smigi

Alles klar.

Von Extern Zertifikate holen wird schwer bis unmöglich.

Auch ein wildcard certifcate macht keinen sinn.

Wie kann ich diese beiden Punkte vor dem Vorgesetzem sinnvol argumentieren?

So, dass ich ihn überzeugen kann. Leider hat er ein bisschen Ahnung von IT und weiss, dass Zertifikate gut und notwendig sind.

Deswegen stellt er auch solche Vorgaben,

Die versuche mit ihm dann zu besprächen und was nicht geht auch zu erklären.

Danke jetzt schon für eure Tipps

Danke jetzt schon.

===========================================================================================================================================

Andrererseits, wenn ich die Zertifkate auf die Kassenrechner in der Zentralle schon beim Installieren importiere können diese dann nach dem einschalten in den Shops gleich eine gesicherte Verbindung aufbauen.

Ein Wildcard Certifcate soll alle Subdomains der Domain mit SSL-Verschlüsselung versehen. Es lässt sich für alle vorhanden Subdomains einbinden.

Hi Leute.

Natürlich bin ich noch sehr am Anfang, was Zertifikate betrifft.

Sonst würde ich hier nicht um Hilfe bitte.

Bis jetzt läuft alles super.

Wildcard certifcate ist schon da.

Fast alle Anforderungen sind erfüllt.

Was mir fehlt ist die automatische Zertifizierung externer Clients.

Ok.

Super,

Vielen Dank Orangenjunge.

===========================================================================================================================

Hi Board!

Das Buch ist toll.

Tortzdem bräuchte ich bitte noch etwas eurer Hilfe.

Wie kann ich Zertifikate überprüfen und zurückziehen.

Und wie kann ich die Clients ausserhab der Domäne zertifizieren. Ist das überhaupt möglich?

Ach, noch was:

Wie kann ich Zertifikate aus den Vorlagen issuen?

Danke jetzt schon.

Ja, sorry.

Das waren die Vorschläge von Amazon, die ich als seine Bücher gehalten habe.

Danke, das nich lieferbar

Ich habe in diversen Artikeln gelesen, dass das wildcart certifcate für domäne mit subdomains geeignet sei.

Das mit den CRLs weiss ich selber noch nicht.

Auf der externen CA brauche ich diese nicht.

Auf der Internen mit dem issuing certifcate müsste ich ev. für die Domain ein eigenes erstellen?

Dürfte ich bitte noch den Titel von dem Buch erfahren?

Danke

Hallo und gutn Morgen!

@ Tesso/Nils :  Wenn ihr mir den Titel des Buches verraten könntent wäre es super.

Die Anforderungen die dieses Projekt hat, habe ich schon angegeben.

Meine Überlelgungen dazu wären diese:

Eine domäne mit mehreren sub-Domänen:

dev., test, prod, ....   .

Deswegen ein wildcart-zertifikat

Ca. 2 Tsd Kassen in ganz Österreich. Kassen sollen eine gesicherte Verbindung aufbauen und keinen Tunnel über diverse Hardware bis jetzt.

Shops werden in der Zentrale ausgerollt und würdendas Zertifikat schon vorinstalliert bekommen. Dieses würde sich auf einer extra Platine mit extra Schutz befinden.

Aufgestellt und eingeschaltet können sich diese gleich mit der Zentralle verbinden.

Aussenstehende CA aus folgenden Gründen:

wird das Zertifikat veruntreut genügt es die externe CA hoch zu fahren und das alte Zert wieder auszustellen. Somit müsste ich nicht bei den Kassen das Zerifikat "zu Fuss ausrollen".

Externe CA vor Missbrauch schützen ist einfach:
Nachdem das RootCA und das intermediate Zertifkat ausgestellt ist, kann ich diese herunterfahren, vom Netz nehmen und sogar ev. noch wo versperren.

Deswegen keine CRLs. Weil ja die CA nicht mehr da ist.

Ich habe mal eine Testumgebung nach diesem Beispiel aufgebaut:

two-tier-pki-hierarchy
 

Zu Punkt 6 und 7:

Deasaster Recovery:

Tägliches Backup der hier vorkommenden Server auf ein Store in Aussenstelle zu ziehen und im Deasaster-Fall diese vier Server schnell wiederstellen. Damit könnten die Kassen connecten und wieder arbeiten.

Bzw. diese Vier Server auf einem anderen Standort redundant halten.

Das ganze sollte meiner Meinung nach lösbar sein.

Bei dem oben angeführten LAB-Beispiel schmeisst es mich auf bei fehlenden CRLs.

Wie bekomme ich die in der Domäne wieder zum Laufen?

@ Duke:

Damit man alle Subdomains unter einer Hauptdomain abzusichern kann.

@Nils:

Danke für die Tipps.

7. Die Root CA gegen Missbrauch absichern  -  Wird abgeschaltet ( = ganz sicher vom Netz aus )

4. Ebenso Computer die sich nicht in der Domäne befinden - das macht jemand beim ersten verbinden vor ort. Dann sollte es von alleine funktionieren.

2. Die Root CA darf keinerlei CRL Funktionalitäten haben - diese ist ja extern und dann offline. Wird nicht funktkionieren. Aber es muss doch möglich sein, CRLs auf der Internen CA zu erzeugen und abzulegen?

Von Brian Komar gibt es auf Amazon einiges.

Deutsch wäre mir lieber.

Könntst Du da etwas empfehlen?

Danke.

Niemand eine Ahnung???

Habe das Thema zu Windows Server verschoben.

Hallo Board!

Ich versuche gerade eine two tier CA aufzusetzen.

Es sind folgende anforderungen gestellt:

    Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.
    Die Root CA darf keinerlei CRL Funktionalitäten haben.
    Computer und Benutzer der Domäne sollen automatisch zertifiziert werden.
    Ebenso Computer die sich nicht in der Domäne befinden.
    Der Webserver benötigt ein Wildcard Zertifikat.
    Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.
    Die Root CA gegen Missbrauch absichern.

Tow tier funkt schon so weit:

RootCA hat keinerlei CRL Funktionalitäten.

Ich habe ein Zertikat das der Selbständigen CA vertraut, welche ausserhalb der Doäne steht.

Ich habe ein rootCA.

Computer und Benutzer in der Domäne bekommen automatisch Zertikate ( GPO )

Wildcard klappt nicht, weil : The rvocation function was unable to check revocation for the certificate. 0x80092012 ( -2146885614 CRYPT_E_NO_REVOCATION_CHECK ):

Bei punkten 1,4, 5, stehe ich voll an.

Punkt 6 habe ich mir noch nicht genau angesehen. Mache ich zwischendurch.

1,4,5 sind wichtiger.

Wie kann ich diese erledigen.

Bitte euch um Hilfe.

Meine Internetsuche ist ausgeschöpft.

Vielen Dank im Voraus.

Hallo Board!

Ich versuche gerade eine two tier CA aufzusetzen.

Es sind folgende anforderungen gestellt:

1. Das überprüfen und zurückziehen von Zertifikaten muss funktionieren.
2. Die Root CA darf keinerlei CRL Funktionalitäten haben.
3. Computer und Benutzer der Domäne sollen automatisch zertifiziert werden.
4. Ebenso Computer die sich nicht in der Domäne befinden.
5. Der Webserver benötigt ein Wildcard Zertifikat.
6. Es wird ein Backup benötigt um im Desaster Fall die Widerherstellung und damit den Betrieb sicherzustellen.
7. Die Root CA gegen Missbrauch absichern.

Tow tier funkt schon so weit:

RootCA hat keinerlei CRL Funktionalitäten.

Ich habe ein Zertikat das der Selbständigen CA vertraut, welche ausserhalb der Doäne steht.

Ich habe ein rootCA.

Computer und Benutzer in der Domäne bekommen automatisch Zertikate ( GPO )

Wildcard klappt nicht, weil : The rvocation function was unable to check revocation for the certificate. 0x80092012 ( -2146885614 CRYPT_E_NO_REVOCATION_CHECK ):

Bei punkten 1,4, 5, stehe ich voll an.

Punkt 6 habe ich mir noch nicht genau angesehen. Mache ich zwischendurch.

1,4,5 sind wichtiger.

Wie kann ich diese erledigen.

Bitte euch um Hilfe.

Meine Internetsuche ist ausgeschöpft.

Vielen Dank im Voraus.

Danke.

Ja, Excel und filtern ist feine Sache.

Aber ich dachte es ginge schon bei der Abfrage.

Caio

Hi Leute!

Habe folgendes zusammengesucht:

Danke. Das mit RAM ist keine Problem.

Allerdings ist die Gruppe in einer anderen Domäne.

Ich denke, zuerst müsste ich in die andere Domäne wechselen?

Ich befinde mich gerade in dev.test.local muss aber die user aus test.local auslesen.

Wenn ich dann die Gruppen-zugehörigkeit der Benutzer in einer CSV habe, könnte ich filtern. Oder?

@ Nils!

Nach:

$Members = (Get-ADGroup 'Meine Gruppe' -Properties member).member

bleibt die PS auf ">>" stehen.

Dauert das auslesen so lange?

Oder fehlt da noch etwas?

Wenn ich nach "member" filtern kann, kann ich nicht nach "no member" filetern?

Hallo liebes Forum!

Ich hätte da eine Frage.

Wie kann ich in PowerShell alle Benutzer einer Domain auslesen die sich nicht in einer Gruppe befinden.

Also alle Mitarbeiter ohne eine bestimmte gruppe.

Danke jetzt schon.

Uff, lange gesucht und gefunden.

Es gibt eine Terminalserve-Policy die verschiedenes auf den Terminalservern regelt.

Auch die Softwareeinschränkung auf Computerebene.

Es steht aber im Gruppenrichtlinienergebniss Alle Benutzer außer lokalen Administratoren.

Der Domänenadministrator ist aber in der Gruppe der Administratoren.

Trotzdem darf er nicht installieren.

Hallo,

Prblem gelöst.

Und was war es.

Werden jetzt viele fragen.

Nun,

es war der Loopbackverarbeitungsmodus auf einer druckerregelnden Policy.

Die nichts mit Softwareinstallationen zu tun hat.

:cool: :( :)

Hallo liebes Board.

Terminalserver 2008R2 und Windows7embeded Clients + ein paar Winsows7 Laptops.

Weil einige User am Terminalserver Dropbox benutzten, haben wir uns entschlossen dies über Policy zu verhindern.

Es hat dann über Benutzer -> Windows-Einstellungen -> Sicherheitseinstellungen -> Richtlinien für Softwareeinschränkung -> Zusätzliche Regeln

nach auffinden der Dropbox.exe geklappt.

Allerdings, wenn der Administrator jetzt etwas installieren will kommt vom Windows Installer:

" Der Systemadministrator hat Richtlinien erlassen, um diese Installation zu Verhindern. "

Wenn ich RSOP.msc ausführe, finde ich nichts was den Administrator einschränken würde.

Bin leider am Ende mit meinem Wissen darum bitte ich euch um

HILFE

Vielen Dank im Voraus.

Hallo Leute.

Muss dieses Thema wieder aufgreifen, weil es wieder interessant wird.

Der Admin ist auf den Terminalservern eingschränkt.

Im RSOP habe ich Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung gar nicht.

Wenn ich aber unter Gruppenrichtlinienergebnisse den Admin auf dem TS checke, greiffen auf den sehr vielle Policyx.

Auch die Default Domain Policy.

Wie bekomme ich den Admin da überall raus.

Bitte helft mir, mir fällt nichts mehr ein.

Danke im Voraus.

Hallo liebes Board.

Folgende Konstellation:

Windows 7 Embeded Thinclients

Terminalserver R2 StandardE

EXCH 2010

Mailstore

Nun das Problem:

Alle Mails werden im Mailstore archiviert, damit Benutzer keine PST-Files anlegen die unter Umständen defekt werden.

Mailstore archiviert alle Mails, die älter sind als 14 Tage.

Benutzer löschen selbst ältere Mails, damit das Postfach nicht voll wird.

Manche wollen eine Regel im Outlook eingerichtet haben, die das automatisch macht.

Das alles klappt wurderbar.

Nur bei einer Dame werden mit den älteren Mails auch Termine und Notizen gemacht.

Regel ist gleich wie be anderen.

Leider finde ich keinen Anhaltspunkt, warum das gerade nur bei der einen ist.

Vielleicht habt ihr eine Idee.

Vielen Dank jetzt schon.

Bitte, gerne.

Sorry, stehe auf der Leitung.

Im DNS auf dem DC.

Nun, der vergessenen Eintrag zeigte auf den DNS-Server unseres alten Internet-Providers.

Kaum geänder auf neuer Provider-DNS IP ging plötzlich das Druckern wieder.

Und das Blinken hörte auf.

Vllt war das auch ein blöder Zufall, aber seit dem Moment war der Fehler weg.

Ja, jetzt ist es wieder gut.

Aber der Grund!

Ein DNS Eintrag verweirrt nur die Drucker, sonst nichts? :shock:

Ich kann es nicht verstehen. :(

LEUTE!!!!

TRARARAAA!!!

Problem gelöst.

Ihr werdet es nicht glauben.

Es war ein DNS Problem.

Wirklich.

Wir haben vor einer Woche neue Internetleitung bekommen und bei der Umstellung einen DNS-Eintrag übersehen.

Diesen jetzt korrigiert und alles funkt.

Danke eucht für eure tolle unterstützung.

Nein, da ist ikein Switch POE.

Allerdings haben wir inige IP-Telefone, die POE benötigen.

Meinst, die stören nur die Drucker, den Rest nicht?