Stibo

Du kannst dir diesen Artikel ansehen, evtl. hilft dir das weiter: ILO Board und HP System Management Homepage mit Zertifikaten einer eigenen CA versorgen » Bents Blog » Von Bent Schrader

Ah, super, danke! Werde ich mir mal zu Gemüte führen.

Hallo zusammen,

vorweg: ich bin in Sachen Zertifikate & Co nicht sonderlich sattelfest, weswegen ich um Verständnis bitte, sollte ich dumme Fragen oder Aussagen machen. ;)

Wir haben hier im LAN unterschiedliche Appliances / Geräte, über die man mittels https auf Weboberflächen zugreifen kann (HP iLO sowie Sophos Web Appliances). Beim Öffnen der Websites (benutzt wird IE 8 / 9) erscheint nun bei allen folgende Warnung:

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

 

Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.

 

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.

 

Klicken Sie hier, um diese Webseite zu schließen.

Laden dieser Website fortsetzen (nicht empfohlen).

Natürlich kommt man auf die Weboberfläche, wenn man das Laden der Seite fortsetzt - allerdings nervt's mich und ich würde es gerne ohne machen.

Wenn ich das Zertifikat installiere (wie hier beschrieben, wobei ich den Speicherort auf "automatisch auswählen" habe) kriege ich zwar die Meldung, dass es erfolgreich installiert wurde, aber nach einem Browserneustart und erneutem Aufrufen der Seite kommt die Warnmeldung nochmal.

Woran könnte das liegen? Bei Firefox klappt das Ganze problemlos. Sollten noch wichtige Infos fehlen, einfach Bescheid geben, dann liefere ich nach! :)

Danke im Voraus!

Hallo,

aktiviere doch mal das Verbose Logging und lass einen Anmeldevorgang durchlaufen. Danach das Log anschauen und gucken, ob Du hier brauchbare Infos findest.

Hallo,

hast Du die Möglichkeit, den Server neuzustarten? Danach solltest Du das Profil mit dem von Dir beschriebenen Weg entfernen können. Ich weiß nicht genau, ob es auch einfacher geht, aber vor dem Problem standen wir auch schon, da hat ein Neustart des Terminalservers geholfen. Natürlich darf sich nach dem Neustart der entsprechende Benutzer nicht anmelden. ;)

[Edit] Bevor Du das aber evtl. machst: was sagt denn das Eventlog, wieso das Profil nicht geladen werden kann? Schau mal ins "Anwendung"/"Application"-Log rein!

Da dieses Verhalten immer noch auftritt, wollte ich das Thema nochmal nach oben bringen. Evtl. hat ja noch jemand eine kluge Idee.

Wir haben testweise mal bei einigen Kollegen das Postfach als zusätzliches Konto eingebunden und den Cache Mode aktiviert, aber doppelte E-Mails wurden trotzdem erstellt.

Also am Virenscanner liegt's nicht, Dupletten werden trotzdem erstellt... seltsame Sache.

Da werf ich doch den AV-Scanner ins Rennen. Ist einer installiert? Wenn ja, kannst Du ihn zum testen vollständig deinstallieren auf den Clients?

Ja, Kaspersky AV ist installiert und ja, wir können es zum Testen deinstallieren.

Ich melde mich, sobald's Resultate gibt. Danke!

Moin,

 

ich arbeite regelmäßig mit verschiedenen PC im Cache-Mode, aber ein solches Verhalten habe ich noch nicht erlebt. Die Mail lag bei diesen Versuchen immer im Ordner, wo sie zuletzt hinverschoben wurde, egal, wieviele Verschiebungen es vorher gab (und natürlich was sie nicht doppelt, warum auch, ist ja immer das gleiche Element gewesen).

Das ist bei uns reproduzierbar, die E-Mail ist dann definitiv doppelt... ich habe auch gedacht, dass ein Objekt mit eindeutiger ID nicht einfach doppelt sein kann, aber so ist es wohl. :confused: :D

Moin,

 

 

Korrekt. Wobei Du im zweiten Fall wählen kannst, ob mit Cache oder ohne.

 

 

Zeig doch den Leuten einfach, wie die Fehlermeldung aussieht, wenn Du bei Ol2007 ein weiteres Exchange-Postfach hinzufügen willst und wie die Meldung bei Ol2010 lautet. ;)

 

Aber wenn Du es unbedingt von MSFT brauchst: Die zehn wichtigsten Gründe, Outlook 2010 zu testen - Outlook - Office.com -> gleich der erste Punkt.

 

BTW: Du bist der bezahlte Fachmann, wenn man Dir nicht glaubt, läuft da irgendwas schief, finde ich.

 

 

Wie vermutet. Aber das Programm ist ja gut geeignet, ein paar Vergleiche zwischen den Versionen anzustellen.

Wir habe jetzt mal in unserer Abteilung intern getestet, ob der Cachemode etwas bringt und sind zu dem Ergebnis gekommen, dass nicht. Ein Kollege und ich haben ein zweites Postfach als Exchangekonto eingerichtet und zwei Testordner angelegt. Dann haben wir ziemlich zeitgleich die Mail verschoben und jeder hat die E-Mail im eigenen Ordner gesehen, die im anderen aber nicht. Nachdem synchronisiert war, war die E-Mail doppelt vorhanden.

Also wird der Cachemode leider nicht weiterhelfen, sondern es ist wirklich die Leitung, die zu dünn ist. Aber dann sind wir hier schon ein Stück weiter.

Ja, ich bin der Fachmann, aber das hat leider relativ wenig zu sagen. Solange es kein Geld spart oder einbringt, ist es erstmal schlecht. ;) Dir auf jeden Fall Danke für die Hinweise!

Hallo Robert,

erstmal Tschuldigung für die sehr verspätete Antwort, aber es gab sehr viel zu tun und ich hatte leider keine Möglichleit, eher zu antworten.

Danke für Deine Hinweise! Verstehe ich das richtig, dass Postfächer, die "unter'm eigenen Postfach" eingebunden werden (Screenshot) nicht im Cached-Mode laufen, aber als extra Exchangekonto (Screenshot) eingebunden schon?

Gibt's da irgendwo was im Technet oder von Microsoft, bei dem steht, dass Outlook 2010 das kann, 2007 aber nicht? Ich würde gerne komplett auf 2010 umsteigen, allerdings kommt man ohne "Beweise" meist nicht weit, wenn's um Entscheidungen geht...

Ich habe jetzt mal ein wenig mit dem Calculator gerechnet und wahrsch. ist die Leitung ein wenig zu dünn, allerdings sollte, wenn alle auf 2010 und mit lokalem Cache arbeiten, das deutlich besser werden, weil wir wie gesagt noch bei dutzenden Mitarbeitern mit 2007 und eingebundenen Postfächern arbeiten.

Alternativ könntest Du doch einen IPScanner verwenden, sofern Du nichts mit Firewall an den Clients blockst.

Hallo zusammen,

wir haben hier einige Probleme und Störungen, die seit dem Umzug der E-Mail-Postfächer auftreten. Kurze Vorgeschichte zum Thema: wir hatten bisher einen Exchange Server 2007 bei uns im Serverraum, die Clients greifen mit Outlook 2007 und Outlook 2010 darauf zu. Jetzt wurde beschlossen, dass die Postfächer ausgelagert werden, zum Mutterkonzern in England.

Der Umzug an sich lief glatt, allerdings haben wir jetzt enorme Schwierigkeiten mit der Performance. So ein ähnliches Thema habe ich hier im November 2011 schon einmal eröffnet, aber leider keine Antwort bekommen und dann das Thema (bis jetzt eben) vergessen.

Jetzt ist es so, dass ich mich gerne informieren will, wie man denn generische Postfächer am besten einbinden kann. Momentan ist es eben noch so, dass wir eine User-Mailbox erstellen, diese dann über die Kontoeinstellungen in die Mailbox des jeweiligen Users hinzufügen und er es dann darüber öffnet.

Weil die Verbindung (geht über MPLS) von unserem Büro nach England nicht die schnellste ist (schwankt zwischen 10 und 15 mbit), haben wir hier noch größere Probleme als im November. E-Mails, die von einem Benutzer aus dem generischen Postfach verschoben werden, brauchen zwischen 7 und 10 Sekunden, bis sie für alle anderen auch verschoben wurden. Deswegen passiert es häufig, dass eine E-Mail doppelt verschoben wird, was zu einem erheblichen Mehraufwand führt.

Daher die prinzipielle Frage: wie sollte man es mit generischen Postfächern am besten handhaben? GuentherH hat ja schon angedeutet, dass dieser Weg nicht das Optimum ist, aber mir ist kein anderer bekannt.

Was würdet Ihr hier empfehlen? Wie ist die bessere Methode?

Danke im Voraus für alle Antworten!

Stibo

Tut mir Leid für die verspätete Antwort, aber ich wollte noch kurz Bescheid geben, dass es jetzt wieder funktioniert. NTDSUTIL wurde gar nicht gebraucht. Ich habe lediglich verwaiste DNS-Einträge gelöscht, die noch auf den heruntergestuften und ausgeschalteten DC verwiesen haben. Danach funktioniert die Anzeige mit Lumax einwandfrei. :)

Eine gute Tat am Tag. ;) Done.

Hallo bcc,

wir benutzen hier KS HostMonitor und sind schon sehr zufrieden mit dem Programm. Du kannst einfache Tests wie z.B. ping, Freigabencheck oder Überwachung von Diensten einbinden, aber auch externe Programme verwenden.

E-Mails kann dieses Tool über einen SMTP-Server ebenfalls verschicken, SMS weiß ich gerade nicht auswendig. Außerdem gibt es eine Weboberfläche dafür.

Evtl. willst Du Dir das ja mal ansehen, uns hat es bisher sehr gute Dienste geleistet. :)

Hallo zusammen,

ein Kunde von uns hat zwei E-Mails geschickt, die meine Kollegen nicht öffnen können. Als Fehlermeldung kommt "Dieses Element kann nicht geöffnet werden. Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden".

Eine kurze Suche brachte mich hierhin. Ich war auch in der Lage, das Zertifikat auszulesen und es mir von Trustcenter runterzuladen und zu installieren. Allerdings geht die E-Mail immer noch nicht auf.

Frage: was vergesse ich hier bzw. was fehlt mir noch? Da ich auf dem Gebiet der Zertifikate, Verschlüsselungen und Co wenig bis gar keine Ahnung habe, würde ich mich freuen, wenn mir hier jemand erklären kann, was zu tun ist. :)

Danke im Voraus!

[Edit] Falsches Unterforum... sorry, verlesen.

hab es selber gelöst ihr bobs... mit euren dummen Kommentaren geht ihr mir auf die Eier

Wäre super, wenn Du noch die Lösung posten könntest, dann hätten alle was davon. Es sei denn natürlich, Du bist zu elitär für den Verein hier.

Wie ist denn die (Netzwerk)konfiguration des Hostsystems? Die Verbindung des Gasts (= Server 2008 Standard) ins Internet muss ja auch zustande kommen.

Hallo muluske,

gibt es im Eventlog irgendwelche Hinweise? Das kommt mir so vor, als würde die Synchronisation zwischen Server/Client nicht richtig funktionieren.

Außerdem: welches OS wird benutzt?

Hallo Stibo,

 

wenn ich mal als Programmierer von Lumax was dazu sagen darf :)

 

Es ist tatsächlich so, das Lumax einen DC "sieht", den du nicht sauber demotet hast. Da das LastLogon eine Auswertung über alle DCs ist und nur dann Sinn macht wenn alle auch erreichbar sind, zeigt das Tool in diesem Fall lieber nichts an als unzuverlässige Anmeldedaten....

 

Beim Metadata-Cleanup mit NTDSUTIL verbindest du dich ürbigens nicht mit dem nicht mehr vorhandenen DC, sondern mit einem der normalen, noch aktiven!

 

Gruß,

Philipp

Klingt auch sehr schlüssig und vernünftig. ;)

Ah, gut zu wissen. :D Dann werde ich das morgen nochmal testen, vielen Dank!

Ich habe das Vorgehen jetzt mal probiert, aber ab dem Schritt, bei dem man sich auf den zu säubernden DC verbinden muss. Dies wird mit folgender Fehlermeldung quittiert:

DsBindWithSpnExW error 0x6d9(There are no more endpoints available from the endpoint mapper.)

Mit Google und Bing habe hierzu leider nichts gefunden, was mich weiterbringt. Ich habe es sowohl auf dem betroffenen DC als auch auf einem anderen probiert, leider ohne Erfolg.

Hallo zusammen,

ich habe eine kleine Frage zum Programm Lumax. Und zwar werden dort bei der Spalte "Last Logon" nur drei Fragezeichen angezeigt. Auf der Homepage des Programms steht dazu:

Last Logon

Dieses ist der Zeitpunkt der letzten Anmeldung in der Domäne. Dafür wird das LDAP Attribut "lastLogon" ausgewertet. Dieses Attribut wird nicht zwischen Domänencontrollern repliziert, Lumax liest deswegen alle Domänencontroller aus und ermittelt dann den jeweiligen echten letzten Anmeldezeitpunkt. Es kann jedoch sein, dass die Anmeldedaten nicht genau ermittelt werden können, z.B. wenn zur Zeit einer der Domänencontroller von LUMAX nicht erreicht werden kann. In diesem Fall wird für alle Accounts nur "???" angezeigt.

Da aber alle relevanten DCs definitiv online sind meine Frage: wie finde ich heraus, wo es hier klemmt? Ich vermute, dass Lumax hier noch einen alten DC abfragt, der allerdings runtergestuft wurde (der Server hält keine Rollen mehr), aber noch an ist. Kann ich hier irgendwie rausfinden, ob es daran liegt?

Danke im Voraus! :)

Wir haben bei uns den Internet Explorer für eine bestimmte Anwendung freigeschaltet (die Website dann als command-line argument mitgegeben) und auf die User begrenzt, die damit arbeiten. Funktioniert tadellos.

Ob der Ansatz gut ist oder nicht, kann ich Dir jetzt so nicht sagen.

Was sagt "ping 10.10.10.16" und was sagt "ping 10.10.10.1 bis ...10"?

Ganz normal:

>ping 10.10.10.1 - 10

Ping wird ausgeführt für 10.10.10.2 mit 32 Bytes Daten:
Antwort von 10.10.10.2: Bytes=32 Zeit<1ms TTL=64
[...]
Antwort von 10.10.10.2: Bytes=32 Zeit<1ms TTL=64

Welche ip ist definiert ?

 

lg

Und welche IP hat die iLO?

 

Bye

Norbert

Es sind 10 Server, die Range geht von 10.10.10.1 bis 10.10.10.10. Als Client-IP habe ich nun 10.10.10.16.