toasti

OK, dann werde ich das durch ein intern durch unsere CA ausgestelltes tauschen.

Ich hab so genaue Infos nicht darüber gefunden, daher wollte ich mal eure Meinung wissen.

Liebes Forum,

wir haben hier einen Exchange 2010, per TMG 2010 werden die Dienste von Außen erreichbar gemacht.

Nun stolpere ich desöfteren über das Problem, dass unser Outlook 2007 eine Zertifikatswarnung bringt und das Self Signed Cert des Exchange anmeckert.

Leider habe ich beim letzten Fall nicht geprüft ob der der Client wirklich intern per TCP/IP verbunden war oder per HTTPS und Outlook-Anywhere.

Klar ist, dem Self Signed wird nicht vertraut, installiere ich es auf dem Client, funktioniert es natürlich.

Was mir nicht klar ist und das ist die eigentliche Frage:

Wir haben auf dem TMG natürlich ein von Verisign ausgestelltes SAN Cert mit externer OWA- und AutoDiscover-Adresse.

Der Zugriff funzt auch wunderbar.

Muss dieses Zertifikat nun aber auch auf dem Exchange selbst und den Services zugewiesen werden??

Im Voraus vielen Dank für eure Hilfe!

PS: Supported der TMG ohne Probleme SHA-2 oder ist dafür ein SP nötig?

Konnte hierzu nichts konkretes finden. Denke aber es ist kein Problem, oder?

Danke schön, alles klar. Das würde auch am meisten Sinn machen.

Muss schon sagen, der WPP ist klasse!

Wenn du mir nun noch den Unterschied erklären würdest zwischen den beiden Regelsätzen? ;-)

Ich stehe sowas von auf dem Schlauch...

Hallo zusammen,

hab einen neuen WSUS inkl. WPP aufgebaut, da der alte WSUS+LUP doch langsam in die Jahre gekommen ist und der WPP wirklich tolle zusätzliche Funktionen bietet.

Alles läuft soweit wunderbar, aber was mich stutzig macht und ich in keiner Doku gefunden habe:

Was ist der Unterschied zwischen Update Level Rules und Package Level Rules?

Beim LUP gabs da nur ein Regelsatz pro "Installed rules" und "Installable rules".

Kann es sein, dass die Package Rules die sind, was das Installationspaket von sich aus mitbringt?

Habe den SCUP-Catalog für Adobe Flash importiert und hier waren bereits Package Rules vorhanden.

Oder wurden die im Catalog bereits definiert?

Bitte klärt mich auf :-) Denke es geht einigen anderen genauso.

Vielen Dank!

toasti

Hallo strained,

danke für deinen Input.

Die Certs sind alle intern! haben demnach auch keine CRLs usw nach extern veröffentlicht. Also alles noch recht klein und einfach im Grunde.

Hat man darin aber kaum Erfahrung ist auch so ein Umbau nicht einfach.

Habe mir nochmal alles durch den Kopf gehen lassen und umgedacht - ich nehme PEAP-MSCHAP v2 und brauche damit keine Zertifikate für die Clients und das eine für den Server macht mir mit der jetzigen PKI natürlich keinen Stress ;-)

Trotzdem ist der Input hier wichtig - für den Fall der Fälle. Aber im Moment möchte ich es gar nicht kompliziert machen wo es doch auch einfacher geht.

Ich danke euch für eure Hilfe!!!

Guten morgen,

hat noch jemand weitere Tipps und Ratschläge?

Jeder Input ist willkommen :-)

Hallo und danke für deine Hilfe!

Das ist die Frage ob der Umbau notwendig ist und ja du hast Recht (jetzt erinnere ich mich an meinen letzten MS-Kurs ;-)) - so richtig Sinn macht es erst wenn ich die Root auch offline nehmen kann, aber der Zug ist wohl durch.

Im Moment sind es höchstens 40-50 Zertifikate, mit NPS werden es aber bedeutend mehr werden und hier dachte ich ist es besser eine Sub zu haben die ich im Notfall vom Netz nehmen kann, sollte sicherheitstechnisch etwas sein.

Wie gesagt, in Sachen PKI bin ich leider (noch) nicht so fit und habe wenig Erfahrung. Deswegen hatte ich nach Best Practice für so ein Szenario gefragt.

Die Issuing reinzunehmen sollte nicht das große Problem sein - allerdings bin ich nach deiner Antwort am grübeln ob ich es nicht bei einer Root CA belasse.

Hallo zusammen,

wir betreiben hier derzeit eine ins AD integrierte Root CA in einem 2008 R2 AD-Schema.

Bisher wurden kaum Zertifikate ausgestellt und auch benötigt, deswegen hat bisher die Root CA gereicht.

Mittlerweile kommt es aber doch häufiger vor, dass wir Zertifikate brauchen und ich mache mir schon länger Gedanken die Root CA durch eine Sub CA zu erweitern welche zukünftig die Zertifikate ausstellt.

Geplant ist ein WLAN fürs interne Netz inkl. NPS aufzubauen - für welche ich nun ebenfalls lieber eine Sub CA hätte.

Fakt im Moment ist:

- Zertifikate werden per GPO an eine bestimmte Gruppe zwecks E-Mail-Encryption automatisiert ausgestellt.

- Hin und wieder manuelle Anforderung von Zertifikaten z.B. für Terminal-Server

Welcher Weg ist nun der "Beste" um zur Sub CA zu kommen, die anderen Zertifikate aber noch funktionieren?

Entsprechend aufzuräumen, die ausgestellten Zertifikate zu revoken und alles neu aufzubauen, davor sträube ich mich doch ein bißchen.

Ehrlich gesagt fehlt mir schlichtweg die Erfahrung in Sachen PKI und ich weiß nicht welcher Weg am meisten Sinn macht.

Sub CA aufbauen, GPOs usw entsprechend ändern dass Sub CA Certs ausstellt und die Root das nicht mehr tut?

bestehende Zertifikate sollten ja weiterhin gültig bleiben.

Ich bin für jeden Tipp sehr dankbar und freue mich auf eure Antworten.

toasti

Mir ist gerade folgendes aufgefallen:

Hab den RODC in English installiert, unsere DCs im HQ sind aber Deutsch.

Kann es sein, dass er durcheinander kommt weil er zwingend die englischen Gruppen sucht und mit DHCP-Administratoren nichts anfangen kann?

@PS: Sry für den Post mit 2 versch. Accounts. Das oben drüber ist mein alter mit dem ich mich versehentlich zuvor angemeldet habe.

Hat keiner einen Tipp?

Ich habe wirklich viel recherchiert, aber mir offenbart sich leider nicht wie genau ich vorzugehen habe wenn ich z.B. nur den "Consolidation Root Wizard" benutzen möchte ohne mit FSMT den Prozess fertig zu machen.

Vielen Dank!

Hey, hat wunderbar funktioniert. Hab nen neuen Access Code bekommen und hab mich mit neuem Konto angemeldet.

Hätte nicht gedacht, dass es so reibungslos funktioniert.

Danke nochmal! :D

Vielen Dank für den Tipp, das mache ich heute nach der Arbeit gleich mal! :)

Hallo zusammen,

ich bin ein bißchen am verzweifeln... habe heute meine 70-646er bestanden, bin jetzt MCITP:SA (juhuuu :D) und würde gerne mein Zertifikat abrufen.

Tja, leider hat Microsoft wohl mein Live Konto gelöscht.

Will ich es mit gleicher E-Mail Adresse aber erneut anlegen, so heißt es das geht nicht. Ist mein Konto also nur deaktiviert???

Beim Anmelden sagt er mir immer das Konto gäbe es nicht.

Frage ist jetzt, wie reaktivier ich mein Konto? Hat da jemand nen Tipp von euch?

Meine MCP-ID habe ich natürlich. Komplett neu erstellen und neu verknüpfen?

Man findet einigge Einträge im Netz, nur net dass was ich suche.

Wäre euch für jeden Tipp dankbar!!! :)

Schönen Abend noch,

toasti

Soo, ich habs heute hinter mich gebracht und bestanden :-)

894 Punkte. 3 Wochen intensives vorbereiten haben sich gelohnt.

Puuhh, vorerst nix mehr... :D

Aber jetzt habe ich ein Problem, scheinbar gibt es meine Windows Live ID nicht mehr, wollte mich grad auf der MCP-Site einloggen.

War 365 Tage nicht mehr eingeloggt.

Eine neue ID mit gleichem E-Mail-Konto geht aber auch nicht erstellen, scheinbar ist sie doch noch vorhanden...

Naja, schau mer mal...

danke für die info!

d.h. man muss keine Bausteine in Scripts hin und her schubsen oder Ähnliches? ;-)

bin nur vorhin im Buch drüber gestolpert, da gings z.b. in der Übung um Benutzer per PS anzulegen, was ja Schwerpunktmäßig in der 70-640 dran kam.

Hat mich nur bisl verunsichert, dass es auf einmal in den Übungen zu dem Kapitel "Serververwaltung" dran kam und ich leider gar nicht mehr weiß wie man einen User per PS erstellt :D

Glückwunsch!

Bin Montag in einer Woche dran...

Arbeite mich grad durchs Buch, aufm MOC-Kurs war ich letzte Woche.

Frage:

Kam denn PowerShell dran oder waren es wirklich nur "allgemeine" Designfragen?

Ich glaube ich nehme lieber Variante "Geld ausgeben und Zeit einsparen" :-)

Kann ja eh wunderbar als Werbungskosten bei der nächsten Steuererklärung abgesetzt werden...

Ich hab nach dem 5 Tages Kurs noch 2 Wochen zum Lernen, davon 1 sogar freigenommen um daheim alles in VMs nachzubauen.

Finde ich jetzt auch net wirklich viel, von daher würde ich lieber gerne die Sachen mit dem Buch abdecken und tiefere Sachen, wenn benötigt, im Technet nachlesen.

Werde jetzt auch dieses Buch in Deutsch kaufen und die Prüfung ebenfalls in Deutsch machen. Da fühl ich mich einfach sicherer, auch wenn die englischen Sätze oft knackiger, einfacher sind.

Danke jedenfalls für eure Hilfe!! :)

Langer Text, der eine Situation beschreibt. ZB. Das Win7 und XP verwendet werden. Das der Server 8 GB RAM hat. blablabla ...

Da steht dann in einem Satz, dass der eine Standort keinen abschließbaren Serverraum hat.

 

Und dann die Frage, wie du den DC installierst.

 

Richtige Antwort: RODC

 

Diese Fragen sind nicht schwer, man muss nur richtig lesen.

 

VG Java

OKI, alles klar. Dann hatte ich vielleicht doch schon mal ein Szenario in einer Prüfung :)

MCITP Self-Paced Training Kit (Exam 70-646): Windows Server® 2008 Server Administrator ISBN-10: 073564909X

 

gibt auch auf Deutsch: ISBN-10: 3866459769

 

MOC habe ich besucht, allerdings finde ich die oben genannten Bücher besser als die MOC Unterlagen.

 

VG Java

Bei Terrashop gibts das MSPress-Buch zur 70-646 für rund 20€. Ist auch nur die erste Auflage aber das macht nichts weiter wie ich finde.

Ich habs mir trotz CorePack/EA und fertigem MCITP gekauft >würde es jederzeit wieder tun.

 

Ohne den Newsletter vom Board wäre mir das bestimmt entgangen. :)

Also das Buch von Nicole Laue sollte heute kommen, ist aber auch nur erste Auflage ohne R2.

Ich liebäugle total mit der 1. Version bei Terrashop, bin mir aber unsicher ob es nicht doch vorteilhaft wäre das Buch mit R2 zu kaufen.

Sind denn speziell die R2 Sachen ausführlich erklärt oder nur angeschnitten?

Alles klar, das klingt gut.

Wie oben schon beschrieben hatte ich sowas noch nicht in einer Prüfung, wie läuft so ein Szenario ab?

OK, das klingt ja wenigstens gut ;-)

Mit welchen Büchern hast du gelernt?

Hab mir soeben das Laue gebraucht bei Amazon bestellt, leider noch die 1. Auflage.

Aber um jetzt bis zum Kurs rein zu kommen, ist es denke ich optimal.

Will aber noch mindestens ein weiteres kaufen, weiß nur nicht ob es wieder das MS Press sein soll und wenn ja. in DE oder EN? (Unsicher bis jetzt welche Prüfungssprache)

Hast du nen MOC Kurs besucht?

Guten morgen,

im November werde ich nach einem Jahr Lernpause den nächsten 5-Tageskurs besuchen und mich dieses Mal auf die 70-646 vorbereiten um den MCITP:SA abzuschließen.

GFN wird mein Schulungszentrum sein, da war ich sehr zufrieden letztes Mal.

Hab ein paar Fragen zur Prüfung die ich für 2 Wochen nach dem Kurs buchen werde:

- Welche Sprache für die Prüfung?

Ich weiß, dass darüber schon viel diskutiert wurde. Nach der letzten Prüfung habe ich auch gesagt, die nächste mache ich in Englisch aufgrund der teilweise sehr komischen deutschen Übersetzung.

Jetzt bin ich mir jedoch unsicher ob ich das wirklich machen soll. Stimmt es, dass man ein Wörterbuch zur Hilfestellung bekommt?

Der Kurs wird wie letztes Mal auf Deutsch gehalten, MOC Unterlagen waren aber auf Englisch. Verständnis war bei mir soweit OK.

Wer hat denn die 70-646 die letzte Zeit abgelegt und kann etwas über die deutsche oder englische Version der Prüfung sagen?

- Szenarien?

Davon hatte ich bisher keine in den Prüfungen, wie laufen diese ab? VM mit Server 2008 R2?

Sonstige "ungewöhnliche" Aufgaben in der Prüfung?

- Lernbücher?

Ich hätte jetzt, 3 Wochen vor dem Kurs das MS Press und Laue Buch bestellt um mich schon mal ein bißchen einzulesen und auf den Kurs vorzubereiten.

Die sind natürlich auf deutsch.

Meint ihr das bereitet Probleme, sollte ich die Prüfung auf Englisch machen?

Das letzte mal ebenfalls deutsches MS Press Buch gehabt, aber auch viel im MOC Buch nochmal nachgelesen, das wiederum auf Englisch war...

Hmm, ich bin einfach ein bißchen unsicher im Moment, bin auch niemand der alle paar Monate eine Prüfung ablegt und da viel Erfahrung hat.

Bin daher für jeden Tipp dankbar.

toasti

Jo, hast schon Recht ;)

Aber selbst wenn ich hier rein geschaut hätte, ich wusste bis gestern noch nicht, dass diese Automatik abgeschaltet werden muss da es sonst mit den Einstellungen des Exchange kollidiert.

Man lernt ja nie aus :D

Hab soeben die Lösung gefunden - im Grunde ganz einfach:

Die reinen Kalendereinstellungen sind nicht das Ausschlaggebende, sondern die Optionen in der Ressourcenplanung in den Kalenderoptionen.

Das Konto ist ja nach der konvertierung deaktiviert -> also Konto aktivieren, in Outlook einrichten (nicht zusätzlich) und dann in den Outlook Optionen die Haken bei der Ressourcenplanung entfernen.

Sind diese gesetzt, kollidiert das Ganze mit den neuen Einstellungen auf dem Exchange.

Wieder was dazu gelernt.

Trotzdem danke euch allen für die Hilfe.

Schönen Tag noch :D

Morgen,

hier ist für Standard Stufe 4 eingestellt.

Aber ansonsten habe ich ja keine anderen Möglichkeiten :confused: