Soapp

Wie ist das bei MS Prüfungen.

Fällt das Subnet 0 weg oder ist das ein reguläres Subnet ?

Wenn die Frage kommen würde:

Welches ist das erste Subnetz bei 192.168.1.0/26

192.168.1.0 - 192.168.1.63 (255.255.255.192) = 1. Netz

192.168.1.64 - 192.168.1.127 (255.255.255.192) = 2. Netz

192.168.1.128 - 192.168.1.191 (255.255.255.192) = 3. Netz

192.168.1.192 - 192.168.1.255 (255.255.255.192) = 4. Netz

Ist bei MS Prüfungen dann 192.168.1.0 richtig oder 192.168.1.64 ??

Danke

Hab mir überlegt evtl. neben den Prüfungen für Server 2008 gleich die 2003er Prüfungen auch zu machen.

Wie ich mancherorts gelesen habe, sind die 2003 aber wesentlich schwieriger.

Kann das jemand bestätigen ?

Danke

hi community,

 

ich habe letzten Donnerstag die 70-640 (AD w2k8) mit 875 Punkten bestanden.

Es waren einige knackige Fragen dabei...

Das war der 2. Step auf dem Weg zum MCITP SA.

Ich hatte vorher bereits die 70-642 mit 1000 Points hinter mich gebracht.

 

70-646 ist the next.

Gratulation

Hab die 70-640 letzte Woche auch gemacht ?

Welche knackigen Fragen meinst du ?

Zertifikate ?

Ich halte es für keine gute Idee, sich in ein Gebiet einzuackern - wenn der Spass an der Sache fehlt ;)

Danke, du hast recht, machmal können Antworten so einfach sein :p

Nach seiner Signatur (lernt 70-640) zu urteilen, würde bei ein wenig Überlegung sicher der MCITP SA + 70-236 + 70-431 als Schlussfolgerung auf Deine Frage stehen.

 

Analog dann der MCITP EA + 70-431.

 

Heiner

ja genau, hab die 70-640 gerade gemacht und lerne jetzt für die 70-642

sprich MCITP Server Administrator.

Weiss nicht was mir jetzt mehr Vorteile verschafft, eher breiteres Wissen, wenn ich den SQl-Server Administrator noch dazunehme, oder eher vertiefteres Wissen, wenn ich den MCITP Enterprise Administrator mache

Hallo,

ich habe vom Arbeitsamt eine 4,5 monatige Weiterbildung genehmigt bekommen.

Nun frage ich mich ob es sinnvoller ist MCSA 2008 +Exchange Server+SQL-Server zu machen (MCSA+70-236+70-431) oder lieber MCSE 2008 und evtl. noch Exchange wenn die Zeit es zulässt.

Was meint ihr ?

Danke

Soapp

Muss mich zurzeite mit Routing auseinandersetzen und habe daher zu Testzwecken in VMWARE 2 DC's aufgebaut um statisches Routing zu lernen.

1.Netz (192.168.210.32) 192.168.210.33 - 192.168.210.62

2.Netz (192.168.210.64) 192.168.210.65 - 192.168.210.94

DC1

1. Netzwerkkarte 192.168.210.34/27 - Standardgateway 192.168.210.33

2. Netzwerkkarte 192.168.210.68/27 - Standardgateway leer

DC2

1. Netzwerkkarte 192.168.210.66 - Standardgateway 192.168.210.68

Auf dem DC1 funktioniert ein ping auf den DC2

route add gibt mir folgende Route aus

192.168.210.64 255.255.255.224 Auf Verbindung 192.168.210.68 266

Auf DC2 funktioniert ping Richtung IP-Adresse von DC1 NICHT. Hab auf DC2 einfach das Standardgateway auf 192.168.210.68 gesetzt.

Müsste doch funktionieren, oder ??

Da Standardgateway 192.168.210.68 ist vom DC2 aus anpingbar

Danke

Soapp

Weiss jemand die Verarbeitungsreihenfolge bei DNS Servern ?

1.) Zonen

2.) Cache

3.) ??

kommt nach dem Cache die bedingte Weiterleitung, Stubzone, Weiterleitung, oder Stammhinweise dran ?

Danke

Soapp

Warum ich das wissen will:

Hab hier in einer Testumgebung einen Domänen-WinXP Client (Domäne:contoso.com) dessen DNS Einstellungen auf einen DNS Server zeigen, der nur als Cache Server verwendet wird.

(kein Mitglied der Domäne).

Als Weiterleitung hab ich auf dem DNS-Cache-Server einen DC- Server angegeben.

Wollte testen, ob der Cache Nameserver Anfragen nach SRV Records weiterleitet oder nicht.

Ich hoffe ihr versteht was ich meine.

Scheint allerdings nicht zu gehen, Anmeldung am Client mit Domänenaccount geht nicht.

Am Cache DNS-Server hab ich eine bedingte Weiterleitung von contoso.com an den Domaincontroller eingetragen.

Kleine Frage an die Profis....

Wenn man eine Root CA und eine Ausstellende CA am Laufen hat, müssen die Zertifikate der beiden auf den Clients verteilt werden ?

Vom Gefühl her würde ich sagen, ess muss nur das Stammzertifikat importiert werden damit die Zertifikatskette geprüft werden kann (wenn ROOT CA offline ist). Soll das Zertifikat der Ausstellenden CA auch importiert werden ?

Mir fehlt da noch so ein wenig der Durchblick

Also was ist hier in größeren Umgebungen "Best Practise" ?

Danke für die Erleuchtung

Soapp

Hi,

 

daß Du nur die URL eingibst und keine konkrete CRL ist normal und "Sinn der Sache". ;)

OCSP bietet Dir ja genau die Möglichkeit, eben nicht eine komplette CRL oder Delta CRL abzurufen, sondern Du prüfst beim Zugriff konkrete Zertifikate auf Gültigkeit.

 

Wie genau bist Du denn bei der Einrichtung vorgegangen, welche Schritte hast Du durchgeführt (nach welcher Anleitung). Hast Du das OCSP signing Zertifikat angelegt, ggf. die IIS Zugriffseinstellungen bearbeitet usw.?

 

Ist der Client, auf dem Du den PKIVIEW durchführst Vista / 2008 oder höher oder noch XP? Unter XP / 2003 wird OCSP nicht standardmäßig unterstützt.

 

Viele Grüße

olc

Erstmal danke für die Antwort, jetzt verstehe ich warum da nur eine URL ohne Dateiname steht

Hier die Lösung für alle, die keine Fehlermeldungen in pkiview haben wollen:

Warum das funktioniert versteh ich nicht, aber es funktioniert:

Sprich, OCSP-Speicherort#1 wird nun ohne Fehler angezeigt

OCSP Responder - Error in pkiview.msc

Das einzige was mich jetzt noch wundert ist, warum auf dem Vista Client mit certutil -urlfetch -verify test.cer das Zertifikat als gesperrt gemeldet wird (was der Fall ist)

aber mit certutil -url test.cer und der Auswahl OCSP (von AIA) als Meldung "Gescheitert" kommt. Hier kann er anscheinend nicht auf den OCSP zugreifen.

Selbst wenn ich "Sperrlisten vom CDP" auswähle meldet er "Überprüft".

Auf der Ausstellenden CA habe ich natürlich nach der Sperrung eine neue Sperrliste veröffentlicht

Weiss da jemand noch was darüber ?

Hi,

 

merkwürdig, bei mir gibt es eine Beschreibung auf Platz 1 der Suchmaschine meiner Wahl: Windows Server 2008: Active Directory OCSP einrichten - Windows-Authentifizierung durch Zertifikate | TecChannel.de

 

Oder auch Platz 2 und 3:

Configure a CA to Support OCSP Responders

Konfigurieren einer Zertifizierungsstelle zur Unterstützung von OCSP-Respondern

 

Viele Grüße

olc

Hallo olc,

die kenne ich alle....

Allerdings will ich wissen, wie der Client den OCSP findet, und was es mit dieser url http://<ServerDNSName>/ocsp'>http://<ServerDNSName>/ocsp auf sich hat.

--

Zitat:

Wählen Sie zunächst im Kontextmenü der CA den Befehl Eigenschaften, um eine Konfigurationsanpassung für diese CA durchzuführen. Im Register Erweiterungen selektieren Sie anschließend bei Erweiterung auswählen die Option Zugriff auf Stelleninformationen. In der englischen Version heißt diese Funktion Authority Information Access, also Zugriff auf Autoritätsinformationen. Die Übersetzung ist, wie es ja gelegentlich vorkommt, etwas unglücklich gewählt. Dazu muss zunächst ein Ort vorbereitet werden: Über Hinzufügen können Sie neue Orte für die Anforderung von Informationen konfigurieren. Für OCSP ist die folgende Form gültig: http://<ServerDNSName>/ocsp

--

Wenn ich das allerdings so mache, bekomme ich im Snap-IN PKI-VIEW (zu erreichen über den Server-Manager) Fehlermeldungen.

OCSP-Speicherort#1 - Fehler - http://nyc-dc1/CertEnroll/Woodgrovebank.crt

OCSP-Speicherort#2 - Fehler - http://nyc-dc2/ocsp

Ich habe auf dem Server nyc-dc1 die Ausstellende CA und auf dem Server nyc-dc2 den Online Responder. Die 1. URL stand schon automatisch drin, diese endet mit einem Dateinamen, die 2. Url, die man hinzufügen soll ist ein Ordnerpfad.... wie passt das alles zusammen ?

Hier noch eine Anleitung von Microsoft:

....

Klicken Sie auf die Registerkarte Erweiterungen.

Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen, und klicken Sie dann auf Hinzufügen.

Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können, z. B. http://computername/ocsp.

Aktivieren Sie das Kontrollkästchen In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen.

In dem Ordner /ocsp des Online Responders liegen aber keine Sperrdaten !!

Wie kommen die dorthin ? Kopieren ?

Hallo Profis,

laut einer Anleitung im Internet soll man in den Erweiterungen der Zertifizierungsstelle unter "Zugriff auf Stelleninformationen" als Link

http://servername/ocsp eintragen.

Nur versteh ich überhaupt nicht, wie die CLients über diesen Weg die Sperrlisten finden sollen.

Leider habe ich bisher keine einigermassen funktionierende Beschreibung gefunden, wie man OCSP einrichtet.

Warum trägt man überhaupt unter "Zugriff auf Stelleninformationen" den Pfad zu Sperrlisten ein, obwohl hier doch ausdrücklich steht, dass hier der Pfad zum Zertifikat der Zertifizierungsstelle einzugeben ist.

Ich blick nicht durch :confused:

Kennt sich jemand aus ?

Danke

Hallo,

 

installiere auf dem DC2 die Support Tools (auf der CD)

und führe mal folgenden Befehl in der cmd aus:

 

netdom query fsmo

 

Was bekommst du als Ergebnis ?

ALLE FSMO Rollen sind bei DC2 !

Daher wundert es mich, dass er welche übertragen wollte :confused:

Wollte nun den DC von einem Backup wiederherstellen.

Also: Von DVD booten, "Repair Computer" auswählen, in die Konsole gegangen, dann:

wbadmin start sysrecovery -backuptarget:d: -version:12/09/2009 20:00 AM

Fehlermeldung, dass diese WINRE nicht dazu benutzt werden kann dieses Backup wiederherzustellen, da angeblich die Prozessor Architecture

eine andere wäre. Also ist wohl die DVD 64 Bit und das Backup 32 Bit, oder wie soll icbh das verstehen ??????

Hi,

 

vermutlich hast Du die gesamte Platte bzw. einen Snapshot zurück gesichert?

Dann bist Du in einen USN Rollback gelaufen und mußt den DC ggf. neu promoten.

 

Siehe dazu auch: faq-o-matic.net Warum Images nicht als Datensicherung taugen

 

Viele Grüße

olc

danke für den Link, habe jetzt den DC1 runtergestuft.

Allerdings sehe ich auf DC2 noch sämtliche Einträge.

Sowohl im DNS als auch unter Benutzer unter Computer ist der DC1 noch aufgeführt.

Daher habe ich auf dem DC2 folgendes gemacht:

ntdsutil

metadata cleanup

connections

connect to dc2

select operations target

select site 1 (Muenchen)

select domain 1 (contoso.com)

select server 1 (Dc1)

remove selected server

Dann kam eine Fehlermeldung, dass er die FSMO Rollen nicht übertragen konnte, er aber mit dem Aufräumen weitermachen würde.

nach dem Neustart des DC2 krieg ich beim starten von Benutzer und Computer nun die Meldung. "Die angegebene Domäne existiert nicht" :shock:

1) Was hab ich jetzt falsch gemacht ?

2) Bereinigt der DC beim herunterstufen das AD nicht ?

3) Wer bereinigt die SRV Einträge im DNS ? (automatisch/Manuell ?)

Danke

Hab von meinem VMWARE-DC1 ein Restore zu einem älteren Zustand gemacht.

Nun hab ich dort eine Menge Gruppenrichtlinien, die da nicht mehr sien sollten und Replikation gibts wohl auch keine mehr (zumindestens SYSVOL-technisch)

Was kann ich das wieder synchron kriegen ?

Im Ereignislog hab ich die Eventid 6804 :

Der DFS-Replikationsdienst hat erkannt, dass für Replikationsgruppe "Domain System Volume" keine Verbindungen konfiguriert sind. Für diese Replikationsgruppe werden keine Daten repliziert.

---------------------------------------------------------------------

dcdiag /test:replications sagt:

[Replications Check,DC1] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:

Von DC2 nach DC1

Namenskontext: DC=contoso,DC=com

Beim Replizieren ist ein Fehler aufgetreten (8456):

The source server is currently rejecting replication requests.

Auftreten des Fehlers: 2009-12-09 12:44:46.

Letzter erfolgreicher Vorgang: 2009-12-07 11:57:35.

Seit dem letzten erfolgreichen Vorgang sind 30 Fehler aufgetreten.

Die Replikation wurde mithilfe der Serveroptionen deaktiviert.

......................... DC1 hat den Test Replications nicht bestanden.

Wieso werden Computer Richtlinieneinstellungen für Computer übernommen obwohl Computerkonten nicht im Bereich Delegierung auftauchen.

Standardmässig haben nur Authentifizierte Benutzer da Recht "Lesen" und "Gruppenrichtlinie übernehmen".

Oder sind Computer auch Authentifizierte Benutzer ?

Danke

Soapp

Hallo Profis,

ich blick da bei den Online Respondern nicht ganz durch.

Was mich verwirrt sind die ganzen Pfade die man an diversen Stellen eintragen muss.

Hab auf meinem DC1 die Zertifizierungsstelle und auf DC2 meinen Onlineresponder.

IIS ist auf beiden Server installiert.

Auf DC1 hab ich CertEnroll als virtuelles IIS Verzeichnis

Auf DC2 hab ich OSCP als virtuelles IIS Verzeichnis

Was trag ich nun wo ein ?

Frage 1: Wie lauten die Pfade auf dem DC1 für "Sperrlisten Verteilpunkt" und "Zugriff auf Stelleninformationen" ?

Frage2: Was trage ich auf dem DC2 bei der Online Responder Verwaltung als Sperranbieter URL ein ?

Momentan habe ich auf DC1 alles rausgelöscht und als Sperrlisten Verteilpunkt nur c:\windows\system32\CertSrv\CertEnroll\<blablabla>.crl eingetragen.

Bei Zugriff auf Stelleninformation steht http://dc2/ocsp

Wenn ich jetzt auf DC2 den Online Responder konfigurieren will krieg ich eine Fehlermeldung, dass der Sperranbieter nicht funktionstüchtig ist.

Holt sich der Sperranbieter die Sperrlisten von DC1 anhand dieser URL, oder weiss er das automatisch ? Oder was muss man anders konfigurieren ?

Danke

Soapp

Die Zertifikatsfragen waren sehr knackig

Was wurde denn so gefragt ? :rolleyes::rolleyes:

Im englischen Originalbuch ist diese Frage am Ende der ersten Lektion zum Thema Gruppen zu finden. Dort sind die gleichen Antworten in anderer Reihenfolge zur Auswahl, und vier als richtig angegeben (C, D, E, F). Diese "richtigen" Antworten erscheinen auch als Antworten C, D, E und F in der CD-Testfrage, die Du gepostet hast.

 

In den Errata zum Buch (MCTS Self-Paced Training Kit (Exam 70-640): Configuring Windows Server® 2008 Active Directory® comments and corrections Page 882) ist die Korrektur: zwei von den vier "richtigen" Antworten sind in Wahrheit falsch, und es bleiben nur noch die beiden Antworten, die Du und ich wählen würden übrig (im Buch Antworten E und F, in Deinem CD-Test Antworten C und D eben). Der Test hat halt die falschen "richtigen" Antworten des Buches übernommen. Alles in Butter; Du kennst Dich mit Global Groups aus! :)

danke :p

Hi Profis,

Active Directory integrierte Zonen können ja..

1) auf alle DNS Server der Domäne

2) auf alle DNS Server der Gesamtstruktur

3) auf allen DOmaincontrollern in der Domäne

repliziert werden.

Was ich nicht verstehe:

Was macht ein DNS Server der Domäne woodgrovebank.com dann mit den DNS Daten der Zone contoso.com ? (Ml angenommen beide sind in der selben Gesamtstruktur). Warum sollte man Zonen auf allen DNS Servern replizieren ?

Oder ist das eher für Childdomains interessant ?

Ich glaube mir fehlt da noch ein Puzzle um das ganze so richtig zu verstehen

Danke

Soapp

Ich würde eigentlich auch mit C und D antworten. Global Groups können (im Native Mode des DFL) jeweils andere Global Groups sowie Accounts derselben Domain aufnehmen (Group scope: Active Directory). Mir ist nicht bekannt, dass sich am Global Group Scope zwischen WS2003 und WS2008 Grundlegendes verändert hätte...

 

Was sagt Microsoft Press denn? Vielleicht hat sich da jemand verschrieben und in der Frage/den Antworten die falsche Domain oder den falschen Gruppentyp angegeben. Wäre nicht das erste Mal.

Danke für den Link ..

Laut MS ist C, D, E, F richtig :confused:

Mache gerade den Fragenkatalog auf der MS PRESS CD für 70-640 Prüfung durch.

You have created a global security group in the Contoso.com domain named Corporate Managers. Which members can be added to the group? (Choose all that apply.)

A) European Sales Managers, a universal group in the Contoso.com forest

B) Sales Managers, a global group in the Fabrikam.com domain, a trusted domain of a partner company

C) Sales Executives, a global group in the Contoso.com domain

D) Mike Danseglio, a user in the Contoso.com domain

E) Jeff Ford, a user in the Fabrikam.com domain, a trusted domain of a partner company

F) Linda Mitchell, a user in the Tailspintoys.com domain, a domain in the Contoso.com forest

G)Sales Directors, a domain local group in the Contoso.com domain

H)Sales Managers, a global group in the Tailspintoys.com domain, a domain in the Contoso.com forest

Ich würde sagen: C, D

Microsoft ist da anderer Meinung, was meint ihr ?

Wenn ich einen Online Responder installiere, kann ich dann die Zertifikatssperrlisten deaktivieren ?

Unter Erweiterungen-Sperrlisten Verteilungspunkt sind ja die Pfade für die Sperrlsiten angegeben. Werden die noch benötigt, wenn ein Online Responder vorhanden ist ?

Woher nimmt der Onlineresponder seine Daten ?

Was hat es mit der Konfiguration des Punktes "Zugriff auf Stelleninformationen" auf sich ?

Kennt jemand ein tolles Tutorial für den ganzen PKI Kram ?

Danke, danke, danke

Hab im Server 2008 die Vorlage Registrierungs Agent über "doppelte Vorlage" kopiert, dann in den Sicherheitseinstellungen noch "Konten Operatoren" mit den Rechten lesen und Registrieren hinzugefügt.

Anschliessend habe ich einen User als Mitglied in die Gruppe Konten Operatoren eingetragen.

Anschliessend habe ich nat. das Zertifikat üner "Neu-Auszustellende Zertifikatsvorlage" bereitgestellt.

Wenn ich dann auf einem Client das Zertifikat per mmc abrufen will bekomme ich es nicht angezeigt. Füge ich den User direkt in die Sicherheitseinstellungen des Zertifikats wird es angezeigt .. :confused:

Das Zertifikat wird allerdings nur unter Vista angezeigt, unter Windows XP nicht.. Gibt es da Unverträglichkeiten ?

Sprich, unter Windows XP kann es weder per mmc noch per Browser abgerufen werden, es gibt nur "Basis-EFS" und "User" zur Auswahl.

Wie kann ich denn ein Registrierungs-Agent Zertifikat erstellen und es unter Windows XP abrufen/installieren ?

Gruß

Soapp

Versuche gerade in Vmware PKI nachzustellen

 

Sprich, ich habe

 

1) einen eigenständigen Server, der nicht Mitglied der Domäne ist als ROOT CA installiert

 

2) einen Domaincontroller als ausstellende CA konfiguriert.

3) Zertifikatanforderung in eine .req Datei gespeichert

4) In der Root CA das Zertifikat "eingereicht", dann das Zertifikat genehmigt, es exportiert und in der Ausstellenden CA wieder versucht zu importieren (über "Zertifizierungsstellenzertifikat installieren")

 

Nun kommt das Problem:

 

Zuerst kommt ein Warnhinweis, dass die Stammzertifizierungsstelle nicht vertrauenswürdig ist, diese Warnmeldung kann man noch bestätigen, allerdings startet die CA den Dienst dann nicht....

Fehlermeldung: "Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war"

 

Wie krieg ich nun Sperrlisten her, oder muss ich einen OSCP Responder installieren. Das ganze kann ich eigentlich nur auf der ROOT CA machen, da auf der ausstellenden CA der Dienst ja nicht starten will.

 

Wie hat sich Microsoft hier denn das Prozedere der Installation einer PKI Infrastruktur vorgestellt ? Kann mir das jemand erklären ?

 

Danke

 

Soapp

Problem behoben....

Da die ROOT Zertifizierungsstelle kein Mitgliedserver war, konnte die untergeordnete Zertifizierungsstelle den Namen der ROOT CA (ca.contoso.com) per DNS nicht auflösen. Vielleicht hätte ich auf der ROOT CA doch kein DNS Suffix eintragen sollen ???

Naja, anchdem ich nun einen A Record ins DNS eingetragen habe, konnte der untergeordnete Server Sperrlisten prüfen und startet nun