Philipp_S

Vielen Dank für die schnelle Antwort! Die GF ist auf diese Möglichkeit im System gestoßen und hat sich erkundigt, wieso es nicht verwendet werden kann ;). Somit haben wir uns damit auseinander gesetzt. Gibt es eine Möglichkeit dafür zu sorgen, dass auch beim verschlüsseln von Dateien im Netzwerk (Freigaben) die erzeugten Zertifikate im AD abgelegt werden? Beim Verschlüsseln lokaler Dateien ist dies ja der Fall, aber wenn es bei Netzwerkspeicherorten nicht der Fall ist sehe ich schwarz für die Wiederherstellung im Falle eines Ausfalls/Austausches der Server auf dem verschlüsselte Dateien liegen.

Wir wollen EFS ausprobieren/einführen, weil das Anliegen von der Geschäftsführung kam und gewünscht ist. Hierzu wollen wir auch keine zusätzliche Applikationen verwenden, da dies ja soquasi ein Bordmittel ist. Ordnerumleitung verwenden wir , jedoch kann ich dir leider nicht folgen wie hier der zusammenhang ist? Das Problem ist ja evtl. nicht nur lokale Dateien verschlüsselt werden, sondern auch welche die auf einem Server liegen. Nur ist uns aufgefallen das für jeden Server ein neues Zertifikat für die Benutzer erstellt wird und diese auch nicht im AD abgelegt werden sondern nur im Zertifikatspeicher des Servers.

Ergänzung: Erzeugte Zertifikate für Verschlüsselte Dateien in Netzwerkfreigaben werden nur im lokalen Zertifikatspeicher des jeweiligen Servers auf die Freigabe erstellt wurde abgelegt, jedoch nicht im AD. Kann jmd. erklären, wieso dies nicht funktioniert?

Hallo zusammen, ich melde mich da wir im Moment versuchen die EFS-Verschlüsselung in unserer Domäne bereitzustellen. Jetzt sind einige Fragen aufgekommen, weil es uns doch so nicht ganz richtig vorkommen. Die EFS-Verschlüsselung ist soweit via GPO eingerichtet und ein Wiederherstellungsagent wurde auch erstellt. Wenn wir nun Dateien lokal verschlüsseln wird automatisiert ein Zertifikat hierfür erstellt und im AD abgelegt. verschlüsseln wir nun Dateien auf Netzwerkfreigaben wird für jeden neuen Computer, auf dem die Freigabe erstllt wurde, ein neues Zertifikat erstellt. Somit wären wir bei dem Punkt das jeder Benutzer in der Domäne bald eine Hand voll Zertifikate besitzt und im Falle ein nachträäglich Zertifikatszuordnung wird es nur schwer erkennbar welches Zertifikat nun für welches verschlüsselten Dateien verwendet wurde. Ist das wirklich richtig so? Kann man dies nicht besser handeln? MfG Philipp

Es lag am AD-Konto -,- Im Anmeldename kam ein "-" vor scheinbar kommt das System damit bei der Offline-Anmeldung nicht klar sehr merkwürdig aber gut habe ich nun geändert und es funktioniert. Danke für die Mühe ;) MfG Philipp Sadowski

Die Eigenschaftsreiter am Benutzerkonto mit einem Benutzerkonto das keine Probleme macht.

Weitere Tests ergaben nun, das es tatsächlich an dem AD-Benutzerkonto liegt. Eine Anmeldung mit dem selben Konto an einem anderen Computer, führte zu dem selben Problem - Nach einer Domänenanmeldung Online funktioniert die Domänenanmeldung Offline auch nicht. Was kann nun an diesem AD-Konto das Problem sein? Eine neuerstellung wäre für mich mit viel Aufwand verbunden (ERP-System Benutzer neu einrichten, Mailbox ab- und ankoppeln, etc.) Ich habe die Eigenschaften des Kontos mit anderen verglichen und konnte nichts fragwürdiges finden, was eine Offline-Domänenanmeldung verhindert. Hat jemand eine Idee? MfG Philipp

Hallo zusammen, melde mich weil ich völlig überfragt bin wie das sein kann und ich schon viel Zeit diesbezüglich verschwendet habe. Problem. Ein Domänenbenutzer kann sich an seinem Notebook nicht ohne Netzwerk anmelden an die Domäne. Mit anderen Accounts ist das kein Problem und diese sind sowohl in den Richtlinien als auch Einstellungen identisch. Ich habe bereits versucht das komplette Profil zu löschen, habe sogar Windows 7 neuinstalliert. Da es ein HP Compaq 6730b mit HP Protection Tools ist habe ich mit dem Programm herumexperimentiert und geprüft ob hier etwas Faul ist. (HP Protecttion Tools hat einfluß auf das Bios.) Leider habe ich immernoch keine Lösung gefunden. Ich wollte es mir sparen den AD Account des Users zu löschen, da sonst durch die neue SID einiges zu tun habe. Habt Ihr noch eine vermutung? Habe natürlich mit dem Richtlinienergebnissatz geprüft ob die möglichen Interaktiven Anmelden nicht auf 0 stellen --> Stehen auf 30. Danke für jede Hilfe :-/ Gruß Philipp

Hallo zusammen, seit kurzer Zeit haben wir häufer das Problem, dass unsere bisher gut funktionierende WPAD Konfiguration nicht mehr stabil läuft. Wir verwenden zur Zeit die Datei "WPAD.dat" mit dem Inhalt: function FindProxyForURL(url, host) { url=url.toLowerCase(); // Umwandlung in Kleinschreibung host=host.toLowerCase(); // " " " if (isPlainHostName(host)) // Wenn der Hostname ohne Suffixe eingegeben wird { return "DIRECT"; // dann nicht über den Proxy verbinden } if (dnsDomainIs(host, "child.root.local") || // Wenn URL aus Domänensuffixen besteht z.B. http://xxx.child.root.local dnsDomainIs(host, "root.local")) { return "DIRECT"; // dann nicht über den Proxy verbinden } if (isInNet(host, "127.0.0.0","255.255.252.0")) // Wenn Host sich im Netz 127.0.0.0/22 befindet { return "DIRECT"; // dann nicht über den Proxy verbinden } return "PROXY 192.168.48.1:800; DIRECT"; // andernfalls über den Proxyverbinden wenn der Zugriff erlaubt ist } diese Datei liegt im Standardverzeichnis des Webservers (Win2k3 R2 Server, wwwroot). Der benötigte Host-A Eintrag wurde im DNS eingepflegt und ist auch unter WPAD auflösbar. (Aufruf von http://WPAD/WPAD.dat via Browser bietet die Datei zum download an. die DHCP-Option 252 haben wir weggelassen, da es prima mit dem DNS-Eintrag bis vor kurze Zeit lief. Nun haben wir erhöuft das Problem, das der eine oder andere Benutzer beim Surfen auf einmal eine "Webseite kann nicht angezeigt" meldung bekommt beim Klick auf einen Link. Dies passiert Zufällig und kann zeitlich auch mal durchgehen vorkommen, so dass sich keine Seite mehr öffnen läßt bei so wie es ausssieht, niemanden. Was wir wohl zusätzlich noch Verwenden ist einmal als Proxyserver der IPCOP und eine Dateibeschränkung via IIS-Konsole auf die Datei WPAD.dat (Kein Zugiff, außer das Subnet 192.168.48.0/22). Diese Option war von anfang an aktiv und bisher problemlos. So nun zu den bisherigen Lösungsversuchungen: Neustart IPCOP, Webserver mit WPAD.DAT Sicherung der WPAD.DAT ausgetauscht Dateibeschränkung ausgeschaltet (alle Subnetze dürfen an die Datei) Wir sind zur Zeit am Ende der Ideen. Können uns nur noch vorstellen das es ein Zusammenhang mit einem Windows Update geben kann, da wir nichts an der Konfiguration geändert haben. Verwenden tun wir Windows 7 & Windows XP mit dem Internet Explorer 8 Ich hoffe es hat noch jemand eine Idee was das Problem sein kann.

echt keiner der mir weiterhelfen kann? Braucht Ihr noch mehr Infos? Mein Frage ist ja im Grunde, ob es möglich ist Quell-IP-Adressen in der WPAD.dat zu definieren um z.B. alle aus dem 192.168.2.0 /24 Netz über den Proxy zu schicken und einen anderen Netzbereich nicht. Geht das?

Tach zusammen, habe jetzt alle möglichen Schreibweisen durch und komm nicht weiter. Im Grunde ist im DNS ein WPAD Eintrag vorhanden als CNAME auf unsern IIS-Webserver. Das bisherige Script funktioniert auch das wie folgt ausschaut: function FindProxyForURL(url, host) { url=url.toLowerCase(); host=host.toLowerCase(); if (isPlainHostName(host)) // Wenn URL ohne Domainsuffix z.B. http://hpl13 { return "DIRECT"; // dann nicht über den Proxy verbinden } else if (dnsDomainIs(host, "domain.intra.local") || // Wenn URL aus Domänensuffix besteht z.B. http://hpl13.domain.intra.local dnsDomainIs(host, "intra.local")) { return "DIRECT"; // dann nicht über den Proxy verbinden } else { return "PROXY 192.168.48.1:800"; //Wenn URL keins von beidem, dann nutze den Proxy zum verbinden mit der URL z.B. http://www.google.de } } SO nun wollte ich das Script so erweitern das Clients aus versch. Netzadressen versch. Proxy´s bzw. ohne Proxy eine Verbindung herstellen. Aber so wie das Script wie folgt steht scheint es garnicht zu funktionieren: function FindProxyForURL(url, host) { if (isInNet(myIpAddress(), "192.168.49.0", "255.255.252.0")) { return "PROXY 192.168.48.1:800"; } if (isInNet(myIpAddress(), "10.4.0.0", "255.255.0.0")) { return "PROXY 10.4.0.1:8080"; } if (isInNet(myIpAddress(), "192.168.0.0", "255.255.0.0")) { return "DIRECT"; } return "PROXY 10.2.0.1:8080"; } Weiß jemand rat? mfg Philipp

Problem selbst gelöst: Es lag an einer Richtlinien unter der Benutzerkonfiguration in der Default Domain Policy. Wir hatten folgende Richtlinie aktiviert: "Benutzerkonfiguration > Administrative Vorlagen > Startmenü und Taskleiste > Verknüpfungen und Zugriff auf Windows Update entfernen" war "aktiviert" aber muss auf "Nicht konfiguriert" gestellt werden, damit man auf dem Server 2008 Updates manuell per betätigen des Buttons als Domänen-Admin installieren kann. Vor Server 2008 Zeiten hatte diese Richtlinien noch keinen Einfluß auf Server 2003 und war dafür da, dass die Clients keinen Windows Update Menüeintrag bekommen. mfg Philipp

Hier mal ein Auszug aus der Registry: Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 11.03.2010 - 16:26 Wert 0 Name: ElevateNonAdmins Typ: REG_DWORD Daten: 0x1 Wert 1 Name: AcceptTrustedPublisherCerts Typ: REG_DWORD Daten: 0x1 Wert 2 Name: WUServer Typ: REG_SZ Daten: http://xxxx:xxxx'>http://xxxx:xxxx Wert 3 Name: WUStatusServer Typ: REG_SZ Daten: http://xxxx:xxxx Wert 4 Name: TargetGroupEnabled Typ: REG_DWORD Daten: 0x0 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 11.03.2010 - 16:26 Wert 0 Name: AutoInstallMinorUpdates Typ: REG_DWORD Daten: 0x1 Wert 1 Name: NoAutoRebootWithLoggedOnUsers Typ: REG_DWORD Daten: 0x1 Wert 2 Name: IncludeRecommendedUpdates Typ: REG_DWORD Daten: 0x1 Wert 3 Name: NoAUAsDefaultShutdownOption Typ: REG_DWORD Daten: 0x1 Wert 4 Name: NoAUShutdownOption Typ: REG_DWORD Daten: 0x1 Wert 5 Name: UseWUServer Typ: REG_DWORD Daten: 0x1 Wert 6 Name: DetectionFrequencyEnabled Typ: REG_DWORD Daten: 0x1 Wert 7 Name: DetectionFrequency Typ: REG_DWORD Daten: 0x6 Wert 8 Name: NoAutoUpdate Typ: REG_DWORD Daten: 0x0 Wert 9 Name: AUOptions Typ: REG_DWORD Daten: 0x4 Wert 10 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 11 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0xd Wert 12 Name: RebootRelaunchTimeoutEnabled Typ: REG_DWORD Daten: 0x1 Wert 13 Name: RebootRelaunchTimeout Typ: REG_DWORD Daten: 0x12c Wert 14 Name: RebootWarningTimeoutEnabled Typ: REG_DWORD Daten: 0x1 Wert 15 Name: RebootWarningTimeout Typ: REG_DWORD Daten: 0x1e und hier der Unterordner "AU": Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 11.03.2010 - 16:26 Wert 0 Name: AutoInstallMinorUpdates Typ: REG_DWORD Daten: 0x1 Wert 1 Name: NoAutoRebootWithLoggedOnUsers Typ: REG_DWORD Daten: 0x1 Wert 2 Name: IncludeRecommendedUpdates Typ: REG_DWORD Daten: 0x1 Wert 3 Name: NoAUAsDefaultShutdownOption Typ: REG_DWORD Daten: 0x1 Wert 4 Name: NoAUShutdownOption Typ: REG_DWORD Daten: 0x1 Wert 5 Name: UseWUServer Typ: REG_DWORD Daten: 0x1 Wert 6 Name: DetectionFrequencyEnabled Typ: REG_DWORD Daten: 0x1 Wert 7 Name: DetectionFrequency Typ: REG_DWORD Daten: 0x6 Wert 8 Name: NoAutoUpdate Typ: REG_DWORD Daten: 0x0 Wert 9 Name: AUOptions Typ: REG_DWORD Daten: 0x4 Wert 10 Name: ScheduledInstallDay Typ: REG_DWORD Daten: 0x0 Wert 11 Name: ScheduledInstallTime Typ: REG_DWORD Daten: 0xd Wert 12 Name: RebootRelaunchTimeoutEnabled Typ: REG_DWORD Daten: 0x1 Wert 13 Name: RebootRelaunchTimeout Typ: REG_DWORD Daten: 0x12c Wert 14 Name: RebootWarningTimeoutEnabled Typ: REG_DWORD Daten: 0x1 Wert 15 Name: RebootWarningTimeout Typ: REG_DWORD Daten: 0x1e Falls nich erkennbar, wir nutzen einen WSUS 3.0 SP2 Server auf einem Server 2k3 R2.

Guten Tag Community, wir haben schon seit längerem das Problem, dass auf unseren zwei Windows Server 2008 sich die Windows Updates nicht manuell installieren lassen (als Domänen-Admin angemeldet). Wenn man sich allerdings als lokaler Administrator anmeldet, erscheint die Schaltfläche "Updates jetzt installieren". Unsere beiden Domänencontroller sind beide Server 2003 R2. Was genau haben wir jetzt in den Windows Update Policies übersehen, dass diese Schaltfläche ausblendet und für den Domänenadministrator nicht verfügbar macht? Danke im vorraus für jeden Tipp mfg Philipp