viper990

Gibt es eine Möglichkeit einem normalen TS-Benutzer das Recht spiegeln von der Terminaldienstverwaltung zuzuweisen? Gruß Viper990

Hallo zusammen, hat schon jemand Erfahrung mit dem Session Broker von Windows 2008? Ich habe zwei Terminalserver 2008 und einen DC 2008 mit installierem SB. Laut Microsoft Pampflet soll man im DNS gleichnamige Hosteinträge mit dem Farmnamen erstellen und dort alle TS-Server eintragen. ->Bei der Auflösung des Farmnamen bekommt man dann abwechselt die IPs der Server. Soweit so gut... Wenn nun ein Server abgeschaltet wird, soll die Verbindung nach 30sek zum nächsten Server aufgebaut werden. Das klappt bei mir jedoch nicht, ich bekomme bei der Verbindungsherstellung meistens eine Fehlermeldung. Verwende dabei den aktuellen RDP Client. Kann jemand weiterhelfen? Gruß ViPeR

Ja, und das ganze jetzt per Script! Ordner1 - Rechte übernehmen Ordner1 - kopieren Ordner1 - Rechte auf User zurückschreiben Ordner2 - Rechte übernehmen Ordner2 - kopieren Ordner2 - Rechte auf User zurückschreiben usw...

Hallo Mulle2105HH, der Weg war nicht ganz der Richtige ;) - die GPO ist soweit bekannt. Ich suche ebenfalls noch eine Möglichkeit per robocopy eine Verzeichnissynchronisierung hinzubekommen. Bei dem Verzeichnis handelt es sich um Userdaten mit Ordnerumleitungen für die Eigenen Dateien. Die Userdaten bekomme ich gut weggesichert, es scheitert aber an den Berechtigungen der Eigenen Dateien. Es wurde ein Script angesprochen, welches die Beitzrechte der Ordner ändert, dann kopiert und anschließend den Besitz des Ordners wieder zurück an den User vergibt. Das wäre natürlich fantastisch :) Im Ressource Kit gibt es ja das subinacl. Bin ebenfalls auf Xcacls.vbs gestossen. Grüße aus Bochum

Die Lösung mit der Übernahme der Besitzrechte hört sich interessant an. Könnte da jemmand etwas Code posten? Gruß ViPeR990

Hallo zusammen, ich habe auf einem DC mit dcdiag die untenstehende Fehlermeldung bekommen. Weiter ist kein share auf dem betroffenden Server zu erreichen. Bei z.B. \\server\profile erscheint ein popup keine berechtigung ... die Konfigarationsinformationen konnten vom Domänencontroller nicht abgerufen werden. Folgende Links schon durch: Windows Server 2003 Active Directory-Betriebshandbuch: Kapitel 3 Yusufs Directory Blog - Dateireplikationsfehler mit der ID 13568 How to rebuild the SYSVOL tree and its content in a domain D:\>dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\dell1 Starting test: Connectivity ......................... dell1 passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\dell1 Starting test: Replications ......................... dell1 passed test Replications Starting test: NCSecDesc ......................... dell1 passed test NCSecDesc Starting test: NetLogons Unable to connect to the NETLOGON share! (\\dell1\netlogon) [dell1] An net use or LsaPolicy operation failed with error 1203, Der a ngegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen.. ......................... dell1 failed test NetLogons Starting test: Advertising ......................... dell1 passed test Advertising Starting test: KnowsOfRoleHolders ......................... dell1 passed test KnowsOfRoleHolders Starting test: RidManager ......................... dell1 passed test RidManager Starting test: MachineAccount ......................... dell1 passed test MachineAccount Starting test: Services ......................... dell1 passed test Services Starting test: ObjectsReplicated ......................... dell1 passed test ObjectsReplicated Starting test: frssysvol ......................... dell1 passed test frssysvol Starting test: frsevent ......................... dell1 passed test frsevent Starting test: kccevent ......................... dell1 passed test kccevent Starting test: systemlog An Error Event occured. EventID: 0x0000164A Time Generated: 01/09/2009 13:26:41 (Event String could not be retrieved) An Error Event occured. EventID: 0xC0002715 Time Generated: 01/09/2009 13:26:55 (Event String could not be retrieved) ......................... dell1 failed test systemlog Starting test: VerifyReferences ......................... dell1 passed test VerifyReferences Kennt dieses Problem jemand? gruß ViPeR990

Ich bin gerade dabei die Datenbanken für eine Anwendung zu lokalisieren und das ganze auf einen zweiten vorhandenen Server zu packen. Ich möchte testweise die DB´s die momentan noch auf Access2000 laufen auf 2003 konvertieren. Wenn alle Stricke reißen muß ein "alter" Server reaktiviert werden. Ich habe nur keine Lust den Netware Server wieder ins Netz zu packen. Die Idee mit dem virtuellen 2000 Server finde ich im übrigen genial! Das wird dann auch die Lösung -> VMWare3i mit zwei virt. Maschinen: - W2003 - W2000 für Access Ich setze den W2000 Server parallel gerade auf. Wenn das die Lösung ist, ist das ok. Danke erstmal für die Antworten Leute!!! Weitere Erkentnisse poste ich natürlich...

Auf der Freigabe am Server können die User löschen. Ja, die Anwendungen sind zu 100% Eigenentwicklungen. Ich denke die Tipps in den Links sind auf jeden Fall gut, ich möchte jedoch in der Anwendung erstmal nichts ändern lassen. -> Es lief ja schließlich vor der Umstellung mit denselben Clients, Office Versionen, ServicePacks & MDAC Versionen auch. Das ist, denke ich, ist der springende Punkt! Es wurde "nur" der Server verändert, dieser muß lediglich Files hosten und deshalb muß der Fehler auch dort versteckt sein.

Die User öffnen zuerst ein Frontend auf ihren Clients und besitzen unter NTFS das Recht "ändern". Es mehrere Access DB´s die von unterschiedlichen Frontends angesprochen werden. Sprich es ist nicht eine Anwendung mit der alle Arbeiten.

Ich würde den Thread gerne wieder aufgreifen und fragen ob es hierfür schon eine Lösung gibt? Ich habe bei einem Kunden eine ähnliche Umstellung durchgeführt, einen alten Netware Server durch einen W2003 Standard ersetzt. In einem einzigen Share liegen Access Dateien, die vorher schnell ansprechbar waren und der Zugriff nun ca. 5mal so lange dauert. Ein Unterschied zu Fränky besteht jedoch: Greift auf dem Server nur 1 User zu, ist der Zugriff weiterhin schnell. Sobald jedoch mehrere User (mit 10getestet) darauf zugreifen, wird es gähnend langsam. Deshalb denke ich, das das Problem eher in dem Bereich liegt wieviele gleichzeitige/parallele Verbindungen der Server wohl handeln kann. Dazu gibt es einen Regeintrag, hier unter Punkt2: http://http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1687.htm Das Tool unter Punkt1 um die gleichzeitigen Verbindungen hochzusetzen konnte ich noch nicht ganz ausprobieren, da Windows sofort die Datei mit dem Original aus dem Cache ersetzt. Werde es nochmal testen. Seit SP1 hat MS an dem TCP/IP Stack gedreht hat, um den Server gegen SYN Attacken abzusichern. Ich weiß nicht genau, ob das auch zutreffend ist: http://http://support.microsoft.com/?scid=kb%3Ben-us%3B324270&x=13&y=9 Leider brachten die beiden Regeinträge keine Verbesserung ... Gruß ViPeR

Hallo zusammen, kennt jemmand eine Möglichkeit in eine Datei zu drucken, ohne das eine Frage zum Speicherort oder ähnliches erscheint. Hintergrund: Bekomme von extern Druckaufträge zugeschickt über Port 515, diese sollen automatisch in ein Verzeichnis abgelegt werden. Danke & Gruß ViPeR990

Danke für die erfrischende Antwort ;) Ich denke für die kleine Umgebung habe ich eine schnelle Lösung gefunden: Alten Server abschießen... Auf dem neuen Frontendserver eine neue Farm anlegen und die alte Content-DB einbinden. Die Frontendserver werden bis auf wenige Ausnahmen wie eigene Anpassungen eh nur als Routingserver zur DB verwendet. Alte Config-DB löschen und gut ist. Grüße ViPeR990

Hallo zusammen, ich möchte einen Sharepoint Frontend Server ersetzen. Jemmand ein paar Tips auf Lager wie man das ganze am Besten angeht? Neuen Server in die Farm rein ist ja kein Problem. Wie zieht jetzt die Zentraladministration und eine Webanwendung auf den neuen Server? Grüße ViPeR990

Hallo zusammen, gibt es eigentlich schon einen Mobile Client für das CRM 4.0 von Microsoft selbst? Ich habe bisher nur kostenpflichtige Produkte anderer Hersteller gefunden. Oder kann man den Mobile Client 3.0 mit CRM 4.0 benutzen? Gruß ViPeR990

Hallo Olc, also das Buch ist von Brian Komar - MS W2003 PKI und Zertifikatsicherheit Bin wie beschrieben ab Seite 107 vorgegangen. Zu meiner Planung: Ich möchte eine zweistufige Hierarchie erstellen, eine eigenständige OfflineCa und zwei untergeordnete UnternehmensCa. Zur vollständigen Übersicht hier mal das komplette Script: (Die Zeile mit der CRLPublicationURLs habe ich einmal wie ich oben geschrieben und wie im Buch (+dir) getestet.) certutil -setreg CA\DSConfigDN CN=Configuration,DC=MyDomain,DC=local certutil -setreg CA\CRLPeriodUnits 26 certutil -setreg CA\CRLPeriod "Weeks" certutil -setreg CA\CRLDeltaPeriodUnits 0 certutil -setreg CA\CRLDeltaPeriod "Days" certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl" certutil -setreg CA\CaCertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://192.168.0.214/CertData/%%1_%%3%%4.crt" certutil -setreg CA\AuditFilter 127 certutil -setreg CA\ValidityPeriodUnits 10 certutil -setreg CA\ValidityPeriod "Years" certutil -setreg CA\CRLOverlapUnits 14 certutil -setreg CA\CRLOverlapPeriod "Days" net stop certsvc & net start certsvc Den Punkt mit der Zwischenzertifizierungsstelle habe ich übersprungen und dann ab Seite 117 mit der ausstellenden Ca weitergemacht. Die .crl füge ich natürlich von einem DC mit dem DomAdmin ein. Jetzt bin ich mal gespannt :) Beste Grüße ViPeR

Hallo Olc, vielen Dank für die Antwort, werde es gleich mal probieren. Habe mitlerweile herausgefunden das C:\>certutil -dspublish -f RootCA.crl RootCA die Veröffentlichung erzwingt und es "funktioniert". Mittlerweile mit dem MS-Support gesprochen, die sind der Meinung das es ein Planungsfehler ist/sein könnte. Ich habe in zwei Büchern von MS diese Sch... Anleitung gefunden und war der Meinung auf einem guten Weg zu sein. Mittlerweile stelle ich das ganze wieder in Frage und bin ein wenig entmutigt. :confused: Für 60Mann der Aufwand oder lieber doch nur eine Ca..? Frage: Ist der Sperrlistenveröffentlichungspunkt im AD von der RootCa gut gewählt oder eher untypisch? Die Fehlermeldung UnavailableConfigDN? sagt doch nur aus das er keine Verbindung zum Ad hat. Die Ca ist in ner Arbeitsgruppe. Jage ich jetzt ein Ente? Gruß Viper

Hallo zusammen, habe ne RootCa erstellt und versuche nun die Sperrliste manuell ins AD zu veröffentlichen. Dabei bekomme ich folgende Fehlermeldung: ###### C:\>certutil -dspublish -f RootCA.crl ldap:///CN=RootCA,CN=Servername,CN=CDP,CN=Public Key Services,CN=Services,D C=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistribution Point?certificateRevocationList ldap: 0xa: 0000202B: RefErr: DSID-031006E0, data 0, 1 access points ref 1: 'unavailableconfigdn' CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235) CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet. ####### In der LDAP Zeile nach Services müßte nach meinem Verständniss der Domänenpfad auftauchen. Wenn man sich die Sperrliste anzeigen läßt, steht dasselbe drin. Ich habe alle Änderungen in ein Nachinstallationsscript (zwecks Doku) geschrieben, der ensprechende Aufruf lautet: certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=<CATruncatedName><CRLNameSuffix>,<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domänenname,DC=local<CDPObjectClass>\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl" Sieht hier jemmand nen Fehler oder werden noch andere Infos benötigt? Für Hilfe wie immmer sehr dankbar Gruß ViPeR

Hallo zusammen, wir wollen für ca. 50 User Zertifikate einsetzen, um u.a. Emails intern zu versschlüsseln, VPN über ISA und OWA abzusichern. Ich hab schon eine Menge gelesen, u.a das Best Practice (im letzten Thread ist ein Link) Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht. Sicherheit hin oder her => die Praxis sieht eh anders aus. Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script? Wird man das regelmäßig durchführen? Ist das Praktikabel? Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca. Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden! Was mich auch noch entscheidend interessiert: Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen, ohne die Zertifkatsoprüfung zu beeinträchtigen? Würd gerne mal eure Meinung / Erfahrung hören (lesen). GRuß ViPeR

Ich glaube es nach längeren Suchen gefunden zu haben, hier der Link: Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure Ist zwar ne Menge Text zu lesen, doch wird alles ziemlich gründlich erklärt. Meintest du diesen Link, oder hast du noch nen anderen? :) Gruß ViPeR

Hallo Grizzly, was mache ich denn wenn mir die UG-Ca wegfliegt? Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sind und sich niemand am System mehr anmelden kann? Welche Parameter meinst du damit genau? Danke & Gruß |ViPeR|

Hallo zusammen, ich stehe vor der Einführung unserer Zertifikatsserver und hätte da nochmal ne Frage: Vorhanden ist eine Ca-Root und eine untergeordnete Ca (UG-Ca). Letztere stellt natürlich die Zertifikate aus. Das signieren und verschlüsseln von Mails funktioniert wunderbar. Die Root-Ca kann auch abgeschaltet werden, verschl. Mails versenden geht immer noch, soweit so gut. Wenn ich den Spieß jetzt jedoch umdrehe und die Root-Ca eingeschaltet und die UG-Ca abschaltet ist, dann kann ich auch keine Mails mehr verschlüsseln. Ist bei dieser Konstellation nicht genau dieses gewünscht? Wenn ich später schließlich Zertifikate für VPN und die Anmeldung einsetze muß das doch dann auch noch funktionieren...? Muß ich dabei noch irgendwas beachten? Gruß |ViPeR|

Hallo Nef, hast du schon das Problem mit MS schon lösen können? Gruß ViPeR

Wenn ich ehrlich bin weiß ich das gar nicht so 100% :D Ich arbeite mich gerade in das Thema ein und versuche eine gute Lösung auszuarbeiten... Das heißt Enterprise RootCa und untergeordnete Enterprise Ca. Ich hatte eh beides schon ausprobiert und diese Lösung für besser empfunden. Brauche ich bitte noch genauer. Kann ich wo noch was einstellen? Ich habe die RootCa bis jetzt so eingestellt, das diese nicht automatisch Zertifkate ausstellt, sondern nur manuell. Wie kann ich denn nu die RootCa abschalten? Den Knopf zum drücken find ich gerade noch ;) Danke & Gruß ViPeR

Trotz vielen suchen und lesen... ich brauche einfach nochmal ein paar Tips (sehe momentan wieder zuviele Bäume vor mir) Das Ziel: virt. RootCa offline und eine untergeordnete Ca. Kann ich eine eigenständige Ca und eine ug Enterprise Ca erstellen? Ist die Kombinieren so möglich oder sinnvoll? Wie kann eine eine RootCa offline betreiben ohne das sich die Clients einen heißen suchen? Gruß ViPeR

Hallo grizzly, die Infos habe ich aus dem Buch MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network by Tony Northrup and Orin Thomas Microsoft Press © 2004 Die Seite kann ich leider nicht nennen, da ich online auf die Bibliothek von NewHorizons zugreife. Chapter 7 - Installing, Configuring, and Managing Certification Services Lesson 1: Public Key Infrastructure Fundamentals Auszug: Root CAs The first step in deploying a PKI is to install a CA, and the first CA you install in your organization must be a root CA. You can create two types of root CAs: enterprise and standalone. In a nutshell, enterprise CAs require Active Directory. Because enterprise CAs rely on Active Directory to store and replicate data, all enterprise CAs must also be domain controllers. Enterprise CAs are only capable of issuing certificates to computers and users in the Active Directory forest. Standalone CAs can be used in an Active Directory environment, but they do not require it. Da es funktioniert und du Deine Aussage mit meiner Inst. übereinstimmt ist das Thema für mich durch. Danke Zu Punkt zwei: Habe die Seite mit dem Opera geöffnet -> geht nicht Fügen Sie eine Base-64-codierte CMC- oder PKCS #10-Zertifikatanforderung oder eine Mit dem Internet Explorer gehts... Gruß ViPeR