Stefan3110

Danke für Eure Hilfe. Ich habe die Einstellungen so gelassen und einen manuellen ARP Eintrag auf dem Switch / Router hinzugefügt.

Danke für Eure Hilfe. Ich habe mir eine Kopie des WebZertifikats in meiner CA erstellte und veröffentlicht. Dieses habe ich dann vom WebFrontends1 aus aufgerufen und konfiguriert (mit dem Hacken bei export private key). Das Zertifikat habe ich exportiert und in den WebFrontends2 importiert. Es funktioniert jetzt sehr gut. Ich könnte mir auch einen Weg über die Gruppenrichtlinien vorstellen. Alle WebFrontend Server in eine AD Gruppe und an alle Mitglieder der AD Gruppe wird das Zertifikat ausgerollt oder geupdatet. Dies würde auch das Hinzufügen neuer Server vereinfachen und die Fehleranfälligkeit verringern. Viele Grüße Stefan

Gib es eine elegantere Lösung als das Zertifikat zu exportieren und wieder importieren?

Leider nicht, da beim Export der private Key immer ausgegraut ist.Wie kann ich den privaten Key mit exportieren? Grüße Stefan

Hallo, ich habe nach dieser Anleitung http://sharepointobservations.wordpress.com/2013/06/04/sharepoint-2013-host-named-site-collections-over-ssl-2/ ein SSL Zertifikat auf einem Frontend erstellt. Es ist auch in der CA sichtbar. Nur wie bekomme ich es jetzt hin das der 2. SharePoint WebFrontend auch das Zertifikat nutzen kann? Wenn ich es exportiere und auf dem 2. WebFrontend importiere dann kann ich im IIS das Zertifikat nicht auswählen. Danke für Eure Hilfe Stefan

Danke für Eure Hilfe Nur an welche IP muss ich das Binding nun genau hängen?

Ja. Nur muss der IIS (in ihn möchte ich das Zertifikat hängen) wissen über welche IP die Anfrage kommt. Damit er die das richtige Zertifikat nutzt. Wenn Anfrage über die NLB Service IP *.100 nimm das Zertifikat von Domain *.A.de Wenn Anfrage über die NLB Service IP *.101 nimm das Zertifikat von Domain *.B.de Was ich jetzt noch nicht verstehe ist ob der IIS auch die NLB Service IP mitbekommt oder nur seine eigene.

Leider hilft mir das noch nicht weiter (oder ich seh den Wald vor lauter Bäumen nicht) Kommt die IP des NLB Service von Microsoft auch so beim IIS an? Oder leitet der NLB Service die Anfrage auf die "private" IP des WebFrontends und der IIS sieht nur diese IP?

Danke Daniel für Deine Antwort und Hilfe. Mir ist folgender Sachverhalt noch nicht ganz klar: - 2 Webfrontends (IP *.*.*.1 ; IP *.*.*.2) auf beiden Frontends ist der NLB Service konfiguriert. - NLB besitzt die virtuele IP *.*.*.100 Welche IP kommt jetzt am IIS an (die *.*.*.100 oder die des jeweiligen Webfrontends)? Wenn ich das Beispiel von oben weiter frühre muss ich am NLB noch die IP *.*.*.101 und *.*.*.102 mit hinzunehmen. Sowie an den beiden IIS der Webfrontends die Binding plus Zertifikat auf die *.*.*.100 , 101 und 102 setzen. Ist dieses Vorgehen so richtig?

Das Szenario ist eine Training, Test und Demo Umgebung. Darum auch die unterschiedlichen Domains. Für die Ausfallsicherheit sind alle Server doppelt aus gelegt und liegen als VM auf 2 HyperV Hosts.

Danke Daniel für Deine Hilfe. In ein SAN Zertifikat kann ich verschiedene DNS Einträge vornehmen und diese dann im IIS veröffentlichen. Ich überlegte mir auch auf dem Loadbalancer unterschiedliche IPs zu konfigurieren. Dann kann ich im IIS der jeweiligen IP ein WildCard Zertifikat einer Domain zu ordnen. Als Loadbalancer nutze ich den NLB Service von Microsoft. Ich frage mich hierbei nur wie ich an den SharePoint Webfrontends die IP Abfragen kann, damit die Anfrage mit dem richtigem Zertifikat beantwortet werden kann.

Danke für Eure Hilfe. Der Preis spielt keine Rolle, da ich das Zertifikat von meiner internen PKI ausstellen lassen möchte. Da ich es in einer Demoumgebung einsetzen möchte, kann ich bei den Clients das Root Zertifikat einspielen. Das Zertifikat soll 3 Domains abbilden *.Domain_one.de *.Domain_two.de *.Domain_three.de

Hallo, ist es möglich ein Zertifikat unterschiedliche Domains einzutragen? Ich habe in meinem SharePoint HostNamedSitecollection. Diese liefern die Seiten aus *.Domain1.de , *.Domain2.de und *.Domain3.de . Wenn ich für alles http nutze ist es kein Problem. Möchte ich aber umsteigen bräuchte ich ein SSL Zertifikat für alle 3 Domains. Alle 3 Domains werden über einen IIS ausgeliefert. Danke für Eure Hilfe Stefan

Leider funktioniert es nicht. Ich habe immer noch das Problem das ich nur den MutiCast Modus nutzen kann.

Hallo, ich habe auf einem Hyper-V Host 2Vms mit dem Microsoft NLB Service verbunden. Wenn ich das NLB Cluster in den Multicast Mode konfiguriere läuft es fast perfekt. Innerhalb desselben Subnetzes kann ich die virtuelle NLB Cluster IP erreichen (anpingen). Möchte ich von außen zugreifen ist die ClusterIP nicht erreichbar. Was kann ich tun damit die ClusterIP auch von außen (außerhalb des Subnetzes) erreichbar ist? Wenn ich das NLB Cluster in den Unicast Modus setze verlieren alle Nodes ihre Netzwerkverbindungen. Ich versuchte auch schon MAC Spoofing einzuschalten aber ohne Erfolg. Host und VMs nutzen Windows Server 2012 R2 aus Betriebssystem. Viele Grüße und vielen Dank für Eure Hilfe Stefan

Danke Dunkelmann für Deine Hilfe. Ich fand bei Amazon das Buch von Brain Komar für Server 2008 R2 aber leider noch sehr teuer.

Hallo, Ich habe ein AD samt DNS Server mein.test.de und eine externe Domain meineDomain.de. Jetzt laufen alle internen WEB URLS in der Domain mein.test.de . Einige URls extern verfügbar machen (über *.meineDomain.de ). Intern möchte ich aber auch gern mit *.meineDomain.de auf die URLs zugreifen können. Kann ich hierfür auf dem AD DNS Server eine 2. Zone erstellen mit meineDomain.de ? Wie würdet ihr vorgehen? Danke für die gute und schnelle Hilfe. Stefan

Hallo, Ich habe ein AD samt DNS Server mein.test.de und eine externe Domain meineDomain.de. Jetzt laufen alle internen WEB URLS in der Domain mein.test.de . Einige URls extern verfügbar machen (über *.meineDomain.de ). Intern möchte ich aber auch gern mit *.meineDomain.de auf die URLs zugreifen können. Kann ich hierfür auf dem AD DNS Server eine 2. Zone erstellen mit meineDomain.de ? Wie würdet ihr vorgehen? Danke für die gute und schnelle Hilfe. Stefan

Ist es möglich mit der Subordinate CA auch Web Zertifikate für eine andere Domain auszustellen? Intern nutze ich lab.test.com und extern meineDomain.de . Gerne möchte ich mit der Subordinate CA die internen Zertifikate für die Server erstellen. Für den Zugriff von außen möchte ich Zertifikate *.meineDomain.de erstellen und den Servern für die URL mitgeben. Ich weiß dass immer noch der rote Balken im Browser angezeigt wird, da das Zertifikat von keiner offiziellen Stelle ausgegeben wird. Aber welches Zertifikats muss ich bei einem externen Client einspielen so dass der Zertifikate mit der URL *. meineDomain.de von meiner internen Subordinate CA vertraut? Danke für die gute und schnelle Hilfe. Lg und ein schönes Wochenende Stefan

Danke

Hallo, ich möchte für das protokollieren alle DNS Einträge einer bestimmten Zone in eine Textdatei überführen. Mit der Textdatei ist es mir einfacher eine Visio Übersicht über das jetzige Netzwerk zu erstellen. Danke für Eure Hilfe Stefan

Ich hatte gestern Abend es noch mal den händischen Weg gegangen über die Konsole und Veröffentlichen. Dies klappte auch ohne Probleme. Darauf kam ich nach dem ich Googel anwarf um zu schauen was 'ertutil -crl' genau macht. Aber bei der Ausführung über Powershell bekam ich immer wieder die oben beschriebe Fehlermeldung. Auch wenn ich alles eingab (ohne Copy and Paste). Ich führte alles als mit dem Enterprise Domain Admin aus. In der Regedit ist auch alles richtig gesetzt.

Leider bekomme ich den Fehler auch wenn ich alles händisch eingebe. Den Befehl für ich mit den Rechten eines AD Administrators aus.

Hallo Dunkelmann, danke für Deine gute Hilfe. Ich arbeitete das Lab heute durch. Es ging auch alles ohne Probleme. Nur wenn ich den Befehl "certutil -crl" bekomme ich immer wieder die Fehlermeldung: CertUtil: -CRL command FAILED: 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER) CertUtil: The parameter is incorrect. Auf der Root CA ging es auch so, Nur kommt jetzt die Fehlermeldung auch auf der SUBCA in diesem Block "To configure the AIA and CDP Settings On APP1, as User1, right-click Windows PowerShell, click Run as Administrator. Click Yes to confirm that you want to run Windows PowerShell as an Administrator. From Windows PowerShell run the following commands: certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl" certutil -setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt" Certutil -setreg CA\CRLPeriodUnits 2 Certutil -setreg CA\CRLPeriod "Weeks" Certutil -setreg CA\CRLDeltaPeriodUnits 1 Certutil -setreg CA\CRLDeltaPeriod "Days" Certutil -setreg CA\CRLOverlapPeriodUnits 12 Certutil -setreg CA\CRLOverlapPeriod "Hours" Certutil -setreg CA\ValidityPeriodUnits 5 Certutil -setreg CA\ValidityPeriod "Years" restart-service certsvc certutil -crl "

Hallo Dunkelmann, ich schaute mir die MS LAB Umgebung an und möchte sie ausprobieren. Was mir noch nicht so ganz klar ist die URL Angabe in der CApolicy,inf in auf der RootCA "URL=http://www.contoso.com/pki/cps.txt" Was hat es mit der URL genau auf sich? Ist es okay wenn sie in der Testumgebung ins Leere zeigt URL=http:/meineDomain/pki/cps.txt?