olc

Hi, welche Möglichkeiten hast Du denn am IIS, verschiedene Zertifikattypen auszuwählen? Gibt es dort keine Auswahlmöglichkeiten? Viele Grüße olc

Hi Tony, nein - genau dafür ist das Autoenrollment da. :) Es schaut bei korrekter Einrichtung in den Benutzerspeicher und auf die Enterprise-CA: Ist für den Benutzer ein Zertifikattemplate auf dr CA für das Autoenrollment freigegeben, zu dem es noch kein lokales Zertifikat im Benutzerprofil (also auf dem Client) gibt, wird das Autoenrollment eingeleitet. Das heißt auf Grundlage des freigegebenen Templates wird dann ein Benutzerzertifikat automatisch an den Benutzer ausgestellt. Du kannst also direkt das Zertifikat, welches Ihr derzeit über das Webenrollment anfordert, automatisch ausstellen / verteilen lassen. Schau Dir die Autoenrollment Funktion einmal an, teste ein wenig damit herum. Dann spart Ihr Euch in Zukunft sicher einiges an Arbeit. Viele Grüße olc

...Argh, ja - natürlich. Sorry, ich hatte nur den "-c" Switch gesehen und mal wieder zu schnell weg geklickt. Hast natürlich vollkommen Recht, danke für den Hinweis. Wer lesen kann ist klar im Vorteil - hätte mir 10 Minuten testen erspart. :wink2: Viele Grüße olc

Hi Tony, wenn die CA als Enterprise CA konfiguriert wurde (also "AD-integriert" wenn man so will), dann mußt Du nur die gewünschten Templates anpassen und freigeben. Um V2 bzw. in 2008 V3 Templates zu bearbeiten, ist eine Enterprise Version des Windows Server 2008 notwendig - die V1 Templates kannst Du hingegen auch mit einer normalen Standard Version nutzen. Um für Benutzer auch Zertifikate per Autoenrollment auszustellen, muß das gewünschte Template mit Lese- und Autoenroll-Rechten für die gewünschte Benutzergruppe ausgestattet sein. Zusätzlich muß in den Security Settings einer GPO oberhalb der Benutzeraccounts das Autoenrollment im Benutzerzweig freigegeben werden, siehe AD CS: User autoenrollment should be enabled when an enterprise CA is installed . Dann bekommen die Benutzer beim Anmelden (und danach zyklisch) automatisch die für sie ausgestellten Zertifikate. In jedem Fall solltet Ihr das Vorgehen ausgiebig vor dem Produktiveinsatz testen. Wenn mann mit dem Autoenrollment keine Erfahrung hat, kann man sich schnell größere Probleme bereiten. Viele Grüße olc

Hi, wenn Du das ganze in eine Textdatei umleitest, wird der Fehler nicht mit in die Textdatei geschrieben (standardmäßig ist die default Ausgabe für Fehler der Bildschirm). Du könntest es also so probieren: dsget group "CN=verteilergruppe,ou=Test,dc=test,dc=lcl" -members -expand | dsget user -c -email | FINDSTR /V /I "email dsget war erfolgreich" > C:\emails.txt Damit sollte es klappen, wenn Du eine Abfrage für Benutzer durchführst und die zweite dann (falls gewünscht) auf Kontakte absetzt (mittels dsget contact nach der ersten Pipe). Viele Grüße olc

Hi, dann versuch einmal einen eigenen Request mittels certreq.exe zu erstellen: Appendix 3: Certreq.exe Syntax . Da ich von SharePoint keine Ahnung habe weiß ich nicht, ob man vielleicht nur "an einer Schraube" drehen muß. Ich würde jedenfalls versuchen, ein WebServer Zertifikat / Server Authentication mittels certreq zu erzeugen. Das Zertifikat im Screenshot sieht mir doch arg falsch aus für den Zweck der SSL-Verschlüsselung. Viele Grüße olc

Hi, hat es denn damit nicht funktioniert: https://www.mcseboard.de/post17-909479.html ? Viele Grüße olc

Hi Flip, dann macht sich vielleicht Eventtriggers besser. Damit kannst Du auf Ereignisse reagieren und zum Beispiel Batch-Dateien bei Auftreten des Ereignisses aufrufen. Diese führen dann die gewünschte Aktion durch. Viele Grüße olc

Hi, nein - bei den Februar Hotfixes war nichts entsprechendes dabei. Dann vielleicht im März. ;) Viele Grüße olc

Off-Topic: ...aber Du bekommst den Preis für die ausgeklügelteste Variante. :) Viele Grüße olc

Hi Manuel, beispielhaft wären da C:\> gpresult /Z C:\> rsop.msc oder auch ein GPMC HTML Ergebnissatz für einen Benutzer auf einer bestimmten Maschine: Resultant set of policy overview for GPMC: Group Policy . Was genau ist denn Deine Anforderung bzw. was möchtest Du genau erreichen? Viele Grüße olc

Hi Dirk, sieht gut aus - hilft sicher irgendwann einmal weiter. :) In dem konkreten Fall würde ich jedoch eher FINDSTR nehmen, das ist recht einfach und vor allen Dingen kürzer. ;) Viele Grüße olc

Hi Daniel, ich würde es einfach mit FINDSTR erledigen, dann sparst Du Dir den Aufwand. In etwa so: C:\> dsget group "CN=Gruppe,OU=ou,DC=domain,DC=tld" -members -expand | dsget user -samid -email | FINDSTR /V /I "samid dsget" Kontakte mußt Du extra auslesen, Du kannst jedoch die selbe Kommandozeile nutzen, wenn Du anstatt der Benutzer Kontakte ausliest. In etwa so: C:\> dsget group "CN=Gruppe,OU=ou,DC=domain,DC=tld" -members -expand | dsget contact -cn -email | FINDSTR /V /I "cn dsget" Weitere Hilfe zu den Möglichkeiten gibt Dir: C:\> dsquery /? C:\> dsget /? C:\> findstr /? ;) Viele Grüße olc

Hi Daniel, soweit ich weiß geht das nicht direkt. Aber Du könntest die Ausgabe über FINDSTR oder ähnliches umleiten und die Zeilen dann "manuell" ausfiltern. Vielleicht schaust Du Dir auch einmal AdFind an - das Programm bietet eine ganze Menge zusätzlicher Optionen, vielleicht ist hier etwas zur Anpassung der Ausgabe mit dabei. Viele Grüße olc

Hi Daniel, muß es VBScript sein oder reichen auch andere Möglichkeiten? Mit CSVDE sollte es eigentlich auch klappen, im Prinzip in der Form: csvde -d "ou=Verteilergruppen,dc=domain,dc=tld" -l "displayName,mail" -f C:\emails.txt Attribute von Verteilergruppen findest Du beispielsweise hier: Exchange-Related Attributes of Query-Based Distribution Group Objects [EDIT] Ok, da kam in der Zwischenzeit eine Veränderung Deiner Anforderungen... In dem Fall würde ich es eher mit den DSTools machen, etwa so: C:\> dsget group "CN=Gruppe,OU=ou,DC=domain,DC=tld" -members -expand | dsget user -samid -email [/EDIT] Viele Grüße olc

Hi, warum hast Du kein SSL / Server Authentication Zertifikat ausgestellt? Welchen Weg bist Du genau gegangen, um das Zertifikat für die SharePoint Seiten zu beantragen? Viele Grüße olc

Hi, Das hatte ich doch aber oben schon geschrieben oder? :wink2: Wahrscheinlich ist ein falsches Template importiert worden. Ja, schau einmal hier: Troubleshooting SCECLI 1202 Events Viele Grüße olc

Hast Du denn den Hinweis von XP-Fan beachtet? Schau einmal in die Rollen bzw. Features im Servermanagers. Viele Grüße olc

Hi, habe mir gerade nochmal den Thread durchgelesen - Du möchtest also explizit DNS Abfragen auf den GC sehen? Es kann sein, daß nicht in jedem Fall GC Abfragen gemacht werden. Wenn ich mich recht entsinne entfällt dies, wenn der zurückgegebene DC (über die LDAP und Kerberos Abfragen des Clients) GC ist. Außerdem ist es nicht in jedem Fall notwendig, einen GC zu befragen - wenn es sich bei einer Benutzeranmeldung nicht um die erste Anmeldung handelt (Auslesen der Universellen Gruppen) oder aus anderen Gründen keine GC Abfragen notwendig sind, dann passiert das auch nicht. Also nicht verwirren lassen, wenn keine konkreten GC Abfragen für den Moment kommen... Aber das war meines Erachtens ja auch nicht Deine Hauptfrage oder? Den generellen Lookup Vorgang in Bezug auf site-spezifische Einträge oder auf die globalen Einträge konntest Du in dem Netzwerk-Trace sicher gut nachvollziehen oder gibt es dazu noch Fragen? Viele Grüße olc

Hi, "Programme und Funktionen" wäre eine Option. Im Englischen sollte es ähnlich heißen. ;) Viele Grüße olc

Hi pastors, Du benötigst einen einzigen Vista Client oder 2008 Server für die RSAT Tools (Verwaltung der GPP). Für XP gibt es CSEs, die Du installieren mußt: Download details: Group Policy Preference Client Side Extensions for Windows XP (KB943729) IFMEMBER bekommst Du beispielsweise hier: Download details: Resource Kit Web Package: IfMember.exe Das ganze ließe sich sicherlich auch über Sicherheitsfilterungen und GPO-Verlinkungen auf Standorten erreichen. Das ist jedoch m.E. meist nicht so optimal bzw. praktikabel - von daher würde ich es eher mit den GPP versuchen. Die sind extrem flexibel und zukunftsfähig. :) Viele Grüße olc

Hi pastors, die Group Policy Preferences mit Item-Level Targeting sind keine Option? Preference Item-Level Targeting Viele Grüße olc

Hi, für den Produktionsbetrieb nicht empfohlen, aber für Tests "auf die Schnelle" gangbar: Windows Server How-To Guides: Einrichten einer L2TP/IPSec Verbindung mit Zertifikaten - ServerHowTo.de Auf den ersten Seiten wird die "quick & dirty" Einrichtung einer CA beschrieben, von der Du dann die entsprechenden Zertifikate beantragen kannst. Viele Grüße olc

Hi, setz doch einmal Handle auf eine der Dateien an - bekommst Du vielleicht einen aussagekräftigen Prozess zurück, der ein Handle auf die Dateien hat? Viele Grüße olc

Hi, DHL holt auch Pakete ab - hier müßtest Du Sperrgut angeben und zahlst damit eine ganze Menge. Aber ich habe damit schon einmal guter Erfahrungen gemacht. Im Zweifel vorher mal bei der DHL anrufen. Viele Grüße olc