grizzly999

Ja sorry ist **** zu beschreiben,

ich wollte jeweils nur eine CA in den Subdomänen installieren ,

da ich keinen Sinn bzw. Notwendigkeit sehe in unserem Umfeld eine

mehrstufige CA zu betreiben .

Warum nicht? Das ist eine sehr einfache Möglichkeit in einem AD. Die erachte ich als sinnvoller als mehrere unabhängige Root-CAs.

kann man also mehere unabhänige CA's in einem Domänen Forest ,

mit root domäne betreiben ?

Nein, das geht nicht. Nur eine Unternehmens-CA im Forest

Wie wird so was normalerweise installiert , oder was sagt Microsoft ?

(ich tippe mal eine mehrstufige CA, mehr Lizenzen = mehr Kohle für Bill )

Entweder eine einzige CA, oder ein mehrstufiges Prinzip. Und das hat nicht mit irgendwelchen Lizenzen zu tun, CAs und Clients benötigen kienerlei spezielle Lizenzen.

grizzly999

Microsoft sieht da insbesondere für 2003 und XP die automatisierte Anforderung und Verteilung von Zertifikaten im AD vor: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx

Ich frage mich aber immer noch, was du unter einem " clientless vpn " verstehst, der Begriff ist mit bisher noch nicht untergekommen.

grizzly999

Auch von mir ein Willkommen im Board :)

grizzly999

Den hast du auch schon durch?

http://www.intel.com/support/network/sb/cs-000023.htm

grizzly999

Frank, hast recht ;)

http://www.isaserver.org/tutorials/Tom_Shinders_ISA_Server_Questions_of_the_Week.html

grizzly999

Halt, da haben wir irgendwie aneineander vorbei geredet.

Ich habe das so verstanden, dass du fragst, ob du eine Ein-Level CA aufbauen kannst, oder ob es eine mehrstufige sein MUSS?

Mehrere Enterprise CAs gehen nicht

grizzly999

Hallo und willkommen im Board

üblicherweise überwacht man dabei nicht die Dienste sondern Ports, z.B. den 389 für LDAP.

Viele spezifische Dienste startet der DC nicht, den kdc service, aber sonst ?!

grizzly999

Hast du uns die exakte Fehlermeldung?

Einträge im EreignisLog des DC?

Was sagt ein netdiag und ein dcdiag (aus den Support Tools) auf dem neu einzurichtenden DC?

grizzly999

Ja, du hast da was "Unscheinbares" übersehen

Hier geht es um Securtiy, könnte man zumindest meinen, wenn man mit Zertifikaten und privaten Schlüsseln hantiert.

Und sowas wie Zertifikate zusammen mit privaten Schlüsseln (das ist nämlich eine .p12 Datei), schiebt man nicht einfach übers Netzwerk, respektive sowas verteilt man nicht mit Gruppenrichtlinien. Deshalb hat das Microsoft schlichtweg aus Sicherheitsgründen nicht vorgesehen (und da behaupten immer alle, Microsoft sei unsicher :D )

grizzly999

zu a)

Man kann das auch nur mit einer einzigen CA (one tier hierachy) im Forest machen

zu b)

Komme da nicht ganz mit. Was für eine CA setzt du auf? eine Enterprise CA? DDann darf das auch nur ein Organisationsadmin machen.

Und das mit dem Fehler mit der Zertifikatsvorlage verstehe ich nicht ....

Ein gutes Buch?! Aber klar, kann ich eines wärmstens empfehlen:

http://www.edv-buchversand.de/product.php?cnt=product&id=ms-973&lng=0

grizzly999

ähm grizzly

da muss ich dir widersprechen...

Darfst du, ich bin nicht allwissend ;)

Aber dannbitte konstruktiv. Will heißen, sage uns allen, wie und wo man bei einem 2000 Terminalserver mehr als 256 bit Farben für das RDP-Protokoll einstellt.

Ein gespannt wartender

grizzly999

Clustern war erst vor wenigen Tagen ein Thema eines langen Threads. Benutze doch mal die Boardsuche ;)

grizzly999

Stehen die Kennwortrichtlinien auf nicht definiert? Dann greift die Standardrichtlinie von MS.

??

Die Standardkennwortrichtlinien in einer 2003 Domäne SIND definiert, daher ziehen sie auch. Wären keine definiert, würden auch keine ziehen.

Es sind welche definiert, in der Default Domain Policy, nämlich dass ein Kennwort den Komplexitätsanforderungen entsprechen muss (Groß-Kleinschreibung, Zahlen, Sondernzeichen <- daraus 2 kombinieren; mind. 6 Zeichen lang und nicht mind. 3 aufeinanderfolgende Zeichen aus dem Benutzernamen). Zusätzlich ist aber auch gesetzt dass ein kennwort mind. 7 Zeichen lang sein muss. Also: das was ich in KLamern geschrieben habe und mindestens 7 Zeichen lang.

Will man das nicht, muss man in der Default Doamin Policy (besser aber in einer selber definerten Richtlinie, die über der Default Domain Policy steht) die Komplexitätsanforderungen auf Deaktiviert setzen und die Mindestlänge bei Bedarf anders setzen.

grizzly999

2000 TS kann nur max. 256 Farben.

Ein 2000 Client mit dem RDP Client drauf von Xp oder 2003 (RDP 5.1 bzw. 5.2) kann aber dagegen Real Color, wenn man sich mit einem XP oder 2003 Desktop verbindet

grizzly999

Geht nicht, man muss Admin sein.

grizzly999

Bitte keine Doppelpostings :(

hier geht's weiter: http://www.mcseboard.de/showthread.php?t=85372

grizzly999

Ich habe den mal nach LAN und WAN verschoben ;)

grizzly999

Ahja, dann war das falsch ausgedrückt.

Wenn der DNS mehrere Netzwerkkarten hat, kann man das trennen. In den Eigenschaften des DNS kann man einstellen , auf welchen NICs er Abfragen annimmt.

Dann gäbe es die Möglichkeit, den RRSA zu aktivieren, und dort PAketfilter zu setzen. besser: IPSec-Richtlinien einrichten, um ungewünschten Verkehr zu blocken.

Ansonsten wie gesagt, Firewall.

grizzly999

Geht das auch mit mehreren Gateways? Ich meine mich zu erinnern, dass nur ein DG möglich ist?!

grizzly999

Nur mit einer Protokollregel ist es da bei SSL nicht getan. Unter http://www.isatools.org gibt es ein Script (ISA 2000TunnelPort Editor) , mit dem man den Portrange für SSL-Tunnel erweitern kann, als nur den Port 443.

grizzly999

...Soll ich als Stammserver meine lokalen DNS eintragen oder wie?!

 

Will ja nur nicht, daß aus dem Internet meine Server als DNS-Server errichbar sind und Namen auflösen. Wenn ich Rekursionen deaktiviere ist ja gar keine Namensauflösung mehr möglich :(

Hä?

Ich gewinne den Eindruck, dir fehlt ein wenig DNS-Wissen. obern fragst du ganz gezielt danach, wie man die Rekursion auf spezielle Server einschränken kann (von denen ich annahmn, du weisst, auf welche du das einschränken möchstest).

Und jetzt willst du eigentlich, dass dein(e) DNS Server aus dem INternet nicht erreichbar sind.

a) Wie kommst du darauf, dass die erreichbar sind, hast du offizielle IP-Adressen am DNS Server?

b) Dafür sind Firewalls zuständig und nicht irgendwelche eingeschränkten Rekursionsangaben.

grizzly999

Nein, Freigaben und Freigabeberechtigungen musst du neu anlegen.

Datenresourcen, also Datenordner und Resourcen solltest du mit einem Sicherungstool wie z.B. ntbackup sichern nud dann auf dem Zielrechner wiederherstellen. Dabei werden Berechtigungen gesichert und wiederhergestellt.

Anm: Davon war in deinem ersten Beitrag nicht die Rede, sondern wie bekoome ich das AD von EE auf SE :rolleyes:

grizzly999

Ich stehe immer noch auf IPSec :D

Ein Kurzanleitung ;)

Mit gpedit.msc die lokale Richtline öffnen, Computerkonfirugarion\Windows-Einstellungen \Sicherheitseinstellungen -> IPSicherheitsrichtlinie.

Dort neue Richtlinie Erstellen, Namen vergeben, Standardantwortregel deaktivieren.

Hier drin dann eine neue Regel erstellen, spezifizerit keinen Tunnel, Alle Netzwerkverbindungen, Authentifizierungsmethode lassen (braucht man eh nicht in diesem Fall).

Anhaken "IP_Datenverkehr insgesamt, -> "Bearbeiten" klicken. Unter IP-Filterliste wieder Bearbeiten klicken, unter "Eigenschaften von Filter" oben bei Quelladresse "Eigene IP-Adresse" auswählen, bei Zieladresse "Beliebige IP-Adresse" auswählen.

Dann 2x Ok klicken, man kommt wieder ins Fenster Sicherheitsregel-Assistent zurück, dort dann "Weiter" klicken.

Im nächsten Fenster unter "Filteraktion" Häkchen "Assistenten verwende" rausnehmen, auf "Hinzufügen" klicken, im aufgehenden Fenster im Reiter "Allgemen" Das "Neue Filteraktion" mit "Sperren" überschreiben, wieder auf den Reiter links davon ""Sicherheitsmethoden" wechslen und dort "Sperren" anhaken.

OK klicken, dann "Sperren" selektieren -> weiter -> "Fertigstellen"

Dann fügt man eine neue Regel hinzu, Namen z.B. "Verkehr zu Rechner XY", weiter wie oben (kein Tunnel, Authentifizierung, usw.), erstellt eine neue Filterliste, die Quelladresse wieder Eigene IP, als Zieladresse "Spezielle IP-Adresse" auswählen und die Adresse des anderen Rechners, zu der man möchte, angeben.

Als Filteraktion diesmal "Zulassen" eintragen.

Fertigstellen, schliessen, WICHITG: in der Gruppenrichtlinie diese neu erstellte Richtlinie mit der rechten Maustaste "Zuweisen".

Richtlinienfesnter schliessen, "gpupdate /force" eingeben

Wen alles korrekt war, sollte jetzt das gewünschte Ergebnis die Folge sein

grizzly999

Und:

Bei dem Einsatz von NewSID oder ähnlichen Tools gibt es keinen Support von Microsoft.

 

Gruß MacBoon

Nicht nur das, ich kann dir aus eigener Erfahrung (bei Kunden und Projekten) versichern, dass es zu Problemen mit Rechnern, die mit NewSID oder SIDChanger oder einem Zeugs präpiert wurden kommen kann. Ist selten der Fall, nur in bestimmten Konfigurationen/Einatz und vielleicht beim Einsatz bestimmter Software, Fakt ist aber, dass man bei der Fehlersuche nie und nimmer auf den Gedanken kommt, das mit diesen Tools in Verbindung zu bringen. Zu Tage kam das immer erst, wenn man eine Maschine manuell aufsetzt und dort den Fehler nicht hat und sich dann überlegt, was ist denn der Unterschied. Bingo ....!

Mit sysprep hatte ich diese Probleme noch nie.

grizzly999

Ja, mann kann unter "Stammhinweise", die Stammserver editieren, bzw. in der Datei Cache.dns

grizzly999