LigH

Nachtrag: Technet: Manuelles Importieren einer CRL Oracle verwendet mittlerweile eine CRL von GeoTrust, einer meiner Kenntnis nach noch vertrauenswürdigen CA. Dennoch ist es verwirrend, dass ihre automatische Aktualisierung offenbar nicht funktioniert. Mittlerweile frage ich mich schon, ob das Versagen darauf zurückführbar wäre, dass auf allen mir bekannten PCs, auf denen dieses Problem auftritt, nicht der Internet Explorer der Standard-Webbrowser ist, denn Firefox und Opera beispielsweise können mit dieser CRL-Datei nichts anfangen (Firefox würde sie nur speichern, Opera weist sie gar als fehlerhaft zurück)... --------------------------- Ungültige "Öffentlicher Schlüssel"-Sicherheitsobjektdatei --------------------------- Diese Datei ist für folgende Verwendung ungültig: Zertifikatsperrliste. --------------------------- OK --------------------------- Am Sichersten ist also wohl, wie im Technet-Beitrag erklärt: URL kopieren, speichern, im Explorer über Rechtsklick installieren im Zertifikatsspeicher für Vertrauenswürdige Herausgeber. Ob es was nützt, merke ich dann beim nächsten Java-Update...

Der "einzige Betroffene" bin ich sicher nicht. So etwas passiert auf allen PC in der Firma und privat, mit Windows XP bis 7, mit denen ich bisher zu tun hatte. Und im Internet findet man hunderte Seiten mit der gleichen Frage, wie dieses Problem zu lösen sei. Auch manche, die schon vor vielen Jahren gestellt wurden. So viele, dass man darunter die wenigen mit halbwegs logischen Versuchen zur Lösung nur schwer entdecken kann (das Deaktivieren der Prüfung auf zurückgezogene Zertifikate ist jedenfalls keine Lösung, die mir als "empfehlenswert" erscheint). Ich wende auch gern einen Teil meiner Freizeit dafür auf, wenn es anderen helfen könnte. Nur deshalb antworte ich mir hier nach über einem Jahr noch selber. Aber für aussichtslose Kommunikationsversuche hab ich kein Geld übrig...

Spekulationen helfen hier nicht wirklich weiter, in diesem Fall passt deine Signatur leider ausgezeichnet... ;) Es geht hier nicht um Infektionen. Es geht auch nicht um Systemoptimierungen. Dieser Fehler betrifft jeden (zuvor noch) sauberen Windows-PC, der Java installiert hat (denn danach ... aber das ist schon wieder fast Religion; mehr dazu findet man beim "von-Leitner-Institut für verteiltes Echtzeit-Java"). Es geht um Zertifikate, die zur Prüfung der Echtheit von Übertragungen verwendet werden sollen. Solche Zertifikate benötigen auch einen Verweis auf eine Quelle, wo überprüft werden kann, ob dieses Zertifikat zurückgezogen wurde, also nicht mehr gültig ist (z.B. weil die ausstellende "Zertifikatsbehörde" kein Vertrauen mehr genießt). Soweit ich das bisher zu verstehen glaube, liegt das Problem wohl an folgender Stelle: Das von Oracle verwendete Zertifikat für Java-Updates enthält keine Adresse für eine zuständige Zertifikat-Rückzugs-Liste – oder eine Adresse, die nicht auf eine als grundsätzlich vertrauenswürdige CA verweist – weshalb davor gewarnt wird, sich darauf zu verlassen. Primär hätte also Oracle den Auftrag, mal endlich ein vollständiges Zertifikat zu erzeugen. Sekundär könnte man wohl auch die manuell ermittelbare CRL-Adresse als "vertrauenswürdig" abspeichern, auf eigenes Risiko mit dem Vertrauen Oracle gegenüber.

Ja, dann erklär mir doch bitte mal, warum auch während dieser JRE-Update-Meldungen oder beim Lesen von Emails in Outlook immer noch dieser Dialog aufgeht, und wie sich das korrekt vermeiden ließe (und sei es nur, dass mal jemand eindeutig klarstellt, dass Oracle zu b***d dazu ist, vollständige Zertifikate herzustellen). Es hat doch *** noch mal zu reichen, wenn ich den Updater laufen lasse! Meiner Meinung nach zumindest...

Mögliche "saubere" Lösung: Certificate Revocation List installieren (die CRL fehlt dem übermittelten Zertifikat, deshalb ist die Installation des selbigen an sich eher unsicher).

Na ja, das ist alles nicht mehr Thema dieses Beitrags. Wir haben hier einige mehr oder weniger plausible und wahrscheinliche Gründe zusammengetragen, warum die Kommunikation zwischen Computern einer Arbeitsgruppe behindert sein kann, und die akuten Probleme scheinen derzeit gelöst. Vielleicht sollten wir hier abschließen.

Danke für die "Aufmunterung". So was braucht man, wenn man zur Hälfte des Gehaltsspiegels mit drei verschiedenen Tätigkeiten beschäftigt ist. Nein, ich bin kein voll ausgebildeter Administrator mit mehreren Wochen Lehrgängen pro Jahr, um up-to-date zu bleiben, also woher soll ich das Fachwissen oder gar praktische Erfahrung haben? Tagsüber arbeite ich auch erst mal meine 8 Stunden an anderen Sachen, und da kann ich nicht mal eben mehrere Stunden lang das ganze Büro vom Internet abschneiden. Das müsste dann außerhalb normaler Bürozeiten passieren, wenn es extra bezahlt würde. Ohne Kenntnis der Situation ist es immer leicht, über andere zu urteilen. Wie schon geschrieben, ist die Fritz!Box im Moment nur ein AccessPoint und Ethernet-Switch. Die war noch von privat übrig, als jemand auf KabelD umgestellt hat. Um mir in Ruhe zu überlegen, ob das eine Lösung wäre, und wie sie im Detail aussehen muss, brauche ich mehr als eine Mittagspause. Bis dahin läuft im Moment alles brauchbar.

Nachteil an der Direktnutzung der Fritz!Box wäre möglicherweise, dass sie dann eventuell an einer anderen Position im Büro aufgebaut werden müsste, nicht mehr zentral (zumindest ein Ethernetkabel läuft hinter der Scheuerleiste da hin). Aber es wäre schon eine Überlegung wert, möglicherweise könnte man dann den Server durch einen einfachen Switch ersetzen, müsste dann nur die IP-Adressen anders verteilen... Die Versorgung kommt von einer Richtfunk-Antenne per Ethernetkabel vom Dach, da ist noch ein eigener Router vom ISP dran. Ich kann nur berichten, dass alles lief, nachdem ich den Haken bei WPS rausgenommen habe und die Fritz!Box sich neu startete. Gut, es mag nicht unmöglich sein, dass ausgerechnet der Neustart hier das entscheidende Element war?! Das wäre dann aber noch ärgerlicher. Dann kämen noch ungemütlichere Ursachen in Frage, wie ein instabiles Stromnetz, was bedeuten würde, dass man bei jeder neuen ähnlichen Netzwerkstörung eventuell die Box neustarten müsste... IT auf dem Dorf ist ein Abenteuer.

Wenn in einer Firma Entscheidungen ohne Absprache getroffen werden, und der "Admin" (All-in-one-Computerspezi) dann mit dem vorhandenen Zustand leben muss, dann ist er weder technisch noch authoritär in der Lage, vernünftige Ratschläge zu befolgen. Das begann schon damit, dass hier vor langer Zeit der Estrich gelegt wurde, noch bevor man sich Gedanken über die Ethernet-Verkabelung gemacht hat, für die es sicher besser gewesen wäre, sie nicht mit den Stromleitungen in einer Röhre zu ziehen (zu Zeiten, als Cat.6 noch nicht verbreitet war); so wurde hier zwangsweise WLAN verwendet, weil es für verkabeltes Netzwerk zu spät war. Die Fritz!Box ist schon allein deshalb nicht als Internet-Router verwendbar, weil es hier kein DSL gibt, weil wir unseren Internet-Anschluss über eine andere Technologie bekommen. Hier in der Altmark ist "Glasfaser-Invaliden-Gebiet". Ein WINS-Server ist installiert, nützt aber nichts, wenn die Kommunikation durch einen Fehler behindert wird; da gilt es erst mal, die Ursache für die Behinderung zu finden und abzuschalten. Nachdem das WPS deaktiviert wurde, wird WINS nun wohl nicht mal mehr benötigt. Erwähnt habe ich diesen Fall, um ihn für andere dokumentiert zu haben, dass sie im Zweifelsfall noch einen Faktor ausschließen können. Mein Wissensstand über Windows Server stammt noch von der Ära 2000. Vielen Dank für die Kritik, aber es gibt in diesem Fall sowohl Zuständige als auch Verantwortliche, und ich bin nicht beides in einem.

Nach langer Zeit und zwischenzeitlicher Installation eines WS2012R2 (der auch noch nicht perfekt eingerichtet ist, das interne Netzwerk eines NAT-Routers kann doch wohl kein "öffentliches Netzwerk" sein, weil es nicht identifiziert werden kann, weil dessen Gateway leer sein muss) funktionierte das Netzwerk im Großen und Ganzen für eine Weile. Dann wieder nicht mehr. Zeitlich kam das etwa zusammen mit einem Firmware-Update einer AVM Fritz!Box 3270, die hier aber nur als WLAN-AccessPoint verwendet wird (war halt noch übrig, und nicht jeder WLAN-Router ist als AP verwendbar, was man auch erst nach mehreren Versuchen der Konfiguration versteht). Kurz, nach dem FW-Update war wohl in der Fritz!Box was "WiFi Protected Setup" (WPS) aktiviert worden; oder weil es aus Versehen der WLAN-fähige Brother MFC angestoßen hatte, wer weiß ... WPS deaktiviert, und nanu, alle Netzwerk-Teilnehmer sehen sich wieder gegenseitig. "Muss man wissen." – würde Axel Stoll sagen.

Je länger ich erfolglos experimentiere, umso weniger verstehe ich die Logik. Werde ich von WS2012R2 dazu gezwungen, eine Domain zu verwenden, wenn ich ihn als NAT-Router verwenden will? Bei einer Arbeitsgruppe gibt es offenbar einen wesentlichen Haken im Zusammenspiel zwischen NAT-Routing, Netzwerk-Kennungen und Firewall-Regeln: Wenn ich RRAS als NAT-Router installieren will, muss für die Intranet-NIC bei IPv4 unter anderem das Feld für das Gateway leer bleiben. Wenn bei einem Netzwerkadapter das Feld für das Gateway leer ist, wird das zugehörige Netzwerk nicht identifiziert. Nicht identifizierte Netzwerke werden als "öffentlich" behandelt, wenn sie nicht zu einer Domain gehören. In öffentlichen Netzwerken ist die Netzwerkerkennung deaktiviert, und die Firewall blockiert überwiegend eingehende Verbindungen. Ergebnis: Der NAT-Router-PC mit Server-Windows wird in der Arbeitsgruppe nicht nur nicht erkannt, sondern behindert auch noch den Austausch zwischen den Arbeitsstationen. Und dazu jetzt die blöde Frage: Was mache ich falsch?!

Mal noch ein wenig zum NAT-Routing belesen: Dass das "Intranet"-Netzwerk als "nicht identifiziert" gemeldet wird, lag an einer falschen Konfiguration des IPv4-Protokolls im Adapter. Die Intranet-Gateway-Karte darf selbst weder Gateway-Adresse noch DNS-Server-Adresse haben, beides muss leer bleiben. So ist der Netzwerk-Umgebung nun auch halbwegs verständlich, dass hier "Internetverbindung" und dort "keine Internetverbindung" existiert. Aber noch gibt es Schwierigkeiten mit der gegenseitigen Sichtbarkeit. Das kann allerdings auch wieder weitere Gründe haben, daran muss nicht die Firewall alleine Schuld sein, auch der Dienst "Computer-Browser" ist berüchtigt...

Danke, interessant ... im Zweig "Profiles" habe ich nur einen Eintrag. Hätte wegen zwei NICs eigentlich auch zwei Profile erwartet.

Es hat sich was getan ... ein Teil der Ursache scheint mir nun bekannt zu sein. Trotz der Einrichtung eines NAT-Routers durch Aktivieren von Routing & RAS, bei dem man ja festlegen mus, was Internet- und was Intranet-NIC ist, sind dennoch beide NICs in der Netzwerkumgebung vom Zugriffstyp "Internet"; außerdem ist die Internet-NIC mit einem "privaten Netzwerk" verbunden, die Intranet-NIC dagegen mit einem "öffentlichen Netzwerk" (vom Typ "nicht identifiziertes Netzwerk"). Entsprechend werden also auch für Verbindungen aus dem Intranet von der Firewall die restriktiven Internet-Regeln angewendet. Mit der Folge, dass ein Großteil der SMB-bezogenen Kommunikation behindert wird. Und eben auch FTP-Zugriffe durch den NAT-Router hindurch geblockt wurden. Leider habe ich bisher nicht gefunden, wie ich die NICs den logischen Netzwerken zuordnen kann, um diese genau umzukehren, in der Hoffnung, dass dann auch in der Firewall Regeln für private Netzwerke für das Intranet gelten und dadurch auch Netzwerkfreigaben sichtbar werden und die Kommunikation unter den Arbeitsplätzen nicht behindert wird.

Danke für den Hinweis, mach ich dann... — Verlinken darf ich da noch nicht. Gibt es für die Boardregeln zum späteren Nachlesen auch einen Link? Bisher hab ich den von der Startseite aus noch nicht entdeckt.

Nachtrag: Direkt auf dem Server kann ich mit einem FTP-Client arbeiten. Nur aus dem Intranet über den Server ist es nicht möglich.

Na ja, Hauptpunkt ist wohl: "Hätte Microsoft mal überhaupt bei No-IP gefragt, ob die nicht die Subdomains löschen können" ... angeblich hätten sie nicht, so wie die üblichen Abmahnanwaltskanzleien. Die sind gierig nach Geld. Und hier sieht es so aus, als sei Microsoft gierig nach Macht. Was auch immer wirklich stimmt* — den Shitstorm gibt es nun. Und nur wenige fragen sich, warum ein US-amerikanisches Gericht überhaupt für Internet-Angelegenheiten zuständig sein darf. 24C3

Typischer "false friend": billion [eng] = Milliarde [ger] = 1e9

Ich habe einen Windows Server 2012 R2 als NAT-Router eingerichtet, so wie vorher schon einmal mit einem Windows Server 2003 R2. Damals mit dem WS2003 habe ich mit allen Programmen problemlos Verbindung aus dem LAN ins Internet bekommen, egal mit welcher Art von Programm (Webbrowser, FTP-Client, Telnet/SSH, sonstige TCP- und UDP-Anwendungen...). Mit dem WS2012 klappt auch fast alles. Bis auf FTP. Mit keinem der mir vorhandenen Programme (FileZilla, Far manager 3, Poderosa - Telnet an Port 21) wird eine Verbindung zu irgendeinem FTP-Server im Internet aufgebaut, es wird immer mit Zeitüberschreitung abgebrochen. In der Liste der Zuordnungen (Routing und RAS - NAT) kann ich keine Verbindung zu Remote-Port 21 von der privaten IP-Adresse sehen, auf dem der FTP-Client läuft. Wenn ich eine SSH-Verbindung zum selben Server habe, ist die Verbindung zum Remote-Port 22 aber eingetragen. Ignoriert der Server Verbindungsversuche zu Remote-Port 21 absichtlich? Wo kann ich prüfen, ob entsprechende Regeln existieren? Ich fände es ja sehr überraschend, wenn NAT für FTP standardmäßig so deaktiviert wird. In der Windows-Firewall auf dem Server habe ich noch nichts in der Hinsicht entdeckt, ausgehende TCP-Verbindungen sind erst mal grundsätzlich alle erlaubt.

Lang ist's her ... danke zahni, bisher klappt das recht zuverlässig, der Gruppe "Users" bzw. "Benutzer" Änderungs-Rechte zu geben.

Ich habe auf einem PC im LAN einen Webserver, auf dem lokale Testinhalte für das spätere Hochladen auf öffentliche Webserver gespeichert sind. Dieser Server bedient also über eine Virtuelle-Server-Konfiguration HTTP-Anfragen auf verschiedene Domains. In der hosts-Datei werden Anfragen an die Domains auf den lokalen Webserver umgeleitet, und auf dem Internet-Router-PC lief bisher ein kleiner transparenter HTTP-Proxy ohne Cache und ohne Filter, den niemand außer mir kennt. Zum Testen stelle ich einfach im Webbrowser die Verwendung des Proxy ein oder aus: Bei Direktzugriff greift die hosts-Datei, und ich lese vom lokalen Testserver; bei Proxy-Zugriff geht die Domain-Abfrage zum öffentlichen Webserver. Nun wurde vor kurzem der Router-PC aktualisiert, jetzt ist Windows Server 2012 R2 Enterprise drauf. Müsste ich hier wieder den Proxy eines Drittherstellers installieren, oder ließe sich diese Funktionalität auch mit dem darin zur Verfügung stehenden IIS erreichen? Oder fällt jemandem noch eine elegantere Weiche ein, die selbe Domain mal im Internet und mal im Intranet abzurufen?

In einer kleinen Firma wurde ein Windows Server 2003 eingerichtet, um überwiegend als Internet-Router zu arbeiten. Die Arbeitsstationen hatten vorher Windows XP und laufen jetzt meist mit Windows 7 Pro 32-bit, ein Ultra 64-bit ist auch dabei. Verbunden sind sie überwiegend per WLAN mit fest zugeteilten IP-Adressen in einer Arbeitsgruppe mit eigenem Namen (nicht WORKGROUP). "Richte eine Domäne ein" ist im vorliegenden Fall keine verfügbare Lösung... Nun kommt es leider recht häufig vor, dass die logische Verbindung unter den PCs nicht zuverlässig ist. Manchmal sehen PCs nur sich selbst in der Arbeitsgruppe. Manchmal sehen sie alle anderen PCs, aber beim Versuch, auf Freigaben im Windows Explorer zuzugreifen, "ist ein Fehler aufgetreten" (Diagnose hilft nicht wirklich, rät lediglich dazu, den Zielrechner einzuschalten...); der Far Manager 3.0 listet die Arbeitsgruppe mit allen enthaltenen PCs auf, behauptet aber beim Verbinden zu einigen davon: "Netzwerkpfad nicht gefunden"; auch ein ping an den Rechnernamen findet keine Namensauflösung. So ist der Stand im Moment. In ein paar Stunden kann das schon wieder ganz anders aussehen. Ich würde nun gern verstehen, wie ich hier systematisch nach der Ursache forschen kann, um zu verstehen, wie ich das Problem lösen könnte, ohne die gesamte Infrastruktur umzubauen (dazu kann ich ja nicht den Betrieb mal eben in Urlaub schicken). __ P.S.: Möglicherweise ist ein Faktor auch, dass sich manche per Smartphone anmelden, die aber per DHCP. Das klappt auch nicht immer zuverlässig. Aber man kann ja niemandem zumuten, dass er sich im Büro mit fester IP anmeldet und zu Hause mit dynamischer. Oder können die das pro Netzwerk einzeln verwalten? Ist vielleicht unterschiedlich je nach Smartphone-OS (Apple, Android, Windows Phone)?

Dann müsste ich ja den Besitz aller Verzeichnisse rekursiv jedes Mal erneut übernehmen, wenn die Platte an einem anderen Rechner ist. Und die verschiedenen Rechner befinden sich nicht in einer Domain. Noch nicht mal im selben Gebäude. Deshalb nehme ich die externe Platte ja mit auf die Reise...

Da ich auch Dateien größer als 4 GB mit verschiedenen PCs austauschen möchte, habe ich eine Partition auf einer externen USB-Festplatte mit NTFS formatiert. So kann ich nun zwar auch große Dateien zwischen verschiedenen PCs übertragen; leider bringt NTFS aber auch die Rechteverwaltung für verschiedene Nutzer mit sich. So passiert es häufig, dass ich z.B. auch kleine Textdateien auf dieser Platte auf einem Rechner erstelle und bearbeite, auf einem anderen Rechner aber selbige Datei nicht mehr speichern kann, weil ja auf dem anderen Rechner nicht exakt der selbe Benutzer angemeldet ist, der diese Datei mal erstellt hatte. Bei neu erstellten Dateien hat aber oft nur der Besitzer Änderungsrechte. Wie sollte ich nun möglichst Benutzerrechte auf Verzeichnisse und Inhalte so vergeben, dass Zugriffsrechte weitgehend nicht eingeschränkt werden? Da es sich um relativ viele Verzeichnisse handelt, würde ich das bevorzugt auch lieber mit icacls lösen als über den Shelldialog. Eine Möglichkeit scheint mir zu sein, der Gruppe "Benutzer" oder "Users" (abhängig vom konkreten System funktioniert mal das eine, mal das andere) Vollzugriff oder zumindest Änderungszugriff zu verschaffen: icacls X:\Pfad\* /grant [Benutzer|Users]:[F|M] /T Das müsste ich dann aber wohl auf jedem PC tun, an den die Platte angeschlossen wird, um jeweils diese Gruppe jedes dieser Rechner aufzunehmen. Ich frage mich, ob es da eine elegantere Lösung gäbe.

Ich weiß, es gibt schon mehrere Beiträge zu ähnlichen Themen (auch mit mehr oder weniger freundlichen Hinweisen, alte Beiträge bitte nicht unnötig fortzusetzen), aber ich hab's immer noch nicht so recht verstanden: Der Java-Updater zeigt ab und zu mal einfach zwischendurch, auch ohne laufenden Webbrowser, auf gut gepflegten PCs (heißt, ich sollte eigentlich keine zusätzlichen Patches über Stammzertifikate installieren müssen, die nicht schon im Microsoft Update aufgetaucht wären) mit Windows XP SP3 oder Windows 7 SP1, die anscheinend relativ bekannte Fehlermeldung: In diesem Dialog erfährt man aber keinerlei Details darüber: Ist das ein ernstes Problem? Welche Konsequenzen hat es, wenn ich entweder "Ja" oder "Nein" klicke? Unter welchen Voraussetzungen ist welche Reaktion angemessen? Wie kann ich in Zukunft das Erscheinen dieses Dialogs vermeiden? Nützt es mir etwas, die Details dieses Zertifikats anzeigen zu lassen? Nun ja, zum letzten Punkt: Darüber habe ich zumindest erfahren, dass das Zertifikat was mit Java zu tun hat. Ich bin zwar schon auf die Idee gekommen, dieses Zertifikat zu installieren. Aber das nützt nichts. Der Dialog erscheint ab und zu immer noch. Daher hoffe ich, dass es irgendwo auch mal eine wirklich ausführliche und umfassende Erklärung gibt. Bisher hab ich nur Ansätze gefunden, aber keine wirklich verständliche Erklärung zur Ursache und Bedeutung. In den Internet-Optionen die Prüfung auf gesperrte Zertifikate auszuschalten, halte ich so gefühlsmäßig nicht für allgemein empfehlenswert. Wird ja wohl einen Grund haben, wenn Zertifikate gesperrt werden. Man hat ja in letzter Zeit ab und zu über gehackte Stammzertifikatsaussteller gelesen. Da müssen dadurch wohl ganze Bäume von Vertrauensketten ihre Vertrauenswürdigkeit verloren haben...