutiert haben

...was nichts an der Kritik oder Fragwürdigkeit ändert. ;)

und der Kunde entschieden hat, dass diese Frage später beantwortet wird.

Wann genau - wenn Ihr Euer Unternehmensvertrauen neu aufbauen müßt, da die PKI gehackt wurde, oder wenn Ihr pleite seid, weil irgend eine Malware einen signierten Request für einen Kredit über 80.000.000,- Euro an Eure Bank gesendet hat?

Zuerst müssen die Cisco-Dinger laufen, denn hier kostet die Consulting-Firma mit jedem Tag richtig Geld.

Wie viel genau ist das im Vergleich zum Reputationsverlust oder dem Neuaufbau Eurer gesamten Vertrauensstruktur?

Und hier schieb Cisco halt die Schuld ziemlich einfach auf die Windows CA, fertig. Und da ich kein Gegenteil beweisen kann, bin ich nun im Zugzwang.

Ich laß mir normalerweise vom Dienstleister "beweisen", warum es benötigt wird. Nicht anders herum. Least privilege sollte dem Dienstleister ein Begriff sein, ansonsten würde ich ihn wechseln.

Korrekt. Aber da sind im Kasten "Signatur" entweder die beiden oberen Punkte aktiv und anwählbar, oder die beiden unteren - aber nie alle gleichzeitig. Oder zumindest habe ich noch nicht die Stelle gefunden, an der man erreichen kann, dass alle vier Kästchen angeklickt werden können.

 

Und das gleiche gilt für den Kasten darunter - "Verschlüsselung". Ich kann entweder die erste Option "Schlüsselvereinbarung" oder die zweite Option "Schlüsselverschlüssel" auswählen. Aber nicht beide gleichzeitig. Beide Optionen will aber der komischer Cisco-Guide haben. :(

[...]

 

Wenn Du noch eine Idee hast, da trotzdem raus damit. Ich fürchte, dass wird noch nicht das Ende gewesen sein.

Siehe oben - hast Du eine 2003er Vorlage oder eine 2008er verwendet? Ich meine, daß Du dafür eine 2003er Vorlage verwenden mußt.

Viele Grüße

olc

Hi Robert,

Moment: Natürlich diskutieren wir hier auch über Sinn und Unsinn. Alles andere wäre grob fahrlässig. Zumal das ganze Thema hier deutlich sicherheitsrelevant ist. Eine PKI soll Vertrauen schaffen - das, was die Kollegen da von Dir wollen, beschädigt ggf. dieses Vertrauen. Dann kannst Du auch gleich die PKI abschaffen...

Also stell bitte noch einmal die Frage, wofür Digital Signature benötigt wird und ob die Cisco Kiste tatsächlich als SubCA agieren soll. Ich zumindest würde nicht "einfach so mal" eine SubCA ausrollen ohne zumindest genaue Informationen zu Management, Sicherheit und Grund dafür zu erfragen.

Ansonsten: Ich denke Du schaust an der falschen Stelle. Was Du suchst befindet sich auf dem Template unter "Extensions" --> "Key Usage" und nicht unter "Request Handling".

Oder hast Du unter Umständen eine 2008er Vorlage verwendet anstatt einer 2003er? Ich meine, daß Du für den gewünschten Request besser mit einer 2003er Vorlage arbeitest (wenn Du die Vorlage duplizierst / kopierst).

Viele Grüße

olc

Hi,

was genau soll denn die Cisco-Maschine mit diesem Zertifikat anfangen? Sie dient, wenn ich das richtig sehe, danach selbst als CA? Um den Clients Zertifikate auszustellen?

Ich persönlich finde das immer ein wenig schwierig - warum sollte das Netzwerkgerät und nicht Deine CA die Zertifikate ausstellen?

Außerdem: Wozu wird "Digital Signature" benötigt? Das ist meines Erachtens nicht notwendig / sinnvoll - oder schickt das Gerät zusätzlich noch irgendwelche Briefe an Banken o.ä.? :D

Viele Grüße

olc

Hallo Thomas,

starte als Admin auf dem Client einen Netzwerktrace (etwa über Remote Desktop) und laß den / einen Benutzer dann auf der Maschine mittels STRG + ALT + ENTF das Kennwort ändern.

Was siehst Du während der "Wartezeit" im Netzwerktrace? Was sind das für Clients (welches OS)?

Viele Grüße

olc

Hi,

vielleicht bin ich heute mit dem falschen Bein aufgestanden, aber... ;)

Die erste Diskussion bezüglich der Thematik würde ich mit Deiner GL in Bezug auf die i-Geräte führen. Wer Consumer-Geräte im Enterprise Umfeld einsetzt, sollte entweder Zusatzsoftware zum Management kaufen oder gleich etwas "richtiges" einsetzen. Ansonsten braucht sich niemand über Kontensperrungen, generelle Sicherheitsprobleme oder Fehlfunktionalitäten zu beschweren.

Kontensperrungen erkennst Du auf einem Windows Server 2008 und höher Anhand der Event ID 4740 oder vorherige fehlerhaften Authentifizierungen anhand der ID 4771, 4767 für ein Entsperren (alles im Sicherheitsprotokoll).

Viele Grüße

olc

Hi,

über "Gefühle" oder "Vorlieben" in Bezug auf alte Bedienkonzepte kann man nicht streiten. Das muß vermutlich jeder mit sich selbst ausmachen.

Ich sehe auch heute noch Admins als erstes nach einer Anmeldung am Server die Startleiste umstellen, anstatt der eigentlich geplanten Arbeit auf dem Server nachzugehen. In solchen Momenten denke ich mir meinen Teil und erfreue mich der Funktionen, die diese Kollegen schlichtweg auch nach mehreren Jahren Windows Vista/Windows 7 nicht kennen oder schlicht nicht nutzen können aufgrund der eigenen Umstellungen.

Zum Glück entfällt dieser Schritt zukünftig, das ganze läßt sich ja ordentlich mit der PowerShell automatisieren. Wobei - die Kollegen, die das Althergebrachte lieben, werden vielleicht auch zukünftig lieber weiter klicken, was wenig produktiv ist.

Fakten jedoch, die einen notwendigen Paradigmenwechsel zu einer anderen Oberfläche untermauern, finden sich zuhauf. So zum Beispiel hier:

Reflecting on your comments on the Start screen - Building Windows 8 - Site Home - MSDN Blogs

Und so richtig weiß ich nicht ob ich lachen oder weinen soll: Eine der in der Vergangenheit meist-kritisierten Funktionen im Windows Betriebssystem ("Start") wird nun zum Liebling einiger weniger. Ist schon merkwürdig...

Viele Grüße

olc

Hi,

Kurzfassung: LockoutStatus.exe, den sperrenden DC prüfen und dort ins Eventlog schauen. ;)

Langfassung: Ein DC Deiner Umgebung sperrt den Account. Auf diesem DC ist die Information von welchem Client die Fehleingabe initiiert wurde im Security Eventlog gespeichert.

Der PDCe bekommt die Information, und loggt sie ebenfalls im Ereignisprotokoll Security, jedoch steht hier anstatt des auslösenden Clients der DC, der den Account gesperrt hat.

Du benötigst also die Information vom sperrenden DC (Lockoutstatus.exe gibt Dir diese Information sehr übersichtlich) und dort schaust Du ins Security Eventlog (die Zeit, die Du Dir anschauen mußt, siehst Du auch in Lockoutstatus.exe --> Last BadPwd).

Viele Grüße

olc

Hi pj1986, willkommen an Bo(a)rd, :)

schau einmal hier hinein: Account Lockout Tools

Viele Grüße

olc

Hi,

ab Zielsystem Windows Server 2008 kann der Hostname (nicht der Name der CA) geändert werden. Der Artikel auf Technet gibt die entsprechenden Hinweise zum Vorgehen.

Wie schon angesprochen ist es sinnvoll, pro Server nur einen Dienst zu betreiben.

Viele Grüße

olc

Hi,

grundsätzlich kannst Du wie folgt vorgehen: How to move a certification authority to another server

Jedoch gibt es Unterschiede bei den Registrierungsschlüsseln zwischen 2003 und 2008 R2 - der wirklich saubere (und empfohlene) Weg ist der folgende: AD CS Migration: Migrating the Certification Authority

Viele Grüße

olc

@zahni: Früher gab es auch Konrad Adenauer und Walter Ulbricht.

Lass uns diese Diskussion nicht auch hier aufmachen. :)

Und:

Ja, MS erwartet einmal mehr sehr viel von den Anwendern.

Ja, nicht alles ist auch aus meiner Sicht optimal gelöst.

Ja, ich denke dennoch, dass der Weg notwendig und richtig ist.

Viele Grüße

olc

@nerd: Windows + "I" für das Herunterfahren und ich meine Windows +"Q" für die Apps / Systemsteuerung: Tastaturkürzel für Windows 8 - Microsoft veröffentlicht Shortcuts - ITrig .

Ganz ehrlich? Schaut Euch das System doch erst einmal an.

Diese ganzen Schmährufe sind ja nun fast schon liebgewordene Tradition bei neuen Windows Versionen. Und in 4 Jahren heißt es dann, es sei die "stabilste und beste und sicherste Version überhaupt" und es lohnt kein Umstieg auf die neue Version. Irgendwann wird es langweilig. :p

Viele Grüße

olc

Achtung! Bei z.B. Webanwendung auf Kerberos Basis muss man ggf. die Header Größe auf allen beteiligten Geräten anpassen.

...zumal etwa der IIS aufgrund von Base64-Kodierung der Tickets im HTTP-Header meines Wissens eh nur 48KB wirklich weiterleiten kann. Zusätzlich kommt dann noch bei einer Kerberos Delegation die gleiche "Menge" (= insgesamt die doppelte Ticket-/ Token-Größe) dazu, spätestens dann wird es knapp.

Insgesamt solltet Ihr die Änderung wirklich gut testen - es gibt meiner Erfahrung nach diverse Applikationen und Dienste (bis hin zu alten NAS-Systemen), die schlichtweg weinen hart codierten Puffer von 12KB haben. Hier kannst Du in größere Autorisierungsprobleme laufen, wenn dann ein Großteil des Access Tokens schlichtweg gar nicht am Zielsystem ausgewertet wird.

Ansonsten empfiehlt sich, die Vergrößerung (wenn Sie denn wirklich sein muß) auf wirklich *allen* Windows Systemen auzurollen.

P.S.: Windows 8 / Windows Server 2012 hat einen neuen Standardwert von 48KB, was ich persönlich (wenn überhaupt) als Maximalwert empfehlen würde (siehe IIS Thema oben).

[Edit] Sehe gerade, daß der KB-Artikel durch MS in Bezug auf die 48KB angepaßt wurde. Bestätigt meine Aussagen oben. [/Edit]

Viele Grüße

olc

Hi Thorsten,

Bitte poste einmal konkret die Befehle (Servernamen usw. verfremden), die Du von Anfang an eingegeben hast.

Dass der Server noch auftaucht ist klar, er soll ja erst durch das metadata cleanup entfernt werden. :)

Viele Grüße

olc

Hi,

die ADMX / ADML Dateien sind nur Beschreibungsdateien für die GUI/Einstellungsübersetzung. Sie haben nichts (wirklich rein gar nichts) mit den Einstellungen zu tun, die Du konfiguriert hast. DIe ADMX / ADML Dateien machen diese von Dir konfigurierten Einstellungen nur "menschenlesbar".

Eine einfache Methode, nur einzelne Einstellungen oder Bereiche von GPO-A nach GPO-B zu kopieren, gibt es nicht. Lediglich für Registrierungseinstellungen wäre das mit der PS möglich, alle anderen Einstellungen bleiben außen vor.

Und wenn Du es wirklich sauber trennen möchtest, dann solltest Du vom Kopieren ganzer GPOs und dem Entfernen einzelner Einstellungen absehen. Das ist technisch nicht 100% sauber und kann neben kosmetischen Fragestellungen auch zu Folgefehlern führen. Die technischen Details lasse ich bewußt einmal raus.

Viele Grüße

olc

Hi Thorsten,

hast Du alle notwendigen Schritte für das Metadata Cleanup ausgeführt? Sprich im Menü alle relevanten Befehle ausgeführt?

Poste hier einmal alle Befehle, die Du bis hin zum "remove selected server" ausgeführt hast.

How to remove data in Active Directory after an unsuccessful domain controller demotion

Ich vermute Du gibst eine "Zahl" an, obwohl der DC schon durch das "select Operation target" ausgewählt wurde.

P.S.: Ab Vista/2008 RSAT kannst Du den Vorgang auch in der AD U&C MMC durchführen, ohne NTDSUTIL zu bemühen. Dazu reicht ein Client mit RSAT.

Viele Grüße

olc

Hi,

wie Dukel schon schrieb, Du solltest in jedem Fall testen, welchen Effekt die Anhebung des DFL auf die Linux Systeme hat.

Beim Anheben des DFL wird das Kennort des "krbtgt" Accounts neu gesetzt, um AES-Verschlüsselung zu gewährleisten. Nach der Änderung kann es meiner Erinnerung nach Probleme mit Systemen geben, die per keytab an das AD-Kerberos angebunden sind.

Viele Grüße

olc