olc

Hi, der DNS Server cached meines Wissens Anfragen an die _msdcs Zone nicht. Ein "/flushdns" macht jedoch nur auf der Client Seite Sinn - aber auch hier denke ich, daß die SRV-Einträge nicht gecached werden, sondern nur Host-A Einträge. Da bin ich mir aber gerade nicht sicher. Hast Du den Traffic eines Client-Neustarts aufgezeichnet oder welche Aktion wurde getraced? Du solltest am besten einfach den Client Neustart mitschneiden (etwa über einen Hub). Viele Grüße olc

Hi, man kann Konfiigurationsdateien sicher posten, aber mal muß schon selbst schauen, ob irgend etwas kritisches drin steht. ;) Die Daten zur Verschlüsselung (SA) sind nicht problematisch, eher IPs oder Pre-Shared Keys (falls eingesetzt). Von den oben geposteten Logs her sieht es m.E. so aus, als ob die Gegenseite nicht auf die SA Anforderungen reagiert. Der Hinweis von hegl ist hier relevant - unter Umständen stimmen die Lifetime oder Timeouts nicht auf der Gegenseite. Hast Du ein vollständiges Log von Deiner Seite und der Gegenseite sowie die Konfigurationsdateien beider Seiten? Hier macht ein "Vergleich" auf der Suche nach dem Fehler Sinn. Wie gesagt - schau vorher drüber, was vielleicht nicht gepostet werden sollte... Viele Grüße olc

Hi Patrik, ja - aber klingt das wirklich empfehlenswert? Wenn Du die Sicherheit aushebelst, um Zertifikate zur Sicherung einzusetzen, macht das doch im Grunde wenig Sinn oder? ;) Die Zertifikaterstellung für den IIS ist eine Sache von wenigen Minuten - ich persönlich würde mir diese Zeit ans Bein binden und die Änderung an den Sicherheitseinstellungen wieder rückgängig machen. :) Viele Grüße olc

...nur ergänzend der Hinweis auf den unteren Bereich von: Windows Server How-To Guides: Applikationen als Dienste einrichten - ServerHowTo.de Dort wird die Diensterzeugung mittels SC.EXE und auch der PowerShell angesprochen. Viele Grüße olc

Hi Rakli, wie gesagt - wenn der Subject oder SAN falsch war, erklärt sich das Problem. Unter Umständen ist es im neuen Zertifikat korrekt eingetragen. Viele Grüße olc

Hi, vergleiche doch einmal die genannte Datei der beiden DCs mit der einer "sauberen" Windows Server 2000 DC Installation (ggf. schnell eine VM aufsetzen). Ist die Datei inhaltlich gleich oder gibt es Unterschiede? BTW: Es wäre vielleicht sinnvoll zu überlegen, ob man die Windows 2000 DCs nicht bald ablösen sollte - so grundsätzlich einmal in den Raum geworfen. ;) Viele Grüße olc

Hi Tony, wenn die (Windows Server 2003?) CA AD-integriert ist (also als Enterprise CA konfiguriert), kannst Du das sogenannte Autoenrollment nutzen. Das ist in einer AD-Umgebung sicher effizienter als das Verteilen über das Webenrollment, wenn es die Benutzer nicht selbständig durchführen. Der von Christoph genannte Link wäre nicht unbedingt optimal, da Du die Benutzerzertifikate dann in den falschen Store importierst. Korrekt wäre etwa der Umweg über ein certutil-Script, welches das jeweilige Zertifikat in den Benutzerspeicher schreibt. Aber hier wäre der Aufwand auch sehr hoch, da ja jeder Benutzer nur sein eigenes Zertifikat bekommen soll. Der beste Weg wäre (wie oben angesprochen) das Autoenrollment. Wenn Du ein paar mehr Informationen zu Deiner Umgebung gibst, findet man vielleicht einen guten Weg. Viele Grüße olc

Hi, Nein, das geht nicht. Du müßtest das EFS Zertifikat inkl. des privaten Schlüssels vorher importieren. Wenn TrueCrypt schon zu "kompliziert" ist, fallen auch andere Open Source Lösungen m.E. aus (etwa Blowfish Advanced CS). Es bleibt dann wahrscheinlich nur der Blick auf den kostenpflichtigen Markt, wobei ich bezweifele, daß die anderen Lösungen von Aladdin, Ultimaco und Co. ohne Installation auf den Clients laufen. Viele Grüße olc

Hi, warum stellst Du für die Webseite / den Webserver nicht einfach ein SSL Zertifikat aus? Macht die ganze Angelegenheit sicherer und "umgeht" damit den Fehler. ;) Viele Grüße olc

Hi rakli, der in der URL aufgerufene Name unterscheidet sich offensichtlich von dem Subject oder SAN im Zertifikat. Die Frage ist hier, warum dies so ist. Vielleicht kannst Du das ja noch einmal prüfen. Du könntest über den "certmgr.msc" das Zertifikat in die vertrauenswürdigen Stammzertifizierungsstellen mit aufnehmen, wenn Du es wirklich möchtest. Ich persönlich würde aber lieber den "Fehler" beheben anstatt diesen Umweg zu gehen. Die Meldung im IE kannst Du jedoch meines Wissens nicht mit normalen Mitteln umgehen, solange die URL nicht mit dem Subject / SAN des Zertifikats übereinstimmt. Ich bin mir in diesem konkreten Fall aber nicht 100% sicher - probieren geht über studieren. ;) Viele Grüße olc

Hi Lawe, schau Dir einmal Cmdkey an. Viele Grüße olc

Hi, Truecrypt ist auch ohne Installation als "portable Version" verfügbar. Du verschlüsselst damit entweder die gesamte HDD oder etwa eine Partition bzw. erstellst einen Container. Dort kannst Du dann "transparent" Ordner oder dateien ablegen, die verschlüsselt sind. Alternativ gibt es von diversen Anbietern alternative Systeme, die auch eine Entschlüsselung mittels "USB-Stick" erlauben. Die kosten dann aber meist ein wenig und müssen meist auch installiert werden... Ansonsten volle Zustimmung zu Nils Hinweis, daß EFS für das Szenario eher nicht geeignet ist. Viele Grüße olc

Hi, Der Unterschied liegt darin, daß das eine eine globale Zone ist und das andere ein Bereich der jeweiligen Site. Je nachdem, wie der Lookup Vorgang durchgeführt wird, kann für einen Client der eine oder der andere Eintrag relevant sein. Dazu später mehr. Bestenfalls ist ein Client Mitglied einer Site, jedoch kann es aus Konfigurationsfehlern oder schlichtweg fehlenden Subnetzen dazu kommen, daß es keine Sitezuordnung für einen Client gibt. Dann greift beispielsweise einer der globalen Einträge, wo sich in den Standardeinstellungen alle DCs / GCs eintragen. Ein weiteres Beispiel wäre der Ausfall des DCs / GCs einer Site (mal vorausgesetzt dort steht nur einer). In einem solchen Fall sollen sich die Clients ja trotzdem noch authentifizieren können - auch wenn die Verbindung "teuer" ist. Dann greifen die Clients ebenfalls auf die globalen Einträge zurück. Dann ist zu vermuten, daß der oder die gewünschten DCs nicht korrekt ihren Sites zugeordnet sind. Das solltest Du einmal prüfen. Ansonsten gibt es auch die Möglichkeit zentral festzulegen, wo sich welcher DC registriert. Hierzu gibt es GPO Einstellungen für den NETLOGON Dienst - wenn Du die jedoch nicht manuell verändert hast, dann ist das standardmäßig nicht der Fall. Ein RSOP oder GPMC HTML Report für den entsprechenden DC schafft hier Klarheit. :) Der Client liest im Grunde die gesamten für ihn relevanten Zoneninformationen aus und versucht sich dann zuallererst auf die "Site lokalen" DCs zu verbinden. Findet er hier keine DCs oder ist er selbst keinem Subnetz und damit keiner Site zugeordnet, versucht er es bei den globalen Einträgen (die übrigens ebenfalls "abgeschaltet" werden können, d.h. die DCs sich nicht in jedem Fall in der globalen Zone mit ihren SRV-Einträgen registrieren - ist jedoch in den meisten Fällen nicht empfehlenswert). Schau Dir einen Clientstart oder ein NLTEST /SC_RESET doch einmal im Netzwerkmonitor an. Dann filterst Du nach DNS Traffic und bekommst den gesamten Vorgang sehr schön zu sehen. :) Viele Grüße olc

Hi, na das klingt doch gut. Besten Dank für Deine Rückmeldung. Viele Grüße olc

Hi Christian, welche Optionen habt Ihr denn für das IPSec VPN eingestellt (etwa PFS etc.)? Unter Umständen ist schlichtweg eine Option nicht kompatibel? Fließt immer Traffic über die Leitung oder gibt es auch "Ruhezeiten"? Tritt der Fehler eventuell nach den "Ruhezeiten" auf? Der folgende Link ist zwar von Juniper, aber da die Systeme oft ein Linux oder BSD als Unterbau nutzen und oftmals die gleiche VPN Software (OpenSWAN o.ä.) kannst Du vielleicht auch mit den Hinweisen etwas anfangen: Knowledge Base - Support - Juniper Networks Viele Grüße olc

Hi, sind noch weitere DCs in der Umgebung vorhanden? Falls ja kannst Du ggf. auf dem Problemsystem ein D2 durchführen, siehe How to rebuild the SYSVOL tree and its content in a domain . Viele Grüße olc

Hi, Ich bin mir gerade nicht 100% sicher, aber ich meine, daß es funktioniert, wenn Du die Ordneroption "Ordnerfenster in einem eigenen Prozess starten" aktivierst. Dann läßt sich meines Wissens auch ein Explorer Fenster mit erhöhten Rechten starten. Viele Grüße olc

Hi, Da sind noch ein, zwei Antworten auf die Fragen oben offen. Das wäre ein Anfang. ;) Viele Grüße olc

Hi, vielleicht ein wenig OT, aber ist es ein Tippfehler, daß Du SuSE 7.1 verwendest? Da kann man sicher nicht Windows 7 den Vorwurf machen, nicht "abwärtskompatibel" zu sein... Mal abgesehen von den Programmversionen selbst dürfte es dafür auch schon eine ganze Weile keine Security Updates mehr geben oder? Vielleicht macht ein Umstieg doch ein wenig Sinn? Viele Grüße olc

Hi, ich finde die %DSDIT% Meldung etwas merkwürdig, denn laut diesem KB-Artikel sind die Variablen nur beim DCPROMO gesetzt: How to Set and Maintain %DSDIT%, %DSLOG%, and %SYSVOL% Environment Variables . Aber vielleicht liegt genau dort das Problem: Schau doch einmal in die im KB-Artikel genannte *.inf Datei - wurde daran etwas verändert bzw. habt Ihr die Security Templates für die DCs manuell verändert / importiert? Viele Grüße olc

Hi Josef, Kannst Du den genauen Text der Fehlermeldung einmal posten? Ist die Firewall auf dem 2008er System entsprechend angepaßt oder ausgeschaltet? Hast Du bei der Neueinrichtung der Namespaces den 2008er Server auch als Namespaceserver eingerichtet oder einen anderen Server als Namespaceserver definiert? Ist der Namespace Stand-Alone oder AD-integriert? Dürfte in diesem Fall unerheblich sein, da sich Änderungen am DFS-Namespace erst unter Domänen-Funktionsmodus 2008 ergeben haben. Da ein Windows Server 2003 R2 DC vorhanden ist, kann es kein 2008er Modus sein. DFSR hat nichts mit DFSN zu tun. Daher sind die Stagingeinstellungen in diesem Fall nicht relevant. Der Namepsace wurde laut TO komplett neu eingerichtet - auch hier funktioniert es laut Josef nicht korrekt. Würde ich persönlich also eher ausschließen, daß hier ein Problem liegt. Viele Grüße olc

Hi, ich habe wie gesagt keine 2008er CA im Moment vor mir - aber ich würde vermuten per Rechtsklick auf das Template? Viele Grüße olc

Hi Charly, was genau ist denn Deine Frage? ;) Der erste Schritt wäre wohl zu prüfen, was der Benutzeraccount "worker" tut. Heißt die SBS Domäne WORK01 oder ist es der Clientname? Sind vielleicht Applikationen oder Dienste auf dem Client auf den Anmeldenamen "worker" festgelegt? Viele Grüße olc

Hi Mirko, danke für Deine Rückmeldung. Mal schauen, was dabei heraus kommt. :) Viele Grüße olc

Hi, ich habe gerade kein 2008er System vor mir, aber mußt Du vielleicht die Vorlage noch irgendwie Webserver freigeben? Wie oben schon geschrieben - wie sind die Rechte auf dem Template? Viele Grüße olc