Thommymail

Hallo,

ich möchte unsere WLAN von WPA2-Enterprise auf WPA3 umstellen.
Leider steht mir in der GPO unter Win2016 diese Option nicht zur Auswahl.

Wie kann ich das lösen???

Gruß
Thomas

Hallo,

vermutlich geht es um den Transportweg (IOS Gerät - SCEP Server) das dieser AES verschlüsselt ist??

Das ist mir noch nicht ganz klar.

Gruß
Thomas

Hallo,

wir haben eine MDM Software im Einsatz. Die IOS Geräte beziehen Ihre Zertifikate über unsere eigene CA unter Windows 2008R2.

Das hat auch bis IOS 9 funktioniert. Mit IOS 10 hat Apple das ganze etwas verschärft.

Setzen Ihre SCEP-Server noch MD5 (Message-Digest Algorithm 5) als Fingerprint (Hexadecimal String) ein, muss dies auf 3DES (auch als Triple-DES, TDES, oder DESede bezeichnet) oder AES (Advanced Encryption Standard) "aufgerüstet werden.

Beim Ausrollen des des MDM Profil bekommen wir die Meldung

"Die Zertifizierungsinstanz verfügt nicht über die erforderliche Funktionalität".

Im Moment werden die Zertifikate mit SHA-256 ausgestellt.

Wie kann ich den Fingerprint auf AES umstellen?

Gruß
Thomas

Hallo,

gibt es dazu mittlerweile eine Lösung.
Habe eine ähnliche Anforderung!

Gruß
Thomas

Hallo,

wir nutzen Cortado Enterprise Server.  Support war während der Evaluierung Super und nach dem Kauf auch!

Gruß
Thomas

Hallo,

wir haben das im Einsatz. Es lauft sehr zufriedenstellend. Als AccesPoints benutzen wir Lancom. Er Radiusserver (IAS) und die PKI läuft auf einen Windows 2003 Server. Als Token verwenden wir Aladdin eToken Pro USB 64K.

Gruß

T. Dittrich

Hallo,

ich muß ein iPodToch (später auch noch iPhone) in unser Unternehmens WLAN integrieren.

Die Authentifizierung erfolgt in unserem WLAN über RADIUS (IAS Server 2003) mittels EAP-TLS. D.h. Die Computer haben im AD ein entsprechenden Account und die Benutzer ein entsprechendes Token mit Benutzer Zertifikat.

Das ganze funktioniert auch mit normalen Notebooks.

Allerdings bekomme ich den iPOD nicht integriert. Ich habe mittels Configurationstool, ein Benutzer Zertifikat und das Root Zertifikat auf den iPOD geladen. Der Security-Typ ist WPA/WPA2 Enterprise das Protocol TLS.

Allerdings verweigert der IAS den Zugriff mit folgender Meldung:

Benutzer "xxxx@yyy.local" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = yyy\xxxx
NAS-IP-Adresse = 192.168.xx.xx
NAS-Kennung = WLAN_AP_2
Kennung der Anrufstation = 00-0B-6B-xx-xx-xx:4321
Kennung der Empfängerstation = 00-23-32-xx-xx-xx
Clientanzeigename = AAA_AP2
Client-IP-Adresse = 192.168.xx.xx
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows 
Authentifizierungsserver = <unbestimmt> 
Richtlinien-Name = <unbestimmt> 
Authentifizierungstyp = EAP
EAP-Typ = <unbestimmt> 
Code = 48
Ursache = Der Verbindungsversuch stimmt mit keiner RAS-Richtlinie überein. 

Ich werde auch auf dem iPOD nach einen Kennwort für das WLAN gefragt.

Liegt das a fehlendem Computer Account oder wo liegt das Problem?

Gruß

T. Dittrich

–

–

Problem - gelöst. Der Benutzer war leider nicht in der entsprechenden Gruppe!

Jetzt funktioniert es problemlos.

Gruß

Thomas

Hallo,

ich habe einen Windows 2003 Standard Server mit Zertifikatdienst.

Nun möchte ich für einige Benutzer auf ein Aladdin Token (64k) ein SmartCard-Benutzer Zertifikat installieren.

Dafür habe ich einen Benutzer als Registrierungs-Agent festgelegt. Ich habe die Vorlagen SmartCard-Anmeldung, SmartCard-Benutzer und RegistrierungsAgent aktiviert.

Für einen Benutzer habe ich das Registrierungs-Agent Zertifikat angefordert und auch installiert.

Nun ist mein Problem das es beim Anfordern des Zertifikats über den Webserver unter erweitert die Option SmartCard Zertifikat anfordern fehlt.

Der entsprechende SmartCard Client ist auf dem Computer installiert.

Was mache ich falsch?

Gruß

Thomas

Hallo,

wir möchten unserer WLAN mit 802.1x mit EAP-TLS und einem Windows 2003 Standard Server IAS absichern.

Als Accesspoint dient ein Lancom L54ag. Die Authentifizierung soll für den Benutzer mit einem Aladdin Etoken erfolgen.

ALs Client dient ein IntelProset Wireless Client.

Die Authentifizierung funktioniert soweit auch schon. Mein Problem besteht darin das TLS doch eigentlich ein Computer Zertifikat benötigt. Nun habe ich zum Test das Zertifikat auf dem Computer gelöscht und in der Zertifizierungsstelle gesperrt, doch der Client kann sich nachwievor anmelden.

Wenn ich im IAS-Profil die Richtlinie hinzufüge das der Computer-Domain Mitglied sein soll, funktioniert die Anmeldung nicht auch wenn das Zertifikat installiert ist. Allerdings wird immer auf das EToken zugegriffen.

Erwartet der WLan - Client das Computer-Zertifikat auf dem eToken??

Eine erfolgreiche Anmeldung sieht so aus, aber es spielt keine Rolle ob das Zertifikat installiert ist oder nicht.

Benutzer "xxx@xxxx" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = xxx\xxxx
NAS-IP-Adresse = 192.168.xx.xx
NAS-Kennung = WLAN_AP_1
Clientanzeigename = PLT_AP1
Client-IP-Adresse = 192.168.xx.xxx
Kennung der Anruferstation = 00-xx-xx-xx-xx-xx
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 2
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows 
Authentifizierungsserver = <unbestimmt> 
Richtlinienname = Richtlinie für den 802.1X - Zugang
Authentifizierungstyp = EAP
EAP-Typ = Smartcard oder anderes Zertifikat

Was mache ich falsch, bzw. was muß konfiguriert werden das im IAS Profil die Windows-Gruppe Domain-Computer mit berücksichtigt wird.

Am WLAN Access Point ist als WPA - 802.11i-(WPA)-802.1x und als Client EAP-Methode TLS konfigurtiert.

Gruß

Thomas

Hallo,

wir haben einen IBM X225 Server mit integriertem LSI 1030 Raid Controller.

Dieser unterstützt leider nur Raid 0 und 1.

Nun möchten wir zu den vorhandenen 2 Festplatten (RAID 1) noch 4 weitere Platten für's Raid 5 einbauen.

Der Server ist mit einem HOT-Plug Wechselrahmen ausgestattet. Das heißt der Controller, muß auf einem Channel Raid 1 (2Platten) und 5 (3 HDD's) können. Die 4 Festplatte sollte als Hot-Spare dienen.

Ein Ein-Channel Controller reicht für uns aus.

Gibt es eine Empfehlung für einen best. RAID-Controller? Als Betriebssystem setzen wir Windows 2003 ein.

Danke

Thomas

Hallo,

schau mal im DATEV SQL-Manager da kannst du im Expertenmodus einen Prüf- und Sicherungslauf Planen. Das erstelle Backup kannst du dann Problemlos sichern.

mfg

T. Dittrich

Hallo,

ich habe genau das gleiche Problem und wär auch an einer Lösung interessiert.

Arcserve: 11.5

mfg

T. Dittrich

Hallo,

wir haben einen Windows 2003 Standard Server mit Zertifizierungsdienst.

Wir möchten eine SmartCard Anmeldung mit Aladdin Token realisieren.

Leider ist es bei der Standard Version des Windows 2003 Servers nicht möglich das Zertifikat mit privaten Schlüssel zu exportieren. Ohne diesen ist es aber nicht möglich das der Token das Zertifikat zur Verfügung stellt.

Daher meine Idee, das ganze mit openSSL zu realisieren. Das CA Zertifikat könnte ich ja exportieren, so würde dies unter openSSL bzw. XCA zur Verfügung stehen.

Meine Frage, läßt sich dies mit OpenSSL realisieren? Wenn ja, welche Schlüsselverwendung muß das Zertifikat haben und wie können wir das wieder in die Windows Zertifizierungsstelle importieren?

mfg

Thomas

Hallo,

das du raus telefonieren kannst muß nicht bedeuten das du auch angerufen werden kannst.

Nimm dir ein ISDN Telefon (oder einen ISDN Prüfhörer) und konfiguriere dem die gleiche MSN zu wie du Sie an deiner Fritzcard betreiben möchtest.

Zieh die FritzCard ab und schließ das ISDN Telefon an. Dann noch mal prüfen ob ankommende Rufe am ISDN Telefon signalisiert werden.

Ich denke mir das die MSN nicht auf dem S0 Bus geroutet wird.

Was hast du für einen Anschluß, gehst du direkt auf den NTBA oder über eine TK-Anlage?

Interner S0 Bus?

mfg

Thomas

Hallo,

als am HP ProCurve 2626 kann man schon recht viel einstellen.

Einfach mal per Telnet auf dem Gerät einloggen.

Für das Gerät gibt es auch regelmäßig neue Firmware, obwohl ich nicht glaube das das Geschwindigkeitsproblem daran liegt.

Ich denke das es eher am SMB - Signing liegt. Hatte vor einige Zeit auch ein ähnliches Problem da konnte ich durch das deaktivieren der entsprechenden Funktion die Kopierzeit von 15min auf wenige Sekunden reduzieren. Mußt natürlich für Dich entscheiden ob du diese Sicherheit im Netzwerk benötigst.

T. Dittrich

Hallo,

ich möchte unseren Benutzern im Netzwerk den HP LJ2300n per Script installieren.

Hintergrund inst das ich zwei Konfigurationen zur Verfügung stellen möchte. Einmal Druck auf Kopfbogen (Fach 1) und einmal Druck auf Blanko Papier (Fach2).

Auf unserem Server gibt es nun zwei Drucker mit enstprechender Fachzuweisung als Standard. Diese Konfiguration habe ich mit folgendem Script gespeichert:

Rundll32 printui.dll, PrintUIEntry /Ss /n "\\w2kdc\HP LJ2300 Kopfbogen" /a "HPLJ2300Kopf.dat"

Nun möchte ich die Konfiguartion auf den Clients per Script wieder herstellen.

Dies schlägt leider fehl, da der Druckername ungültig sein. Die installation des Drucker funktioniert, nur leider hat er als Fach automatisch stehe.

LOGON-Script:

rundll32 printui.dll,PrintUIEntry /in /n "\\w2kdc\HP LJ2300 Kopfbogen"

rundll32 printui.dll,PrintUIEntry /Sr /n "\\w2kdc\HP LJ2300 Kopfbogen" /a "\\w2kdc\netlogon\HPLJ2300Kopf.dat"

Was mache ich falsch, bzw. wie kann ich die Fächer per LOGON-Script zuweisen?

Thomas

Hallo,

schau dich mal bei Lancom um, die haben Router die Load Balancing mit bist zu vier WAN Verbindungen können. Lancom bietet auch ein Referenz Handbuch zum Download an, da kannst du nochmal nachlesen ob die von dir benötigten Eigenschaften bereitgestellt werden.

mfg

T. Dittrich

Hallo,

wir haben eine Software die beim Programmstart ein Virtuelles CD Laufwerk anlegt.

Mit Hilfe des Programs FileDisk.exe wird ein ISO-Image gemountet.

Das funktioniert auch, solange der Benutzer Mitglied in der Gruppe der Administratoren ist.

Aber wir wollen das das Program als Mitglied der Gruppe Benutzer ausgeführt werden kann.

Da erscheint jedoch immer die Meldung Zugriff verweigert, und das Programm erstellt keine Virtuelle Laufwerke.

Läßt sich das über eine Sicherheitseinstellung bzw. eine Änderung der Registry einstellen, das Mitglider der Benutzerguppe diese Berechtigung haben?

mfg

T. Dittrich

Hallo,

ich habe hier die gleiche konstelation.

Wir haben 5 Server an drei Standorten, an jeden Standort steht ein Lancom Router.

VNC und RDP funktionieren einwandfrei.

Was hast du für einen Lancom Router?

Ist die Firewall eingeschaltet (Windows / Lancom)?

Wenn dein Lancom VPN unterstützt dann nutz doch einfach diese Funktion, um deinen Tunnel noch weiter abzusichern.

Ich würde auch vorschlagen vielleicht mal Testweise dyndns zu nutzen. Es läßt sich im Router ja leicht wieder abschalten.

Erreichst du deinen Router per Ping bzw. was ermittelst du mit Tracert?

mfg

T. Dittrich

Hallo,

ich kann mich GuentherH nur anschließen. Bei neuinstallation den Agent mitinstallieren.

Oder du intallierst Ihn nachträglich. Das Problem liegt meist an der Firewall. Wenn der Agent einmal drauf ist macht er die entsprechenden Ports automatisch auf (zumindest bei XP SP2).

Zum manuellen installieren gehts du in den PP und erstellst ein Agent Packet, dafür gibts auf der Home Seite das Button Agentenpaket herunterladen. Das einfach als Admin auf den Workstations einmal ausführen. Wenn es zu viele Clients sind, kann man den Agent auch per Script ausbringen. Dazu einfach das mal die Hilfe zum Agent verwenden, da gibts nen Schalter für Silent.

Ansonsten funktioniert die Konstelation hervorragen. Ich habe das hier selbst im Einsatz mit drei Filialen.

mfg

Thomas

Hallo,

wenn ich richtig gelesen habe möchtest du dich auch von außerhalb auf deinem TS über einen LC 1611 anmelden. Ich halte es für ein enormes Sicherheitsproblem den Port 3389 zu forwarden. Ich wüde dir empfehlen die VPN Option von deinem LC1611 zu nutzen und das ganze über einen VPN Tunnel abzuwickeln.

mfg

Thomas

Hallo,

ich bin mir noch etwas unschlüssig bei der Erstellung bzw. Erweiterung unserer Domänenstruktur.

Zur Zeit ist ein Windows 2000 Server und ein Windows 2003 Server in unsere Zentrale vorhanden. Beide Server sind DC's und verwalten die Domain A

In unserer Außenstelle steht momentan noch ein ein NT4 Server welche die Domain B verwaltet. Zwischen beiden Domains besteht eine Vertrauensstellung. Rein rechtlich ist es ein Unternehmen.

Nun soll der NT4 Server durch einen Windows 2003 Server abgelöst werden.

An der Domain A sind ca. 28 Clients und in der Domain B ca 17 Cients angeschlossen.

Zwischen den Servern besteht eine VPN Verbindung mit 2MBIT SDSL in der Zentrale und 512 KBIT SDSL in der Außenstelle. Das Freivolumen ist auf 5MBIT begrenzt, bisher ist es für unsere Terminalserveranwendung ausreichend gewesen.

Nun meine Frage, ist es sinnvoll den neuen W2k3 Server mit in die gleiche Domain aufzunehmen? Ich würde dann am Standort einen GC einrichten.

Dabei stellt sich für mich die Frage, wie wirkt es sich auf den Traffic aus?

Kann ich mich in der Filiale anmelden wenn das VPN mal ausfällt?

Oder sollte man weiter mit Trusts arbeiten? Also wieder eine Domain B erstellen?

Gelpant ist es in Zukunft auch einen Exchangeserver in jeder Filiale einzusetzen.

Mit freundlichem Gruß

Thomas

Hallo,

danke für die antworten. Ich werde mich wohl für SCSI entscheiden. Bleibt nur noch die Auswahl IBM oder HP. Diese Entscheidung muß diese Woche fallen.

Als letzte Überlegung, bringt eigentlich eine Kombination etwas? Daten auf SCSI und BS auf SATA. Beides jeweils als RAID 1 mit getrennten Controllern?

mfg

Thomas

Hallo,

ich beabsichtige einen neuen Server anzuschaffen.

Dabei habe ich unterschiedliche Angebote einmal mit SATA und einmamitl SCSI.

Das System soll mit Windows 2003 in einen Raid 1 im Dauerbetrieb laufen.

Kann man da auf SATA Platten zurückgreifen (laut Hersteller für Dauerbetrieb ausgelegt) oder sollte man auf Nummer sicher gehen und auf SCSI setzten?? Ist der Mehrpreis gerechtfertigt?

Mfg

Thomas

Hallo,

danke für deine Antwort. Ich habe mir das ganze gerade mal angeschaut. Ich habe nur noch ein Problem, ich muß mich bei dem Provider authentifizieren.

Greift bei dem Host (alle E-Mails mit nicht ausgewerteten Empfänger ....) die gleiche Authentifizierung wie ich sie bei der ausgehenden Sicherheit definiert habe?

mfg

T. Dittrich