viper990

Gibt es eine Möglichkeit einem normalen TS-Benutzer das Recht spiegeln von der Terminaldienstverwaltung zuzuweisen?

Gruß

Viper990

Hallo zusammen,

hat schon jemand Erfahrung mit dem Session Broker von Windows 2008?

Ich habe zwei Terminalserver 2008 und einen DC 2008 mit installierem SB.

Laut Microsoft Pampflet soll man im DNS gleichnamige Hosteinträge mit dem Farmnamen erstellen und dort alle TS-Server eintragen.

->Bei der Auflösung des Farmnamen bekommt man dann abwechselt die IPs der Server. Soweit so gut...

Wenn nun ein Server abgeschaltet wird, soll die Verbindung nach 30sek zum nächsten Server aufgebaut werden.

Das klappt bei mir jedoch nicht, ich bekomme bei der Verbindungsherstellung meistens eine Fehlermeldung.

Verwende dabei den aktuellen RDP Client.

Kann jemand weiterhelfen?

Gruß

ViPeR

Ja, und das ganze jetzt per Script!

Ordner1 - Rechte übernehmen

Ordner1 - kopieren

Ordner1 - Rechte auf User zurückschreiben

Ordner2 - Rechte übernehmen

Ordner2 - kopieren

Ordner2 - Rechte auf User zurückschreiben

usw...

Hallo Mulle2105HH,

der Weg war nicht ganz der Richtige ;) - die GPO ist soweit bekannt.

Ich suche ebenfalls noch eine Möglichkeit per robocopy eine Verzeichnissynchronisierung hinzubekommen.

Bei dem Verzeichnis handelt es sich um Userdaten mit Ordnerumleitungen für die Eigenen Dateien. Die Userdaten bekomme ich gut weggesichert,

es scheitert aber an den Berechtigungen der Eigenen Dateien.

Es wurde ein Script angesprochen, welches die Beitzrechte der Ordner ändert,

dann kopiert und anschließend den Besitz des Ordners wieder zurück an den User vergibt.

Das wäre natürlich fantastisch :)

Im Ressource Kit gibt es ja das subinacl.

Bin ebenfalls auf Xcacls.vbs gestossen.

Grüße aus Bochum

Die Lösung mit der Übernahme der Besitzrechte hört sich interessant an.

Könnte da jemmand etwas Code posten?

Gruß

ViPeR990

Hallo zusammen,

ich habe auf einem DC mit dcdiag die untenstehende Fehlermeldung bekommen.

Weiter ist kein share auf dem betroffenden Server zu erreichen.

Bei z.B. \\server\profile erscheint ein popup keine berechtigung ...

die Konfigarationsinformationen konnten vom Domänencontroller nicht abgerufen werden.

Folgende Links schon durch:

Windows Server 2003 Active Directory-Betriebshandbuch: Kapitel 3

Yusufs Directory Blog - Dateireplikationsfehler mit der ID 13568

How to rebuild the SYSVOL tree and its content in a domain

D:\>dcdiag
Domain Controller Diagnosis

Performing initial setup:
  Done gathering initial info.

Doing initial required tests

  Testing server: Standardname-des-ersten-Standorts\dell1
     Starting test: Connectivity
        ......................... dell1 passed test Connectivity

Doing primary tests

  Testing server: Standardname-des-ersten-Standorts\dell1
     Starting test: Replications
        ......................... dell1 passed test Replications
     Starting test: NCSecDesc
        ......................... dell1 passed test NCSecDesc
     Starting test: NetLogons
        Unable to connect to the NETLOGON share! (\\dell1\netlogon)
        [dell1] An net use or LsaPolicy operation failed with error 1203, Der a
ngegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen..
        ......................... dell1 failed test NetLogons
     Starting test: Advertising
        ......................... dell1 passed test Advertising
     Starting test: KnowsOfRoleHolders
        ......................... dell1 passed test KnowsOfRoleHolders
     Starting test: RidManager
        ......................... dell1 passed test RidManager
     Starting test: MachineAccount
        ......................... dell1 passed test MachineAccount
     Starting test: Services
        ......................... dell1 passed test Services
     Starting test: ObjectsReplicated
        ......................... dell1 passed test ObjectsReplicated
     Starting test: frssysvol
        ......................... dell1 passed test frssysvol
     Starting test: frsevent
        ......................... dell1 passed test frsevent
     Starting test: kccevent
        ......................... dell1 passed test kccevent
     Starting test: systemlog
        An Error Event occured.  EventID: 0x0000164A
           Time Generated: 01/09/2009   13:26:41
           (Event String could not be retrieved)
        An Error Event occured.  EventID: 0xC0002715
           Time Generated: 01/09/2009   13:26:55
           (Event String could not be retrieved)
        ......................... dell1 failed test systemlog
     Starting test: VerifyReferences
        ......................... dell1 passed test VerifyReferences

Kennt dieses Problem jemand?

gruß

ViPeR990

Ich bin gerade dabei die Datenbanken für eine Anwendung zu lokalisieren

und das ganze auf einen zweiten vorhandenen Server zu packen.

Ich möchte testweise die DB´s die momentan noch auf Access2000 laufen

auf 2003 konvertieren.

Wenn alle Stricke reißen muß ein "alter" Server reaktiviert werden.

Ich habe nur keine Lust den Netware Server wieder ins Netz zu packen.

Die Idee mit dem virtuellen 2000 Server finde ich im übrigen genial!

Das wird dann auch die Lösung -> VMWare3i mit zwei virt. Maschinen:

- W2003

- W2000 für Access

Ich setze den W2000 Server parallel gerade auf.

Wenn das die Lösung ist, ist das ok.

Danke erstmal für die Antworten Leute!!!

Weitere Erkentnisse poste ich natürlich...

Auf der Freigabe am Server können die User löschen.

Ja, die Anwendungen sind zu 100% Eigenentwicklungen.

Ich denke die Tipps in den Links sind auf jeden Fall gut,

ich möchte jedoch in der Anwendung erstmal nichts ändern lassen.

-> Es lief ja schließlich vor der Umstellung mit denselben Clients, Office Versionen,

ServicePacks & MDAC Versionen auch. Das ist, denke ich, ist der springende Punkt!

Es wurde "nur" der Server verändert, dieser muß lediglich Files hosten

und deshalb muß der Fehler auch dort versteckt sein.

Die User öffnen zuerst ein Frontend auf ihren Clients

und besitzen unter NTFS das Recht "ändern".

Es mehrere Access DB´s die von unterschiedlichen Frontends angesprochen werden.

Sprich es ist nicht eine Anwendung mit der alle Arbeiten.

Ich würde den Thread gerne wieder aufgreifen und fragen ob es hierfür schon eine Lösung gibt?

Ich habe bei einem Kunden eine ähnliche Umstellung durchgeführt,

einen alten Netware Server durch einen W2003 Standard ersetzt.

In einem einzigen Share liegen Access Dateien, die vorher schnell

ansprechbar waren und der Zugriff nun ca. 5mal so lange dauert.

Ein Unterschied zu Fränky besteht jedoch:

Greift auf dem Server nur 1 User zu, ist der Zugriff weiterhin schnell.

Sobald jedoch mehrere User (mit 10getestet) darauf zugreifen,

wird es gähnend langsam.

Deshalb denke ich, das das Problem eher in dem Bereich liegt

wieviele gleichzeitige/parallele Verbindungen der Server wohl handeln kann.

Dazu gibt es einen Regeintrag, hier unter Punkt2:

http://http://www.winfaq.de/faq_html/Content/tip1500/onlinefaq.php?h=tip1687.htm

Das Tool unter Punkt1 um die gleichzeitigen Verbindungen hochzusetzen

konnte ich noch nicht ganz ausprobieren, da Windows sofort die Datei

mit dem Original aus dem Cache ersetzt. Werde es nochmal testen.

Seit SP1 hat MS an dem TCP/IP Stack gedreht hat,

um den Server gegen SYN Attacken abzusichern.

Ich weiß nicht genau, ob das auch zutreffend ist:

http://http://support.microsoft.com/?scid=kb%3Ben-us%3B324270&x=13&y=9

Leider brachten die beiden Regeinträge keine Verbesserung ...

Gruß

ViPeR

Hallo zusammen,

kennt jemmand eine Möglichkeit in eine Datei zu drucken,

ohne das eine Frage zum Speicherort oder ähnliches erscheint.

Hintergrund:

Bekomme von extern Druckaufträge zugeschickt über Port 515,

diese sollen automatisch in ein Verzeichnis abgelegt werden.

Danke & Gruß

ViPeR990

Danke für die erfrischende Antwort ;)

Ich denke für die kleine Umgebung habe ich eine

schnelle Lösung gefunden:

Alten Server abschießen...

Auf dem neuen Frontendserver eine neue Farm anlegen

und die alte Content-DB einbinden. Die Frontendserver

werden bis auf wenige Ausnahmen wie eigene Anpassungen eh nur als Routingserver zur DB verwendet.

Alte Config-DB löschen und gut ist.

Grüße

ViPeR990

Hallo zusammen,

ich möchte einen Sharepoint Frontend Server ersetzen.

Jemmand ein paar Tips auf Lager wie man das ganze

am Besten angeht?

Neuen Server in die Farm rein ist ja kein Problem.

Wie zieht jetzt die Zentraladministration und

eine Webanwendung auf den neuen Server?

Grüße

ViPeR990

Hallo zusammen,

gibt es eigentlich schon einen Mobile Client für das CRM 4.0 von Microsoft selbst?

Ich habe bisher nur kostenpflichtige Produkte anderer Hersteller gefunden.

Oder kann man den Mobile Client 3.0 mit CRM 4.0 benutzen?

Gruß

ViPeR990

Hallo Olc,

also das Buch ist von Brian Komar - MS W2003 PKI und Zertifikatsicherheit

Bin wie beschrieben ab Seite 107 vorgegangen.

Zu meiner Planung: Ich möchte eine zweistufige Hierarchie erstellen,

eine eigenständige OfflineCa und zwei untergeordnete UnternehmensCa.

Zur vollständigen Übersicht hier mal das komplette Script:

(Die Zeile mit der CRLPublicationURLs habe ich einmal wie ich oben geschrieben und wie im Buch (+dir) getestet.)

certutil -setreg CA\DSConfigDN CN=Configuration,DC=MyDomain,DC=local

certutil -setreg CA\CRLPeriodUnits 26

certutil -setreg CA\CRLPeriod "Weeks"

certutil -setreg CA\CRLDeltaPeriodUnits 0

certutil -setreg CA\CRLDeltaPeriod "Days"

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

certutil -setreg CA\CaCertPublicationURLs "1:%windir%\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://192.168.0.214/CertData/%%1_%%3%%4.crt"

certutil -setreg CA\AuditFilter 127

certutil -setreg CA\ValidityPeriodUnits 10

certutil -setreg CA\ValidityPeriod "Years"

certutil -setreg CA\CRLOverlapUnits 14

certutil -setreg CA\CRLOverlapPeriod "Days"

net stop certsvc & net start certsvc

Den Punkt mit der Zwischenzertifizierungsstelle habe ich übersprungen

und dann ab Seite 117 mit der ausstellenden Ca weitergemacht.

Die .crl füge ich natürlich von einem DC mit dem DomAdmin ein.

Jetzt bin ich mal gespannt :)

Beste Grüße

ViPeR

Hallo Olc,

vielen Dank für die Antwort, werde es gleich mal probieren.

Habe mitlerweile herausgefunden das

C:\>certutil -dspublish -f RootCA.crl RootCA

die Veröffentlichung erzwingt und es "funktioniert".

Mittlerweile mit dem MS-Support gesprochen, die sind

der Meinung das es ein Planungsfehler ist/sein könnte.

Ich habe in zwei Büchern von MS diese Sch... Anleitung gefunden und war der Meinung auf einem guten Weg zu sein.

Mittlerweile stelle ich das ganze wieder in Frage und bin ein wenig entmutigt. :confused:

Für 60Mann der Aufwand oder lieber doch nur eine Ca..?

Frage:

Ist der Sperrlistenveröffentlichungspunkt im AD von der RootCa gut gewählt oder eher untypisch?

Die Fehlermeldung UnavailableConfigDN? sagt doch nur aus das er keine Verbindung zum Ad hat.

Die Ca ist in ner Arbeitsgruppe. Jage ich jetzt ein Ente?

Gruß

Viper

Hallo zusammen,

habe ne RootCa erstellt und versuche nun die Sperrliste manuell ins AD zu veröffentlichen.

Dabei bekomme ich folgende Fehlermeldung:

######
C:\>certutil -dspublish -f RootCA.crl

ldap:///CN=RootCA,CN=Servername,CN=CDP,CN=Public Key Services,CN=Services,D
C=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistribution
Point?certificateRevocationList

ldap: 0xa: 0000202B: RefErr: DSID-031006E0, data 0, 1 access points
       ref 1: 'unavailableconfigdn'

CertUtil: -dsPublish-Befehl ist fehlgeschlagen: 0x8007202b (WIN32: 8235)
CertUtil: Eine Referenzauswertung wurde vom Server zurückgesendet.
#######

In der LDAP Zeile nach Services müßte nach meinem Verständniss der Domänenpfad auftauchen.
Wenn man sich die Sperrliste anzeigen läßt, steht dasselbe drin.

Ich habe alle Änderungen in ein Nachinstallationsscript (zwecks Doku) geschrieben, der ensprechende Aufruf lautet:

certutil -setreg CA\CRLPublicationURLs "65:%windir%\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=<CATruncatedName><CRLNameSuffix>,<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domänenname,DC=local<CDPObjectClass>\n6:http://192.168.0.214/CertData/%%3%%8%%9.crl"

Sieht hier jemmand nen Fehler oder werden noch andere Infos benötigt?

Für Hilfe wie immmer sehr dankbar

Gruß

ViPeR

Hallo zusammen,

wir wollen für ca. 50 User Zertifikate einsetzen, um u.a. Emails intern zu versschlüsseln, VPN über ISA und OWA abzusichern.

Ich hab schon eine Menge gelesen, u.a das Best Practice (im letzten Thread ist ein Link)

Ich bin mir trotzdem noch unschlüssig ob es in unserem Unternehmen Sinn macht ist eine Ca Hirarchie einzuführen oder ob eine einzelne ent. Ca nicht doch reicht.

Sicherheit hin oder her => die Praxis sieht eh anders aus.

Wie stellt Ihr den bei einer Offline CA die CRT in regelmäßigen Abständen zur Verfügung? Per Hand oder über ein Script?

Wird man das regelmäßig durchführen? Ist das Praktikabel?

Oder ist der Sicherheit nicht genüge getan mit der eh regelmäßig durchgeführten Sicherung der Ca.

Wenn irgendwas nicht stimmt, kann diese doch mit einem Handgriff zurückgesichert werden!

Was mich auch noch entscheidend interessiert:

Kann bei einer offline RootCa & zwei ent. CA´s eine ent. Ca ausfallen,

ohne die Zertifkatsoprüfung zu beeinträchtigen?

Würd gerne mal eure Meinung / Erfahrung hören (lesen).

GRuß

ViPeR

Ich glaube es nach längeren Suchen gefunden zu haben, hier der Link:

Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure

Ist zwar ne Menge Text zu lesen, doch wird alles ziemlich gründlich erklärt. Meintest du diesen Link, oder hast du noch nen anderen? :)

Gruß

ViPeR

Hallo Grizzly,

was mache ich denn wenn mir die UG-Ca wegfliegt?

Heißt das, das alle Smartcards die dann im Umlauf sind unbrauchbar sind

und sich niemand am System mehr anmelden kann?

Wenn man eine Offline CA aufsetzt, dann meistens die Root-CA, dann muss man diese aber auch als solche einrichten.

Welche Parameter meinst du damit genau?

Danke & Gruß

|ViPeR|

Hallo zusammen,

ich stehe vor der Einführung unserer Zertifikatsserver und hätte da nochmal ne Frage:

Vorhanden ist eine Ca-Root und eine untergeordnete Ca (UG-Ca).

Letztere stellt natürlich die Zertifikate aus.

Das signieren und verschlüsseln von Mails funktioniert wunderbar.

Die Root-Ca kann auch abgeschaltet werden, verschl. Mails versenden geht immer noch,

soweit so gut.

Wenn ich den Spieß jetzt jedoch umdrehe und die Root-Ca eingeschaltet

und die UG-Ca abschaltet ist, dann kann ich auch keine Mails mehr verschlüsseln.

Ist bei dieser Konstellation nicht genau dieses gewünscht? Wenn ich später schließlich

Zertifikate für VPN und die Anmeldung einsetze muß das doch dann auch noch

funktionieren...?

Muß ich dabei noch irgendwas beachten?

Gruß

|ViPeR|

Hallo Nef,

hast du schon das Problem mit MS schon lösen können?

Gruß

ViPeR

Wenn ich ehrlich bin weiß ich das gar nicht so 100% :D

Ich arbeite mich gerade in das Thema ein und versuche eine gute Lösung auszuarbeiten...

Das heißt Enterprise RootCa und untergeordnete Enterprise Ca.

Ich hatte eh beides schon ausprobiert und diese Lösung für besser empfunden.

Wichtig ist, dass die rootCA nur Zertifikate für andere CA's ausstellen kann und darf (andere templates löschen!)

Brauche ich bitte noch genauer. Kann ich wo noch was einstellen?

Ich habe die RootCa bis jetzt so eingestellt, das diese nicht automatisch Zertifkate ausstellt, sondern nur manuell.

Wie kann ich denn nu die RootCa abschalten?

Den Knopf zum drücken find ich gerade noch ;)

Danke & Gruß

ViPeR

Trotz vielen suchen und lesen... ich brauche einfach nochmal ein paar Tips

(sehe momentan wieder zuviele Bäume vor mir)

Das Ziel: virt. RootCa offline und eine untergeordnete Ca.

Kann ich eine eigenständige Ca und eine ug Enterprise Ca erstellen?

Ist die Kombinieren so möglich oder sinnvoll?

Wie kann eine eine RootCa offline betreiben ohne das sich die Clients einen heißen suchen?

Gruß

ViPeR

Hallo grizzly,

die Infos habe ich aus dem Buch MCSA/MCSE Self-Paced Training Kit (Exam 70-299): Implementing and Administering Security in a Microsoft Windows Server 2003 Network

by Tony Northrup and Orin Thomas

Microsoft Press © 2004

Die Seite kann ich leider nicht nennen, da ich online auf die Bibliothek von NewHorizons zugreife.

Chapter 7 - Installing, Configuring, and Managing Certification Services

Lesson 1: Public Key Infrastructure Fundamentals

Auszug:

Root CAs

The first step in deploying a PKI is to install a CA, and the first CA you install in your organization must be a root CA. You can create two types of root CAs: enterprise and standalone. In a nutshell, enterprise CAs require Active Directory. Because enterprise CAs rely on Active Directory to store and replicate data, all enterprise CAs must also be domain controllers. Enterprise CAs are only capable of issuing certificates to computers and users in the Active Directory forest. Standalone CAs can be used in an Active Directory environment, but they do not require it.

Da es funktioniert und du Deine Aussage mit meiner Inst. übereinstimmt ist das Thema

für mich durch. Danke

Zu Punkt zwei: Habe die Seite mit dem Opera geöffnet -> geht nicht

Fügen Sie eine Base-64-codierte CMC- oder PKCS #10-Zertifikatanforderung oder eine

Mit dem Internet Explorer gehts...

Gruß

ViPeR