ablaze

so ich hab jetzt einen Lösungsweg gefunden: 1. Windows XP Sp3 deinstallieren 2. Update KB932823 installieren 3. IE 8 installieren 4. Win XP Sp3 installieren

Hallo zusammen, ich habe folgendes Problem: Verschiedene User innerhalb meiner AD (Win Server 2003) benötigen gelegentlich lokale Administrationsrechte auf ihren PCs (Win XP). Generell ist es so geregelt, dass der Benutzer mit dem täglich gearbeitet wird nur die normale Benutzerrechte auf dem PC hat. Ich weiß, dass ich über die GPO/ Eingeschränkte Gruppen einen Domänenuser in die Gruppe der Lokalen Administratoren hinzufügen kann. Nur das will ich nicht, da dann der User immer mit lokalen Administratorrechte arbeitet… Als Lösung dachte ich mir, dass ich einen zweiten Benutzer (Nachname_admin) innerhalb der AD anlege und diesen dann über die Eingeschränkte Gruppen der lokalen Administratoren hinzufügen. Nur kann ich mir vorstellen, dass dann verschiedenen Personen dauerhaft mit diesem Account arbeiten. Gibt es eine Möglichkeit den zweiten Benutzer-Account nach 10 Minuten automatisch abzumelden? Vielen Dank

Ich habe das Problem, dass ich bei verschiedenen Clients keinen IE 8 installiere kann. Es erscheint immer folgende Meldung: "Internet Explorer konnte nicht installiert werden, da ein erforderliches Update nicht auf dem Computer installiert werfdem konnte. Klicken Sie auf die Schaltfläche "Download", um das Update manuell zu installieren." Ich gelang zu dem MS Update KB932823 (Downloaddetails: Update für Windows XP (KB932823)). Wenn ich versuche dieses manuell zu installieren, erscheint folgende Meldung: "Die Service Pack-Version dieses Systems ist neuer als das Update, das Sie installieren möchten. Das Update muss nicht installiert werden." Die Computer wurden alle mit integriertem XP SP2 installiert, das SP3 wurde bei allen nach installiert. Habt ihr ne Lösung??

Es sind keine PCs sondern nur ein PC, deshalb ohne WSUS. >> In den Prüfungen kommt immer ein WSUS vor, ich will es aber ohne WSUS machen. Client > Firewalll > Windows Updates Ich will in der Firewall nicht alles öffnen, er soll nur Automatische Windows Updates herunterladen über die Funktion "Automatische Updates".

Hallo zusammen, ich möchte in meiner Hardwarefirewall die Ports/ Source für die Automatischen Windows Updates freischalten? Welche Ports muss ich freischalten, TCP 80 und 443? Welche Source geb ich am besten an? >> Mit in Log reinschauen, ist es ein bisschen schlecht, oder kann man die Suche nach Updates manuell starten?

Ich habe an den Veröffentlichungs Intervallen nichts verändert. Die Stamm CA läuft auf einem Win Server 2003 Std. Die Untergeordnete CA läuft auf dem DC und ist ebenfalls ein Win Server 2003 Std.

---------------- Zertifikat abrufen ---------------- Überprüft "Basissperrliste (32)" Zeit: 0 [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2 0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?certificateRevocationLi st?base?objectClass=cRLDistributionPoint Überprüft "Deltasperrliste (32)" Zeit: 0 [0.0.0] ldap:///[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key %20Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?b ase?objectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) [0.1.0] http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA.crl ---------------- Basissperrliste veraltet ---------------- OK "Deltasperrliste (33)" Zeit: 0 [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2 0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?bas e?objectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl -------------------------------- CRL 32: Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local 93 cc c9 55 8a de 27 5f 52 54 7e 65 d0 16 47 57 fd 0c 82 f8 Delta CRL 33: Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local df 65 f1 02 7f d7 e4 3d 24 11 2f 7a 2c b0 d7 55 be bb d7 a5 CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0 Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local Subject: CN=[Name Stamm CA], DC=[Domain], DC=local Serial: 389eb36162978b8c4166018b65ed9531 Template: CA 77 38 37 89 eb a2 f4 5d 72 41 8f c2 aa 43 31 bf 75 7c 8e 1f Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4) Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Keine URLs "Keine" Zeit: 0 ---------------- Zertifikat abrufen ---------------- Überprüft "Basissperrliste (32)" Zeit: 0 [0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key%2 0Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?certificateRevocationLi st?base?objectClass=cRLDistributionPoint Überprüft "Deltasperrliste (32)" Zeit: 0 [0.0.0] ldap:///CN=[servername Stamm CA],CN=[servername Stamm CA],CN=CDP,CN=Public%20Key %20Services,CN=Services,CN=Configuration,DC=[Domain],DC=local?deltaRevocationList?b ase?objectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) [0.1.0] http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA+.crl Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername Stamm CA]/CertEnroll/KZVBW%20Stamm%20CA.crl -------------------------------- Exclude leaf cert: 2e 0e 29 a0 53 4d ac 49 ec 8c 8c 04 17 df 0c 42 b7 c8 61 27 Full chain: ba 38 0c ab c1 8b f0 53 d5 c1 34 63 76 aa bc 5a b0 1f 63 31 ------------------------------------ Verfizierte Ausstellungsrichtlinien: Kein Verfizierte Anwendungsrichtlinien: 1.3.6.1.5.5.7.3.2 Clientauthentifizierung 1.3.6.1.5.5.7.3.1 Serverauthentifizierung Sperrstatussüberprüfung des untergeordneten Zertifikats erfolgreich abgeschlosse n. CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

---------------- Zertifikat abrufen ---------------- Überprüft "Basissperrliste (39)" Zeit: 0 [0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Serv ices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?certificateRevocationList?ba se?objectClass=cRLDistributionPoint Überprüft "Deltasperrliste (39)" Zeit: 0 [0.0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Se rvices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?deltaRevocationList?base?o bjectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) [0.1.0] http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA+.crl Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA.crl ---------------- Basissperrliste veraltet ---------------- OK "Deltasperrliste (39)" Zeit: 0 [0.0] ldap:///CN=[Name Untergeordnete CA],CN=[servername untergeordnete CA],CN=CDP,CN=Public%20Key%20Serv ices,CN=Services,CN=Configuration,DC=kzvbw,DC=local?deltaRevocationList?base?obj ectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername untergeordnete CA]/CertEnroll/KZVBW%20U%20CA+.crl -------------------------------- CRL 39: Issuer: CN=[Name Untergeordnete CA], DC=Domain], DC=local 20 17 7d 04 59 c9 05 65 c7 94 c2 fa 05 b9 c4 c7 d7 19 57 ff Delta CRL 39: Issuer: CN=[Name Untergeordnete CA], DC=[Domain], DC=local b5 9a 8e 01 db 5e 14 e6 d4 61 39 59 c2 50 1f b8 92 6b bd c0 Application[0] = 1.3.6.1.5.5.7.3.2 Clientauthentifizierung Application[1] = 1.3.6.1.5.5.7.3.1 Serverauthentifizierung CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=[Name Stamm CA], DC=[Domain], DC=local Subject: CN=[servername untergeordnete CA], DC=[Domain], DC=local Serial: 6165de4e000000000002 Template: SubCA 67 4c 93 64 31 ee 60 2c f4 de d5 f6 b1 27 c5 26 5b 11 f3 39 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Überprüft "Zertifikat (0)" Zeit: 0 [0.0] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Ser vices,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certific ationAuthority Gescheitert "AIA" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername Stamm CA]/CertEnroll/tu-server-16.kzvbw.local_KZVBW%20 Stamm%20CA.crt

Kann ich die Stamm CA einfach aus der Domäne herrausnehmen (nur mal aus der Sicht der Zertifizierungsstelle)? Wahrscheinlich nicht. Ich habe den Befehl nocheinmal abgesetzt. Aussteller: CN=[Name Untergeordnete CA] DC=[Domain] DC=local Antragsteller: CN=[servername RAS Server] Zertifikatseriennummer: 14b866c4000000000004 dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000) ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000) HCCE_LOCAL_MACHINE CERT_CHAIN_POLICY_BASE -------- CERT_CHAIN_CONTEXT -------- ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ChainContext.dwRevocationFreshnessTime: 20 Hours, 53 Seconds SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) SimpleChain.dwRevocationFreshnessTime: 20 Hours, 53 Seconds CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0 Issuer: CN=[Name Untergeordnete CA], DC=[Domain], DC=local Subject: CN=[servername RAS Server] Serial: 14b866c4000000000004 Template: Machine 0e c8 18 c5 78 fb 1d 4a 25 36 9a 1b 42 88 99 df 08 fc c5 56 Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2) Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100) ---------------- Zertifikat abrufen ---------------- Überprüft "Zertifikat (0)" Zeit: 0 [0.0] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Service s,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certificatio nAuthority Falscher Aussteller "Zertifikat (1)" Zeit: 0 [0.1] ldap:///CN=[Name Untergeordnete CA],CN=AIA,CN=Public%20Key%20Services,CN=Service s,CN=Configuration,DC=[Domain],DC=local?cACertificate?base?objectClass=certificatio nAuthority Gescheitert "AIA" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HT TP: 503) http://[servername untergeordnete CA]/CertEnroll/[Name Untergeordnete CA].local_KZVBW%20U% 20CA.crt Ich musste wegen der Zeichenbeschräkung den Beitrag teilen.

Ich hab den Firewall Dienst deaktiviert.

Ich habe mir das Zertifikat für die Clientauthentifizierung, Serverauthentifizierung auf dem RAS Server angeschaut: Unter Details/ Sperrlisten-Verteilerpunkte sind wenn ich das richtig "trenne" zwei Punkte angegeben. Aber beidesmal steht hier die Untergeordnete CA drin. Das wäre soweit richtig. Mit "certutil -verify -urlfetch ZERTIFIKAT.cer". Hier kommt eine Menge zurück: ---------------- Zertifikat abrufen ---------------- Überprüft "Basissperrliste (32)" Zeit: 0 [0.0] ldap:///CN=....%20U%20CA,CN=....,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=..., DC=localcertificateRevocationList?base?objectClass=cRLDistributionPoint Überprüft "Deltasperrliste (32)" Zeit: 0 [0.0.0] ldap:///CN=....%20U%20CA,CN=.....,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=...., DC=localdeltaRevocationList?base?objectClass=cRLDistributionPoint Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HTTP: 503) [0.1.0] http://k..../CertEnroll/KZVBW%20U%20CA+.crl Gescheitert "CDP" Zeit: 0 Fehler beim Abrufen des URL: Fehler Temporär überlastet 0x800701f7 (WIN32/HTTP: 503) http://...../CertEnroll/KZVBW%20U%20CA.crl Dort wo ... steht, stand entweder die Domäne drin oder der Servername der Untergeordneten CA. Das könnte doch die Erklärung sein, warum die Stammzertifizierungsstelle laufen muss, damit die RAS Einwahl funktioniert. Wie kann ich die Fehler beheben?

Ich habe mir beide Links nocheinmal genau durchgelesen und noch keine spezielle Konfiguration durchgeführt (ich habe die CA mit den Std. Einstellungen konfiguriert). Finde finde ich eigentlich raus, ob eine CA Sperrlisten veröffentlicht? Kann ich einfach in die Freigabe schauen? Da ich auf meiner Untergeordneten CA gesehen habe, dass diese Freiagbe (\\...CertEntroll) besteht. In der Freigabe sind folgende Dateien: 2 x Sicherheitszertifikate, 1 x ASP Dateie, 4 x Zertifikatsperrliste. Auch meiner Stammzertifizierungsstelle ist ebenfalls eine Freigabe zu finden, hier liegen 2 x Sicherheitszertifikate, 1 x ASP Dateie, 1 x Zertifikatsperrliste. >> Kann das nicht sein, dass beide Zertifizierungsstellen Sperrlisten veröffentlichen. Aber mein RAS Server die falsche (Stammzertifizierungsstelle) Sperrliste sucht.

es erscheint die Mitteilung, dass das Update nicht installiert werden muss, da dass SP neuer ist.

Wie finde ich das am besten raus, welche Version installiert ist? Wenn ich dem Link von Sunny61 folge, kann ich eine Version Terminaldiensteclient 6.1 runterladen. Schmitty hat aber was von einer 6.2 Version geschrieben.

@ frommi Ich hab es genau so wie du es beschrieben hast mehrmals probiert. Ich habe dir die Adresse per PN zukommen lassen.

Hallo zusammen, ich versuche mich gerade in der Gruppenrichtlinien Mailingliste "gpupdate" einzutragen. Leider funktioniert die "Anmeldebestätigung für 'gpupdate'" nicht. Ich erhalte immer folgende E-Mail zurück: Unknown command. No commands detected in message. Ich muss ja eigentlich nur auf die Anmeldebestätigungs E-Mail Antworten?

ist dass hier was du meinst? Downloaddetails: Remote Desktop Connection Software

Dass ist aber nur eine manuelle Lösung. Kann man das nicht einstellen, dass die Untergeordnete CA die Sperrliste automatisch veröffentlicht wird??

wie kann ich das am besten nachschauen?

Ich möchte in meiner AD Umgebung einen RAS Server integrieren. Die Einwahl auf den RAS Server soll mit Hilfe von Zertifikaten erfolgen. Bis jetzt gibt es in der Domäne noch keine Zertifizierungsstelle. Folgende Punkte habe ich schon durchgeführt: - Erstellen einer Unternehmens Stamm CA auf einem Win Server 2003 R2 Std. Dieser Server ist Mitglied der AD, kein DC. - Die Untergeordnete CA läuft auf einem DC (Win Server 2003 R2 Std) der AD mit. - Der RAS Server ist ein seperater Win Server 2003 R2 Std. Die Konfiguration zum RAS Server habe ich soweit auch schon durchgeführt. Der VPN Client kann sich mit EAP am RAS Server anmelden. Anschließend habe ich die Stamm CA ausgeschalte, die Einwahl klappt dann noch zwei Tage. Anschließend nicht mehr. Wenn ich die Stamm CA wieder einschalte, klappt die Einwahl wieder. Die Meldungen aus dem Event-Log des RAS Servers habe ich angehängt. Was habe ich falsch gemacht?

Hat noch jemand ne Idee??

Hat sonst noch jemand ne Idee?

Nein, steht nichts drin

Ich kann den Rechner per ping, etc. erreichen. Ja den DC kann er erreichen. Ja auf der Port wird auch abgehört.

Ist auf der NIC installiert und aktiviert