Dunkelmann

Moin,
 
mit robocopy /copyall sollte es möglich sein, die Dateiattribute und ACL mitzunehmen.
https://technet.microsoft.com/de-de/library/cc733145(v=ws.10).aspx
 
PS: Für Migrationen würde ich grundsätzlich robocopy nutzen. Alleine die Protokolle sind Gold wert, wenn mal wieder ein Anwender behauptet, nach der Migration wären alle Dateien verschwunden ;)

Moin und Willkommen ;) ,
 
der Ansatz klingt plausibel. Bei der Root CA solltest Du eine Offline Root einsetzen; Du hast es nicht explizit erwähnt.
 
PKI läuft unter Windows wunderbar, es muss kein Linux sein. Bei Server 2016 wäre ich so kurz nach Release nocht etwas zurückhaltend und würde eher auf 2012 R2 setzen. Eine spätere Migration auf ein neues OS ist i.d.R. kein Hexenwerk.
 
Eine Sub CA in der Domäne und eine Sub CA ohne Domäne ist kein Problem. Hier sollte bedacht werden, dass Zertifikatsvorlagen nur für AD integrierte CAs genutzt werden können und dass die Veröffentlichung der Sperrlisten etwas aufwändiger sein kann.
Es hängt primär von den genauen Anforderungen ab. Eine AD integrierte CA kann auch Zertifikate für Externe (Kunden, Partner, etc.) ausstellen.
 
Der obligatorische Buchtip:
Brian Komar - PKI & Certificate Securiry
Auch wenn es für Server 2008 geschrieben wurde, sind viele Grundlagen zu Design und Technik noch immer anwendbar.

Moin,
 
der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren.
Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Genau. Bei diesem Setup benötigt nur der NPS ein Zertifikat

Moin,
 
auch unter 2008R2 gibt es die Dateityp-Zuordnung.
AFAIR müssen die RemoteApp dafür als msi verteilt werden. Im RemoteApp Manager gibt es dafür irgendwo eine Option ... 2008 R2 ist schon sehr lange her :cool:

Moin,
 
einzelne Domain Controller sichere ich mit Windows Server Backup. Für Kleinigkeiten reicht das vollkommen aus.
 
BMR: Bare Metal Recovery = Wiederherstellung des gesamten Servers
SSR: System State Recovery = Wiederherstellung des Systemstatus (Active Directory, Registry, usw.)
 
Das sind Anwendungen, die über SystemState gesichert wurden. Wenn Du die Spalte erweiterst, kannst Du die einzelnen Anwendungen sehen.
 
In den meisten Fällen klappt das auch; manchmal eben nicht.
 
Genau!
Bevor Du aber Dir unbekannte Befehle absetzt, solltest Du erst mal prüfen, ob der Befehl in Deinem Kontext (Symptom, OS Version, Fehlermeldungen etc.) der richtige ist.
Mit den Befehlen hast Du versucht, Snapshots des Laufwerks F: zu löschen. Das Laufwerk F: verfügt in Deinem Fall aber nicht über Snapshots, sondern ist nur der Speicherplatz für Snapshots anderer Laufwerke.
 
Mit 'vssadmin' und 'diskshadow' sollte man beim Löschen grundsätzlich vorsichtig sein. Für Windows Backups ist 'wbadmin' das bevorzugte Werkzeug.
 
Mit 'wbadmin delete backup -keepversions:3' werden alle Backups bis auf die letzten 3 gelöscht. Bevor Du allerdings wild drauf los löscht, schaue bitte erst mal in das Ereignisprotokoll und prüfe welche Fehlermeldungen im Zusammenhang mit dem Backup auftauchen.

Moin,
 
die capolicy.inf wird zur Laufzeit nicht genutzt. Die Vorgaben werden nur bei der Installation der CA oder bei der Erneuerung des CA Zertifikats angewendet.
 
Die url der legal policy wird als Eigenschaft den ausgestellten Zertifikaten hinzugefügt. Wenn eine Anpassung erforderlich ist, sollten alle von der CA ausgestellten Zertifikate erneuert werden. Wenn es sich um die Root CA handelt, betrifft es auch das selbstsignierte Zertifikat der Root CA.
Ob das Anpassen für eure Organisation wirklich erforderlich ist, oder ob es sich um ein kosmetisches nice to have handelt, kann aus der Ferne nicht beurteil werden.

Moin,
 
eventuell gibt es noch einige verwaiste Snapshots, z.bsp. durch ein abgebrochenes Backup, im System.
Mit 'diskshadow' und 'list shadows all' kannst Du das prüfen.
PS C:\windows\system32> diskshadow Microsoft DiskShadow Version 1.0 Copyright (C) 2013 Microsoft Corporation Auf Computer: LAB-SERVICE01, 05.08.2015 09:11:20 DISKSHADOW> list shadows all Alle Schattenkopien auf dem Computer werden abgefragt... Im System wurden keine Schattenkopien gefunden. DISKSHADOW> Mit 'delete shadows' können verwaiste Schattenkopien gelöscht werden

Dann mach es nochmal mit einem neuen Schlüssel, der alte wurde ja von Dir gesperrt.
Neues Zertifikat mit demselben Schlüssel funktioniert afaik nur wenn das Zertifikat regulär erneuert wird und nicht wenn es gesperrt wird.

Falls Du das RDS Web Access Portal meinst, das benötigt out of the box auch keinen zusätzlichen SPN.
 
Wenn Du die Authentifizierung allerdings von Anonym auf Windows umgestellt hast, benötigst Du für Kerberos Authentifizierung einen SPN. Ansonsten wird per NTLM authentifiziert.
https://support.microsoft.com/en-us/kb/929650
http://blogs.msdn.com/b/chiranth/archive/2014/04/17/setting-up-kerberos-authentication-for-a-website-in-iis.aspx
 
Bei mehreren IIS als RR würde ich für den Anwendungspool einen Domänenbenutzer nutzen und die Kerberos Delegierung für das Konto konfigurieren.

Eine VSS Sicherung eines Volumes sichert nur das Dateisystem des Volumes. Ein Volume ist nur eine logische Einheit auf dem physischen Datentrager, für eine vollständige Wiederherstellungen werden weitere Informationen benötigt (z.Bsp Boot Record und Boot Loader)
Die Sicherung eines Volumes kann nur auf einem funktionsfähigen und laufenden System wiederhergestellt werden und nicht über die WinRE (Windows Recovery Environment) des Bootmediums
 
Für die Wiederherstellung auf einem neuen Blech (=naktes Metall  ;) ) braucht es die Bare-Metal-Recovery Option.

Moin,
 
<CRLNameSuffix> steht für die Nummer des CA Zertifikats bzw. für die Nummer des privaten Schlüssels. Falls das CA Zertifikat mit einem neuen privaten Schlüssel erneuert wird, wird hier der Zähler eingefügt; bspw. '(1)'. Zu Beginn hat das CA Zertifikat die Nummer 0 und der Name Suffix bleibt leer.
 
Eine Delta Sperrliste endet immer mit einem plus; das ist der Parameter/Platzhalter <DeltaCRLAllowd>. Ich habe gerade keine Lust RFCs zu studieren; da wird es sicher geregelt sein.
 
In jedem ausgestellten Zertifikat (außer beim Zertifikat der Root CA) sind die Verteilungspunkte (CDP) enthalten. Die Basissperrlisten enthalten einen Hinweis auf die Verfügbarbeit von Delta Sperrlisten und umgekehrt.

Ich vermute immer noch ein Problem mit den Delta Sperrlisten. Vielleicht gibt es auch einen (Reverse-)Proxy, der noch eine veraltete Version einer Sperrliste im Cache hat und ausliefert.
 
Öffne mal das MMC Snap In 'pkiview.msc' (Unternehmens PKI)
Da findest Du eine Übersicht der CDP. Die url der CDP lassen sich per Rechtsklick kopieren.
 
Am Besten alle url der Basis und Deltasperrlisten in eine Textdatei kopieren und den Abruf per Browser am Remote Client testen. Wenn alles korrekt funktioniert, wird Dir im Browser der Download der crl-Datei angeboten.
 
Es sollte mindestens ein Satz aus Basis- und Deltasperrliste funktionsfähig sein. Die Basissperrliste enthält einen Verweis auf die Delta CRL und die Delta CRL hat eine Referenz zur Basis CRL.
 
Mit 'certutil -dump [pfad und Name der crl]' kannst Du Dir die relevanten Angaben anschauen.
Z.Bsp Basis CRL:
... Diese Aktualisierung: 24.04.2015 09:33 Nächste Aktualisierung: 04.05.2015 21:33 Einträge der Sperrliste: 6 ...     2.5.29.20: Kennzeichen = 0, Länge = 4     Sperrlistennummer         Sperrlistennummer=03 50 1.3.6.1.4.1.311.21.4: Kennzeichen = 0, Länge = f Nächste Sperrlistenveröffentlichung Samstag, 2. Mai 2015 09:33:39 2.5.29.46: Kennzeichen = 0, Länge = 30 Aktuellste Sperrliste [1]Aktuellste Sperrliste Name des Verteilungspunktes: Vollst. Name: URL=http:[URL Delta CRL]+.crl ... In der Delta:
... Diese Aktualisierung: 27.04.2015 09:33 Nächste Aktualisierung: 01.05.2015 09:33 Einträge der Sperrliste: 0 ... 2.5.29.20: Kennzeichen = 0, Länge = 4 Sperrlistennummer Sperrlistennummer=03 53 1.3.6.1.4.1.311.21.4: Kennzeichen = 0, Länge = f Nächste Sperrlistenveröffentlichung Mittwoch, 29. April 2015 09:33:44 2.5.29.27: Kennzeichen = 1(Kritisch), Länge = 4 Deltasperrlistenanzeige Minimale Basissperrlistennummer=03 50 ...

Moin,
 
wenn er Snapshots auf LUN Ebene machen möchte, geht das i.d.R. über die Integrationskomponenten des Storage. Der Hersteller sollte die benötigte Auskunft erteilen können.
Es sei denn der Snapshot ist nicht applikationskonsistent, dann kann man es aber auch gleich lassen.
 
Bei Hyper-V Checkpoints, wird das RAM Abbild einbezogen. Bei dynamischen Arbeitsspeicher wird der aktuell zugewisene Arbeitsspeicher als Abbild in den Snapshot aufgenommen.
https://technet.microsoft.com/en-us/library/dn818483.aspx

Moin,
 
wenn Du wirklich sicher bist, dass Du die Zertifikate löschen möchtest:
http://blogs.technet.com/b/xdot509/archive/2013/05/10/operating-a-windows-pki-removing-expired-certificates-from-the-ca-database.aspx
 
Zur DB Wartung:
http://blogs.technet.com/b/askds/archive/2010/08/31/the-case-of-the-enormous-ca-database.aspx

Moin,
 
um eine einfache Vorlage zu erstellen braucht es nicht unbedingt einen VMM. Es geht auch zu Fuß und ist für kleine Umgebungen durchaus praktikabel.
 
Du kannst eine fertig eingerichtete VM z.Bsp. mit 'sysprep /generalize /oobe /shutdown /unattend:[Antwortdatei]' vorbereiten. Ob eine Antwortdatei überhaupt notwendig ist, hängt vom individuellen Bedarf ab.
Ist die VM heruntergefahren, kann sie über Hyper-V bspw. in ein Share exportiert werden.
Jetzt kann die Vorlage beliebig oft kopiert und mit jeweils neuer ID importiert werden.
 
Der VMM macht im Prinzip auch nichts anderes, außer dass eine generierte Antwortdatei auf einer virtuellen Diskette verwendet wird ... etwas mehr kann der VMM schon, aber das ist in manchen Umgebungen gar nicht notwendig.
 
Eine nicht generalisierte Festplattendatei würde ich nicht per copy & paste hin und her schieben.
Du kannst zwar eine neue VM-Hülle um die Datei bauen. Dabei wird jedoch eine neue VM GUID generiert und das kann bei manchen Anwendungen zu Nebenwirkungen führen. Mit Ex- und Import bist Du in fast allen Situationen auf der sicheren Seite.

Die Server müssen aus der Sicherheitsgruppe entfernt werden. Eventuell nach dem Entfernen die Server inkl. Broker mal neu starten.
Dann kann über den Broker die Web Access Rolle wieder hinzugrfügt werden.