toasti

Wie lange ist das her bei euch, dass Avira so reagiert hat?

Danke für die Erfahrung! Ich denke auch, dass Avira wegen der Free-Version belächelt und oft nicht ernst genommen wird. Schade eigentlich. Ich denke so schauen sich viele Leute das Teil nicht mal an. Wieviel Clients hast du im Netz damit? Erfahrungen ob der Client auch über VPN ansprechbar ist und Updates ziehen kann? Das mit der Lizenzierung versteh ich nicht. Es werden immer 30% mehr geliefert? Wir haben hier 200 Clients und 16 Server. Dann würden wir 170 Lizenzen bestellen? Ist doch seltsam...oder ich verstehs nicht ;-)

Darf man fragen was du von Avira so gehört hast? Avira hat ziemlich viele großrangige Referenzkunden, ist schon beeindruckend. Die Software werde ich die nächsten Wochen mal testen. ESET schau ich mir auch nochmal an. Ich denke die 2 sind in der engeren Auswahl.

Da gehen die Meinungen wohl wirklich auseinander. Ich habe einen Bekannten der SEP inkl. FW einsetzt und es läuft wie geölt. Jeder Computer ist anders, genauso wie jedes Netzwerk. Ich denke, die einen oder anderen Probleme gibt es wohl überall - oder auch nicht. Schwierige Entscheidung auf was man geht. Da hier ja einige sagen, AUSSCHLIEßLICH Windows Firewall: Habt ihr irgendwelche Beispielprobleme auf Lager um sich ein Bild zu machen? Wir haben hier auf einigen NBs Sygate Firewall (gibts ja zwischenzeitlich nicht mehr) und ich habe immer ganz viel Spaß wenn Windows Sicherheitsupdates verteilt wurden. Da wird jede Systemdatei erstmal nicht mehr durchgelassen die sich geändert hat. Das führt dazu, dass die Rechner nur noch ohne LAN booten...ziemlich nervig. Wie gehen hier heutige FWs mit um?? Was heißt Ressourcenlastig? Gibts hier irgendwelche konkreten Anhaltspunkte wieviel Speicher oder CPU gezogen wird? Wir haben auch viele ältere PCs die nicht so schnell getauscht werden können und ein ressourcenhungriger AV wäre da nicht das gelbe vom Ei...

Und wie seid ihr mit Sophos zufrieden? Das ist ganz einfach, ich kann nicht 200 Clients einfach mal auf W7 umstellen. Speziell gehts bei der Firewall ja aber um die NBs. Das sind natürlich weniger als Desktop und hier haben wir bereits ein paar mal Vista im Einsatz. Dann werden die nächsten NBs eben schon mit W7 aufgezogen. Wenn ich eine 2003er Domäne habe sehe ich die GPO Einstellungen ja nicht auf dem Server, da die entsprechenden Daten fehlen. Kann ich diese nachinstallieren oder ist es einfacher von einem W7 Client aus die GPOs z.b. für Firewall einzustellen? So langsam springe ich auch auf diesen Zug auf... OKI, dann steht jetzt auf der Liste: ESET Avira Sophos Evtl. Kaspersky TrendMicro ist raus, da schon als VirusWall im Einsatz.

Oki, das Vorgehen beim Server 2008 sollte das gleiche sein, oder? Ich danke dir sehr herzliche für deine Hilfe!! Eine Frage habe ich noch, fällt mir grad so ein: Wenn ich z.B. was an den CRL Einstellungen an an der Root CA drehe, muss ich ja daraufhin das Cert erneuern, ja? Daraufhin muss dann auch das Cert für die Issuing CA erneuert werden, lieg ich da richtig? Jeweils dann auch beide alten Certs sperren? Wie gehe ich hier genau vor?

Okidoki, ich denke ich werde mir jetzt nochmal 2 frische Server her nehmen und nochmal alles von vorn aufbauen und dann sehen wie es aussieht. Da ja auch Daten ins AD veröffentlicht werden, macht das was aus, wenn ich jetzt auf 2 neuen Memberservern in der gleichen Domäne nochmals eine Rout und Issuing CA aufbaue?

Ich habe erneuert ohne ein neues Schlüsselpaar zu erstellen und trotzdem habe ich jetzt das Ganze 2 mal drin. Habs grad nochmal versucht, jetzt ist Version 4.3 online, oha... Wie bekomme ich einen der beiden Punkte wieder weg?? Ich hatte bereits ein neues Cert erstellt gehabt, mein Fehler war glaube ich, das alte zu sperren, kann das sein? Somit waren die URLs noch verfügbar. Jo genau, dass man die URLs genau prüfen sollte BEVOR das erste Cert erstellt wird, habe ich gestern in einem Webcast gehört... ;-) Also, nochmal zum Verständnis: Wenn ich nun also auf "Contoso-Stammzertifizierungsstelle" klicke, sehe ich rechts die AIA und Verteilungspunkte die in das Cert der IssuingCA eingebettet werden, richtig? Klicke ich wiederum auf die Issuing-CA, so sehe ich rechts die Infos, die in Certs eingebettet werden, die diese Stelle an Clients ausstellt, oder?

Ist ja total seltsam...jetzt habe ich 2 Stammcert-Stellen?? Und bei der passt es. http://img28.imageshack.us/img28/4816/pki2.jpg Ich habe StammCert wie auch Issuing Cert nochmal gesperrt neu erstellt. Jetzt blick ich gar nicht mehr durch.

Komisch, dann müsste doch auch ein neueres Datum drin stehen...ich hab gestern so viel rum gespielt. Vielleicht hab ich auch ein falsches Cert gedumpt, mom...

Aber klaro, hier ist es: X.509-Zertifikat: Version: 3 Seriennummer: 7fb5b3753cff90874ef618a1beb0bb2b Signaturalgorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA Algorithmusparameter: 05 00 Aussteller: CN=Contoso-Stammzertifizierungsstelle DC=contoso DC=com Nicht vor: 04.02.2010 18:51 Nicht nach: 04.02.2030 19:01 Antragsteller: CN=Contoso-Stammzertifizierungsstelle DC=contoso DC=com Öffentlicher Schlüssel-Algorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA (RSA_SIGN) Algorithmusparameter: 05 00 Länge des öffentlichen Schlüssels: 2048 Bits Öffentlicher Schlüssel: Nicht verwendete Bits = 0 0000 30 82 01 0a 02 82 01 01 00 a1 26 a9 bc 47 c9 21 ... 0100 a2 35 01 6a 22 b3 35 81 51 02 03 01 00 01 Zertifikaterweiterungen: 4 2.5.29.15: Flags = 0, Länge = 4 Schlüsselverwendung Digitale Signatur, Zertifikatsignatur, Offline Signieren der Zertifikatsperrliste, Signieren der Zertifikatsperrliste (86) 2.5.29.19: Flags = 1(Kritisch), Länge = 5 Basiseinschränkungen Typ des Antragstellers=Zertifizierungsstelle Einschränkung der Pfadlänge=Keine 2.5.29.14: Flags = 0, Länge = 16 Schlüsselkennung des Antragstellers 76 5d c4 ad 35 df de da 35 7e d7 75 28 9a 44 43 f3 96 fa 1c 1.3.6.1.4.1.311.21.1: Flags = 0, Länge = 3 Version der Zertifizierungsstelle V0.0 Signaturalgorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA Algorithmusparameter: 05 00 Signatur: Nicht verwendete Bits=0 0000 76 69 bb b6 70 26 29 e1 85 3a fc 9a 15 a1 26 c6 ... 00f0 af 23 1b 94 6c 90 9b df 58 1c 6d 2b 18 f2 59 91 Signatur stimmt mit dem öffentlichen Schlüssel überein. Stammzertifikat: Antragsteller stimmt mit Aussteller überein Schlüssel-ID-Hash(rfc-sha1): 76 5d c4 ad 35 df de da 35 7e d7 75 28 9a 44 43 f3 96 fa 1c Schlüssel-ID-Hash(sha1): 0f 03 01 b5 ad e9 14 65 db 46 95 3c d9 87 96 d3 34 0b 07 73 Zertifikathash(md5): fc d6 39 a5 9a cc 96 7b 5b 47 60 af 21 e5 92 6b Zertifikathash(sha1): aa 3a 30 1f 89 cc ef fa 2f d5 25 bf 6c 52 50 a9 84 e1 06 c5 CertUtil: -dump-Befehl wurde erfolgreich ausgeführt. ****e Frage, aber mit dem Erneuern ist es nicht getan, oder? Ich versuchs mal neu auszustellen, hab da natürlich noch null Routine. Ich danke dir für deine Geduld, ehrlich!! ;-)

Hier das Cert der Issuing CA - die 2 http Adressen sind mit drin. X.509-Zertifikat: Version: 3 Seriennummer: 613fb7da000000000002 Signaturalgorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA Algorithmusparameter: 05 00 Aussteller: CN=Contoso-Stammzertifizierungsstelle DC=contoso DC=com Nicht vor: 05.02.2010 18:07 Nicht nach: 05.02.2011 18:17 Antragsteller: CN=Contoso-Ausstellende-ZS01 DC=contoso DC=com Öffentlicher Schlüssel-Algorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA (RSA_SIGN) Algorithmusparameter: 05 00 Länge des öffentlichen Schlüssels: 2048 Bits Öffentlicher Schlüssel: Nicht verwendete Bits = 0 0000 30 82 01 0a 02 82 01 01 00 e2 0e 29 4e 68 0e 47 0010 0c da 9f 6f be 56 00 93 ee 7f ed db 8c 8e 3b a0 ...... 0100 9a 7e be 3e 3c 98 b6 d9 a3 02 03 01 00 01 Zertifikaterweiterungen: 8 2.5.29.19: Flags = 1(Kritisch), Länge = 5 Basiseinschränkungen Typ des Antragstellers=Zertifizierungsstelle Einschränkung der Pfadlänge=Keine 2.5.29.14: Flags = 0, Länge = 16 Schlüsselkennung des Antragstellers f3 b7 56 81 3f e1 98 5d 19 8f ff 39 9a ea 09 cd ed 11 04 de 2.5.29.15: Flags = 0, Länge = 4 Schlüsselverwendung Digitale Signatur, Zertifikatsignatur, Offline Signieren der Zertifikatsperrliste, Signieren der Zertifikatsperrliste (86) 1.3.6.1.4.1.311.21.1: Flags = 0, Länge = 3 Version der Zertifizierungsstelle V0.0 1.3.6.1.4.1.311.20.2: Flags = 0, Länge = c Zertifikatvorlagenname (Zertifikattyp) SubCA 2.5.29.35: Flags = 0, Länge = 18 Stellenschlüsselkennung Schlüssel-ID=76 5d c4 ad 35 df de da 35 7e d7 75 28 9a 44 43 f3 96 fa 1c 2.5.29.31: Flags = 0, Länge = 12c Sperrlisten-Verteilungspunkte [1]Sperrlisten-Verteilungspunkt Name des Verteilungspunktes: Vollst. Name: URL=ldap:///CN=Contoso-Stammzertifizierungsstelle,CN=Server03,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint URL=http://server03.contoso.com/CertEnroll/Contoso-Stammzertifizierungsstelle.crl 1.3.6.1.5.5.7.1.1: Flags = 0, Länge = 138 Zugriff auf Stelleninformationen [1]Stelleninformationszugriff Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2) Alternativer Name: URL=ldap:///CN=Contoso-Stammzertifizierungsstelle,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority [2]Stelleninformationszugriff Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2) Alternativer Name: URL=http://server03.contoso.com/CertEnroll/Server03.contoso.com_Contoso-Stammzertifizierungsstelle.crt Signaturalgorithmus: Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA Algorithmusparameter: 05 00 Signatur: Nicht verwendete Bits=0 0000 89 aa 1f bd d6 6b 3e 94 09 b5 be 61 94 15 ac 7c ... 00f0 cc 4a d8 06 72 9f 81 fe c7 7d 4f c8 e4 ea 10 55 Kein Stammzertifikat Schlüssel-ID-Hash(rfc-sha1): f3 b7 56 81 3f e1 98 5d 19 8f ff 39 9a ea 09 cd ed 11 04 de Schlüssel-ID-Hash(sha1): e0 1a c3 69 c7 0d a3 fa 4e ba 51 13 b1 14 77 11 bd 50 de 22 Zertifikathash(md5): dd b5 ef da ff 82 2a 13 a8 ba 55 50 2e 1f e0 24 Zertifikathash(sha1): 61 a6 72 5b 7f 2b 57 1d 97 21 e0 d9 e8 82 09 6d ed 3e 4b 86 CertUtil: -dump-Befehl wurde erfolgreich ausgeführt. Ich habe zwischendrin ein bißchen gekürzt, der Post ist auf 4000 Zeichen beschränkt...

Also die Verteilungspunkte über http sind ausgehakt, ja. An der Root CA wie auch an der Issuing CA. Wenn wir den oberen Teil meines Screenshots anschauen sehen wir ja die 2 http Verteilungspunkte mit dem Fehler "Download nicht möglich". Diese tauchen ja auf wenn ich auf die Root CA klicke. Wenn ich diese doch aber in der Root CA bereits ausgehakt habe, sollten die doch verschwinden. Wenn nämlich das Cert der Root CA normal keine AIA und CDP Punkte enthalten, warum tauchen sie dann hier auf?

2. und 3. ist mir nun klar. Aber Punkt 1 liest sich für mich wie ein Wiederspruch in sich. Irgendwie versteh ichs nicht. Wenn das Cert der Root CA keine AIA und CDP enthält, warum muss ich dann noch die INF verwenden? Und warum werden diese als Verteilungspunkte aufgeführt? Sorry, aber ich tu mich hier einfach umheimlich schwer...

Hi olc, also wenn ich das richtig verstehe, kann ich in der Root CA zwar die http Verteilungspunkte aushaken, verschwinden tun sie aber nicht? Bei der ausstellenden CA sind die aber verschwunden, aber doch auch nur weil ich es direkt bei der Issuing CA eingestellt habe und nicht aufgrund dessen, dass ich sie bei der Root CA deaktiviert habe? Richtig? Die CA soll ja Verteilungspunkte haben, eben nur nicht die http ;-) Wenn ich das Root Cert erneuere und vorher die Punkte ausgehakt habe, verschwinden diese trotzdem nicht aus dem Root Cert, verstehe ich das richtig? Ich müsste dazu die CAPolicy.inf verwenden und dann das Cert erneuern? Aber dann sind doch gar keine Verteilungspunkte mehr angegeben, oder?

Ich steh zur Zeit so unter Strom, die 70-640 endlich fertig zu machen, bin manchmal en weng durchn wind...gibts irgendwie Therapie Programme für Lerngeschädigte IT'ler? ;-) Danke für's verschieben! Ganz genau! Richtig, habe das Root Cert erneuert -> über Stamm-Cert-Stelle -> Alle Aufgaben -> Zertifizierungsstellenzertifikat erneuern. Dabei das Schlüsselpaar behalten, als auch schon einmal ein neues Paar generiert. Warum ist das nicht empfehlenswert? Ich habe das ganze mal als Screenshot hochgeladen um es besser zu zeigen: http://img716.imageshack.us/img716/192/pki.jpg Ich lerne ja mit dem offiziellen MS Press Buch und hier sind ja bekanntlich einige Fehler drin. Ich habe anhand der Übungen eben die http Punkte entfernt und laut Buch sollte diese damit auch verschwinden. Begründung war hier, dass wir keine Sperrlisten extern zur Verfügung stellen müssen, d.h. ldap reicht da im Verzeichnisdienst gespeichert und intern von jedem zu erreichen. Klärt mich ruhig auf, wenn was verkehrt ist bzw. ich falsch verstanden habe - die PKI Geschichte ist die Hölle für mich.

Ups, seh grad, dass ich im Client Forum geschrieben habe - könnte das bitte ein Mod ins Server Forum verschieben? Danke!

OKI, hier gehts weiter: http://www.mcseboard.de/windows-forum-allgemein-83/server-2008-pki-verteilungspunkte-http-trotz-deaktivierung-vorhanden-162642.html#post1000120 Dienst habe ich neu gestart. Wird auch beim Erneuern des Stammcert gemacht.

Hallo zusammen, hatte ursprünglich in folgenden Thread gepostet: http://www.mcseboard.de/windows-forum-allgemein-83/unternehmens-pki-http-fehler-2-152914.html olc hat mir dann empfohlen einen neuen Thread aufzumachen - hier ist er ;-) Ich lerne grad auf die 70-640 und kaue grad PKI durch. Habe mit http-Fehlern bei der StammCert-Stelle zu kämpfen. Hier heißt es "Download nicht möglich" obwohl ich bei den "Sperrlisten-Verteilungspunkten" und "Zugriff auf "Stelleninformationen die Haken bei HTTP rausgenommen habe, d.h. diese Speicherorte sollten im Endeffekt nicht veröffentlich werden. Werden sie aber doch und ich bekomme ebenfalls bei AIA-Speicherort #2 und Speicherort für Sperrlisten-Verteilungspunkte #2 den Fehler "Download nicht möglich" Bei der Ausstellenden Certstelle wiederum klappt das wunderbar, nur die 3 LDAP Speicherorte tauchen auf (AIA-Speicherort, DeltaCRL und Speicherort für Verteilungspunkte). Das Stammzertifizierungsstellen-Cert habe ich bereits erneuert. Habt ihr einen Tipp?? Grüße und vielen Dank im Voraus toasti

Guten Abend, ich möchte mich kurz hier mit dran hängen, auch wenn der Thread schon ein paar Monate alt ist: Ich lerne grad auf die 70-640 und kaue grad PKI durch. Habe ebenfalls mit den http-Fehlern zu kämpfen. Auch "Download nicht möglich". Hier gehts um die Stamm-Zertifizierungsstelle. Habe jedoch absichtlich bei den "Sperrlisten-Verteilungspunkten" und "Zugriff auf "Stelleninformationen die Haken bei HTTP rausgenommen, d.h. diese Speicherorte sollten doch im Endeffekt nicht veröffentlich werden. Werden sie aber doch und ich bekomme ebenfalls bei AIA-Speicherort #2 und Speicherort für Sperrlisten-Verteilungspunkte #2 den Fehler "Download nicht möglich" Bei der Ausstellenden Certstelle wiederum klappt das wunderbar, nur die 3 LDAP Speicherorte tauchen auf (AIA-Speicherort, DeltaCRL und Speicherort für Verteilungspunkte). Das Stammzertifizierungsstellen-Cert habe ich bereits erneuert. Habt ihr einen Tipp?? Grüße und vielen Dank im Voraus toasti

Auf diese Antwort habe ich gewartet. Ich bin eigentlich gleicher Meinung, wollte aber einfach mal nachfragen was ihr davon haltet. Kaspersky haben echt einige wie es aussieht... Das wäre z.B. ein Anbieter der nicht unter meinen Fav wäre...denke ich muss mir den doch auch anschauen. Gut, dann fällt Trend wohl raus.

Hallo zusammen, ich habe soeben auf einem frischen Rechner USMT ausprobiert und einfach mal mein eigenes Profil von meinem NB migriert. In den XML-Dateien die man beim Scanstate erstellt beinhalten ja alles, was Loadstate dann im Endeffekt durchführen soll. Gibts auch eine Möglichkeit, die Migration aufgrund dieser Infos rückgängig zu machen??? Grüße toasti

Forefront werde ich mir auch anschauen und testen! Genau das, was du erwähnt hast, dass sich das alles schön integriert, gefällt mir sehr gut! OKI, danke für die Info. Wir haben Utimaco SafeGuard Enterprise im Einsatz. eTrust hat damit auch so manche Probleme. Ist euch hier was bekannt bei genannten Produkten?

Na, die hab ich zufällig hier liegen - nur noch nicht rein gesehen. Werd ich gleich mal durchlesen ;-) Was hast du im einsatz? Jo, eTrust haben wir noch momentan. Das ist der letzte Müll. Gut zu wissen, dass Avira so gut läuft. Wie groß waren die Netze so, in denen ihr das ausgerollt habt? Klar, an Desktops nicht. Aber an NBs die unterwegs vielleicht irgendwann mal raus dürfen, schon eher finde ich. Klar, ab Vista geht das natürlich besser mit der integrierten FW...vielleicht machen wir dann einfach den Schritt und gehen zu W7 über bei denen wenigen NBs...

Wie regelst du das bei Clients die unterwegs ins Netz müssen? Bisher darf das keiner bei uns, dafür ham die Leute MDAs um E-Mails zu checken. Aber wir sind am überlegen wie wir die Leute auch unterwegs halbwegs sicher ins Internet über WLAN lassen können, deshalb die Überlegung mit der FW im AV...ob das wirklich kommt, weiß ich nicht. Trend wäre von den ganzen mein Fav. Bin nur skeptisch weil wir schon die Viruswall von denen haben. Ich denk da einfach an ein Szenario wie: Schadsoftware kommt beim Surfen ins Netz weil die VW das Teil noch nicht erkennt. Der lokale Scanner aufm Client wird, da gleicher Hersteller, das Ding auch noch nicht erkennen. Habe ich aber einen anderen Hersteller, ist zumindest die Chance da, dass der es dann erkennt. Bin da ziemlich hin und her gerissen...