Soapp

Wie ist das bei MS Prüfungen. Fällt das Subnet 0 weg oder ist das ein reguläres Subnet ? Wenn die Frage kommen würde: Welches ist das erste Subnetz bei 192.168.1.0/26 192.168.1.0 - 192.168.1.63 (255.255.255.192) = 1. Netz 192.168.1.64 - 192.168.1.127 (255.255.255.192) = 2. Netz 192.168.1.128 - 192.168.1.191 (255.255.255.192) = 3. Netz 192.168.1.192 - 192.168.1.255 (255.255.255.192) = 4. Netz Ist bei MS Prüfungen dann 192.168.1.0 richtig oder 192.168.1.64 ?? Danke

Hab mir überlegt evtl. neben den Prüfungen für Server 2008 gleich die 2003er Prüfungen auch zu machen. Wie ich mancherorts gelesen habe, sind die 2003 aber wesentlich schwieriger. Kann das jemand bestätigen ? Danke

Gratulation Hab die 70-640 letzte Woche auch gemacht ? Welche knackigen Fragen meinst du ? Zertifikate ?

Danke, du hast recht, machmal können Antworten so einfach sein :p

ja genau, hab die 70-640 gerade gemacht und lerne jetzt für die 70-642 sprich MCITP Server Administrator. Weiss nicht was mir jetzt mehr Vorteile verschafft, eher breiteres Wissen, wenn ich den SQl-Server Administrator noch dazunehme, oder eher vertiefteres Wissen, wenn ich den MCITP Enterprise Administrator mache

Hallo, ich habe vom Arbeitsamt eine 4,5 monatige Weiterbildung genehmigt bekommen. Nun frage ich mich ob es sinnvoller ist MCSA 2008 +Exchange Server+SQL-Server zu machen (MCSA+70-236+70-431) oder lieber MCSE 2008 und evtl. noch Exchange wenn die Zeit es zulässt. Was meint ihr ? Danke Soapp

Muss mich zurzeite mit Routing auseinandersetzen und habe daher zu Testzwecken in VMWARE 2 DC's aufgebaut um statisches Routing zu lernen. 1.Netz (192.168.210.32) 192.168.210.33 - 192.168.210.62 2.Netz (192.168.210.64) 192.168.210.65 - 192.168.210.94 DC1 1. Netzwerkkarte 192.168.210.34/27 - Standardgateway 192.168.210.33 2. Netzwerkkarte 192.168.210.68/27 - Standardgateway leer DC2 1. Netzwerkkarte 192.168.210.66 - Standardgateway 192.168.210.68 Auf dem DC1 funktioniert ein ping auf den DC2 route add gibt mir folgende Route aus 192.168.210.64 255.255.255.224 Auf Verbindung 192.168.210.68 266 Auf DC2 funktioniert ping Richtung IP-Adresse von DC1 NICHT. Hab auf DC2 einfach das Standardgateway auf 192.168.210.68 gesetzt. Müsste doch funktionieren, oder ?? Da Standardgateway 192.168.210.68 ist vom DC2 aus anpingbar Danke Soapp

Weiss jemand die Verarbeitungsreihenfolge bei DNS Servern ? 1.) Zonen 2.) Cache 3.) ?? kommt nach dem Cache die bedingte Weiterleitung, Stubzone, Weiterleitung, oder Stammhinweise dran ? Danke Soapp Warum ich das wissen will: Hab hier in einer Testumgebung einen Domänen-WinXP Client (Domäne:contoso.com) dessen DNS Einstellungen auf einen DNS Server zeigen, der nur als Cache Server verwendet wird. (kein Mitglied der Domäne). Als Weiterleitung hab ich auf dem DNS-Cache-Server einen DC- Server angegeben. Wollte testen, ob der Cache Nameserver Anfragen nach SRV Records weiterleitet oder nicht. Ich hoffe ihr versteht was ich meine. Scheint allerdings nicht zu gehen, Anmeldung am Client mit Domänenaccount geht nicht. Am Cache DNS-Server hab ich eine bedingte Weiterleitung von contoso.com an den Domaincontroller eingetragen.

Kleine Frage an die Profis.... Wenn man eine Root CA und eine Ausstellende CA am Laufen hat, müssen die Zertifikate der beiden auf den Clients verteilt werden ? Vom Gefühl her würde ich sagen, ess muss nur das Stammzertifikat importiert werden damit die Zertifikatskette geprüft werden kann (wenn ROOT CA offline ist). Soll das Zertifikat der Ausstellenden CA auch importiert werden ? Mir fehlt da noch so ein wenig der Durchblick Also was ist hier in größeren Umgebungen "Best Practise" ? Danke für die Erleuchtung Soapp

Erstmal danke für die Antwort, jetzt verstehe ich warum da nur eine URL ohne Dateiname steht Hier die Lösung für alle, die keine Fehlermeldungen in pkiview haben wollen: Warum das funktioniert versteh ich nicht, aber es funktioniert: Sprich, OCSP-Speicherort#1 wird nun ohne Fehler angezeigt OCSP Responder - Error in pkiview.msc Das einzige was mich jetzt noch wundert ist, warum auf dem Vista Client mit certutil -urlfetch -verify test.cer das Zertifikat als gesperrt gemeldet wird (was der Fall ist) aber mit certutil -url test.cer und der Auswahl OCSP (von AIA) als Meldung "Gescheitert" kommt. Hier kann er anscheinend nicht auf den OCSP zugreifen. Selbst wenn ich "Sperrlisten vom CDP" auswähle meldet er "Überprüft". Auf der Ausstellenden CA habe ich natürlich nach der Sperrung eine neue Sperrliste veröffentlicht Weiss da jemand noch was darüber ?

Hallo olc, die kenne ich alle.... Allerdings will ich wissen, wie der Client den OCSP findet, und was es mit dieser url http://<ServerDNSName>/ocsp'>http://<ServerDNSName>/ocsp auf sich hat. -- Zitat: Wählen Sie zunächst im Kontextmenü der CA den Befehl Eigenschaften, um eine Konfigurationsanpassung für diese CA durchzuführen. Im Register Erweiterungen selektieren Sie anschließend bei Erweiterung auswählen die Option Zugriff auf Stelleninformationen. In der englischen Version heißt diese Funktion Authority Information Access, also Zugriff auf Autoritätsinformationen. Die Übersetzung ist, wie es ja gelegentlich vorkommt, etwas unglücklich gewählt. Dazu muss zunächst ein Ort vorbereitet werden: Über Hinzufügen können Sie neue Orte für die Anforderung von Informationen konfigurieren. Für OCSP ist die folgende Form gültig: http://<ServerDNSName>/ocsp -- Wenn ich das allerdings so mache, bekomme ich im Snap-IN PKI-VIEW (zu erreichen über den Server-Manager) Fehlermeldungen. OCSP-Speicherort#1 - Fehler - http://nyc-dc1/CertEnroll/Woodgrovebank.crt OCSP-Speicherort#2 - Fehler - http://nyc-dc2/ocsp Ich habe auf dem Server nyc-dc1 die Ausstellende CA und auf dem Server nyc-dc2 den Online Responder. Die 1. URL stand schon automatisch drin, diese endet mit einem Dateinamen, die 2. Url, die man hinzufügen soll ist ein Ordnerpfad.... wie passt das alles zusammen ? Hier noch eine Anleitung von Microsoft: .... Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen, und klicken Sie dann auf Hinzufügen. Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können, z. B. http://computername/ocsp. Aktivieren Sie das Kontrollkästchen In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen. In dem Ordner /ocsp des Online Responders liegen aber keine Sperrdaten !! Wie kommen die dorthin ? Kopieren ?

Hallo Profis, laut einer Anleitung im Internet soll man in den Erweiterungen der Zertifizierungsstelle unter "Zugriff auf Stelleninformationen" als Link http://servername/ocsp eintragen. Nur versteh ich überhaupt nicht, wie die CLients über diesen Weg die Sperrlisten finden sollen. Leider habe ich bisher keine einigermassen funktionierende Beschreibung gefunden, wie man OCSP einrichtet. Warum trägt man überhaupt unter "Zugriff auf Stelleninformationen" den Pfad zu Sperrlisten ein, obwohl hier doch ausdrücklich steht, dass hier der Pfad zum Zertifikat der Zertifizierungsstelle einzugeben ist. Ich blick nicht durch :confused: Kennt sich jemand aus ? Danke

ALLE FSMO Rollen sind bei DC2 ! Daher wundert es mich, dass er welche übertragen wollte :confused: Wollte nun den DC von einem Backup wiederherstellen. Also: Von DVD booten, "Repair Computer" auswählen, in die Konsole gegangen, dann: wbadmin start sysrecovery -backuptarget:d: -version:12/09/2009 20:00 AM Fehlermeldung, dass diese WINRE nicht dazu benutzt werden kann dieses Backup wiederherzustellen, da angeblich die Prozessor Architecture eine andere wäre. Also ist wohl die DVD 64 Bit und das Backup 32 Bit, oder wie soll icbh das verstehen ??????

danke für den Link, habe jetzt den DC1 runtergestuft. Allerdings sehe ich auf DC2 noch sämtliche Einträge. Sowohl im DNS als auch unter Benutzer unter Computer ist der DC1 noch aufgeführt. Daher habe ich auf dem DC2 folgendes gemacht: ntdsutil metadata cleanup connections connect to dc2 select operations target select site 1 (Muenchen) select domain 1 (contoso.com) select server 1 (Dc1) remove selected server Dann kam eine Fehlermeldung, dass er die FSMO Rollen nicht übertragen konnte, er aber mit dem Aufräumen weitermachen würde. nach dem Neustart des DC2 krieg ich beim starten von Benutzer und Computer nun die Meldung. "Die angegebene Domäne existiert nicht" :shock: 1) Was hab ich jetzt falsch gemacht ? 2) Bereinigt der DC beim herunterstufen das AD nicht ? 3) Wer bereinigt die SRV Einträge im DNS ? (automatisch/Manuell ?) Danke

Hab von meinem VMWARE-DC1 ein Restore zu einem älteren Zustand gemacht. Nun hab ich dort eine Menge Gruppenrichtlinien, die da nicht mehr sien sollten und Replikation gibts wohl auch keine mehr (zumindestens SYSVOL-technisch) Was kann ich das wieder synchron kriegen ? Im Ereignislog hab ich die Eventid 6804 : Der DFS-Replikationsdienst hat erkannt, dass für Replikationsgruppe "Domain System Volume" keine Verbindungen konfiguriert sind. Für diese Replikationsgruppe werden keine Daten repliziert. --------------------------------------------------------------------- dcdiag /test:replications sagt: [Replications Check,DC1] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von DC2 nach DC1 Namenskontext: DC=contoso,DC=com Beim Replizieren ist ein Fehler aufgetreten (8456): The source server is currently rejecting replication requests. Auftreten des Fehlers: 2009-12-09 12:44:46. Letzter erfolgreicher Vorgang: 2009-12-07 11:57:35. Seit dem letzten erfolgreichen Vorgang sind 30 Fehler aufgetreten. Die Replikation wurde mithilfe der Serveroptionen deaktiviert. ......................... DC1 hat den Test Replications nicht bestanden.

Wieso werden Computer Richtlinieneinstellungen für Computer übernommen obwohl Computerkonten nicht im Bereich Delegierung auftauchen. Standardmässig haben nur Authentifizierte Benutzer da Recht "Lesen" und "Gruppenrichtlinie übernehmen". Oder sind Computer auch Authentifizierte Benutzer ? Danke Soapp

Hallo Profis, ich blick da bei den Online Respondern nicht ganz durch. Was mich verwirrt sind die ganzen Pfade die man an diversen Stellen eintragen muss. Hab auf meinem DC1 die Zertifizierungsstelle und auf DC2 meinen Onlineresponder. IIS ist auf beiden Server installiert. Auf DC1 hab ich CertEnroll als virtuelles IIS Verzeichnis Auf DC2 hab ich OSCP als virtuelles IIS Verzeichnis Was trag ich nun wo ein ? Frage 1: Wie lauten die Pfade auf dem DC1 für "Sperrlisten Verteilpunkt" und "Zugriff auf Stelleninformationen" ? Frage2: Was trage ich auf dem DC2 bei der Online Responder Verwaltung als Sperranbieter URL ein ? Momentan habe ich auf DC1 alles rausgelöscht und als Sperrlisten Verteilpunkt nur c:\windows\system32\CertSrv\CertEnroll\<blablabla>.crl eingetragen. Bei Zugriff auf Stelleninformation steht http://dc2/ocsp Wenn ich jetzt auf DC2 den Online Responder konfigurieren will krieg ich eine Fehlermeldung, dass der Sperranbieter nicht funktionstüchtig ist. Holt sich der Sperranbieter die Sperrlisten von DC1 anhand dieser URL, oder weiss er das automatisch ? Oder was muss man anders konfigurieren ? Danke Soapp

Was wurde denn so gefragt ? :rolleyes::rolleyes:

danke :p

Hi Profis, Active Directory integrierte Zonen können ja.. 1) auf alle DNS Server der Domäne 2) auf alle DNS Server der Gesamtstruktur 3) auf allen DOmaincontrollern in der Domäne repliziert werden. Was ich nicht verstehe: Was macht ein DNS Server der Domäne woodgrovebank.com dann mit den DNS Daten der Zone contoso.com ? (Ml angenommen beide sind in der selben Gesamtstruktur). Warum sollte man Zonen auf allen DNS Servern replizieren ? Oder ist das eher für Childdomains interessant ? Ich glaube mir fehlt da noch ein Puzzle um das ganze so richtig zu verstehen Danke Soapp

Danke für den Link .. Laut MS ist C, D, E, F richtig :confused:

Mache gerade den Fragenkatalog auf der MS PRESS CD für 70-640 Prüfung durch. You have created a global security group in the Contoso.com domain named Corporate Managers. Which members can be added to the group? (Choose all that apply.) A) European Sales Managers, a universal group in the Contoso.com forest B) Sales Managers, a global group in the Fabrikam.com domain, a trusted domain of a partner company C) Sales Executives, a global group in the Contoso.com domain D) Mike Danseglio, a user in the Contoso.com domain E) Jeff Ford, a user in the Fabrikam.com domain, a trusted domain of a partner company F) Linda Mitchell, a user in the Tailspintoys.com domain, a domain in the Contoso.com forest G)Sales Directors, a domain local group in the Contoso.com domain H)Sales Managers, a global group in the Tailspintoys.com domain, a domain in the Contoso.com forest Ich würde sagen: C, D Microsoft ist da anderer Meinung, was meint ihr ?

Wenn ich einen Online Responder installiere, kann ich dann die Zertifikatssperrlisten deaktivieren ? Unter Erweiterungen-Sperrlisten Verteilungspunkt sind ja die Pfade für die Sperrlsiten angegeben. Werden die noch benötigt, wenn ein Online Responder vorhanden ist ? Woher nimmt der Onlineresponder seine Daten ? Was hat es mit der Konfiguration des Punktes "Zugriff auf Stelleninformationen" auf sich ? Kennt jemand ein tolles Tutorial für den ganzen PKI Kram ? Danke, danke, danke

Hab im Server 2008 die Vorlage Registrierungs Agent über "doppelte Vorlage" kopiert, dann in den Sicherheitseinstellungen noch "Konten Operatoren" mit den Rechten lesen und Registrieren hinzugefügt. Anschliessend habe ich einen User als Mitglied in die Gruppe Konten Operatoren eingetragen. Anschliessend habe ich nat. das Zertifikat üner "Neu-Auszustellende Zertifikatsvorlage" bereitgestellt. Wenn ich dann auf einem Client das Zertifikat per mmc abrufen will bekomme ich es nicht angezeigt. Füge ich den User direkt in die Sicherheitseinstellungen des Zertifikats wird es angezeigt .. :confused: Das Zertifikat wird allerdings nur unter Vista angezeigt, unter Windows XP nicht.. Gibt es da Unverträglichkeiten ? Sprich, unter Windows XP kann es weder per mmc noch per Browser abgerufen werden, es gibt nur "Basis-EFS" und "User" zur Auswahl. Wie kann ich denn ein Registrierungs-Agent Zertifikat erstellen und es unter Windows XP abrufen/installieren ? Gruß Soapp

Problem behoben.... Da die ROOT Zertifizierungsstelle kein Mitgliedserver war, konnte die untergeordnete Zertifizierungsstelle den Namen der ROOT CA (ca.contoso.com) per DNS nicht auflösen. Vielleicht hätte ich auf der ROOT CA doch kein DNS Suffix eintragen sollen ??? Naja, anchdem ich nun einen A Record ins DNS eingetragen habe, konnte der untergeordnete Server Sperrlisten prüfen und startet nun