ZeusDionysos

Hallo zusammen, ich habe momentan ein paar Probleme mit IPv6 und RRAS. Unsere Umgebung bis gestern: Windows 2008er Domäne, Firewall, VPN Server auf 2008 R2 und alles mit IPv4. Da einige unser Kollegen und auch Chefs zu UnityMedia gewechselt sind mussten wir leider zwecks VPN nen DualStack Betrieb einrichten. Also haben ein Kollege und ich gestern die Firewall, die DCs und die Server mit statischen IPv6 Adressen versehen. Die Clients bekommen über DHCPv6 die Adressen und das funktioniert auch wunderbar. Im VPN Server war für IPv4 der RAS-Server und der Router in Allgemein aktiviert. Für IPv4 wird PPTP verwendet. Unter IPv4 ist die Weiterleitung aktiviert und die Vergabe per DHCP. Funktioniert wunderbar. Wir haben dann den IPv6 Server und Router aktiviert. Hier verwenden wir das Protokoll SSTP mit Wildcard-Zertifikat. Im Abschnitt IPv6 ist die v6 Weiterleitung und Standardroutenankündigung aktiviert. Die Präfiszuweisung ist auch aktiv. Allerdings konnten wir dabe folgendes beobachten: Intern wird xx:xx:xx:123a:: verwendet. Gebe ich das bei der Präfixzuweisung an, kommt es zu Problemen mit der IPv6 Zuweisung. Gebe ich jedoch ein anderes Präfix an, z. B. xx:xx:xx:123b:: kommt es da zu keinen Problemen. Unter Allgemein sind die selben Schnittstellen, jeweils mit IPv4 und IPv6. Statische ROuten sind keine vorhanden. Der DHCP-Relay-Agent ist bei beiden aktiviert. Gestern Abend hat nun mein Kollege die Verbindung getestet und bekam folgende Ergebnisse: Über UMTS (IPv4) ist er nach 5-10 Sekunden nach Verbindungsaufbau rausgeflogen. Über DSL (IPv6) scheiterte er schon bei dem Verbindungsaufbau bei dem Status "Computer wird im Netzwerk registriert". In der Ereignisanzeige sind nun folgende Einträge: 1) ID 34110 - RasRoutingProtocols-dhcpv6r: 2) ID 50015 - RasServer: Ich bin momentan ziemlich ratlos wo der Fehler liegen könnte, zumal ich bis auf die Microsoft-Anleitung bzw. Hilfe (u. a. http://technet.microsoft.com/en-us/library/cc773733%28v=ws.10%29.aspx) nichts finde. Hat einer von euch Ideen, Anleitungen oder sonstiges? Gruß Chris

Die Zertifikatinfrastruktur ist bereits vorhanden, die haben Kollegen vor 4 oder 5 Jahren erstellt. Jedoch ist jetzt das Wissen nicht mehr im Unternehmen und ich muss mich nun damit auseinander setzen. Die CA existiert, Computerzertifikate und Benutzerzertifikate werden momentan automatisch verteilt. So weit ich es mitbekommen habe, sind die Zertifikate auf 1 Jahr Lebensdauer begrenzt. Danke für die Idee, das werde ich mit meinen Kollegen besprechen. Ich werde mir erst mal die Links durchlesen und danach mit meinen Kollegen die weitere Vorgehensweise besprechen. Sobald ich etwas neues habe werde ich mich hier erneut melden.

Hallo Daniel und danke für deine Antwort. Die GPO zur automatischen Verteilung habe ich nach Microsofts Beschreibung konfiguriert und die ist aktiv. Was meinst Du mit "im breiten Stil Code Signing Zertifikate ausrollen" und "Signieren zentralisieren"? Das Problem ist, dass einige Kollegen in der Entwicklung mit den Zertifikaten ihre VBA-Makros signieren. Wenn dann ein anderer Kollege das Makro ausführen möchte kommt von Office immer eine Warnung und ich meine es muss sogar die Sicherheitseinstellung dafür bearbeitet werden. Wenn Kollege B dann das von Kollege A signierte Makro bearbeitet hat, kann er es anschließend nicht ausführen, da es wegen dem Zertifikat was nur Kollege A hat zu Problemen kommt. Daher kam die Anforderung aus der Entwicklung ich solle zur Codesignierung intern für jeden ein Zertifikat ausstellen um so die genannte Problematik zu umgehen. Ich muss hinzusagen, Kollege A hat bis jetzt sein Zertifikat selbst erstellt, da er einfach keine Änderungen an den Sicherheitseinstellungen von Office machen wollte. Was spricht gegen die 15 Jahre Laufzeit? Der Vorschlag kam von meiner Vertretung mit der Anmerkung das dann erst einmal Ruhe ist. Aber kann ich das nicht mit einer Laufzeit von z. B. 3 Jahren so einstellen, dass die Zertifikate automatisch erneuert werden? Und was wäre eine gute Laufzeit dafür? Bin für Vorschläge offen, da ich mich bis jetzt nicht wirklich mit Zertifikaten auseinander gesetzt habe. Habe jetzt die Zertifikatvorlage nochmal neu erstellt, unter Anwendung der Empfehlungen von Deinem verlinkten Thread und darin enthaltenen Verweisen. Im großen und ganzen hat sich wenig geändert und die Verteilung hat danach immer noch nicht geklappt. Zum testen habe ich dann die unterstützte Zertifizierungsstelle von 2008 Enterprise auf 2003 Enterprise runtergesetzt und jetzt bin ich so weit, dass der certsrv folgende fehlgeschlagene Anforderung anzeigt: Ich werde jetzt mit der Fehlermeldung weitersuchen, wenn Du oder andere Tipps / Hilfen parat haben immer her damit :) Grüße Christian

Hallo Miteinander, habe eine Frage bzw. ein Problem mit der Zertifikaterstellung und Verteilung zur Codesignatur. Umgebung: 2 Domaincontroller auf Windows Server 2008 Standard und 1 Mailserver auf 2008 R2 Enterprise, auf dem der AD-Zertifikatdienst läuft. Es kommen viele Win7 Clients hinzu, die automatisch ein Zertifikat zur Firmeninternen Codesignierung (u. a. für VBA Makros) ausgestellt bekommen sollen. Die Zertifikate sollen von der Firmen CA signiert sein, sodass die überall intern gültig sind. Ich habe bereits folgenden Thread angeschaut, jedoch hilft der mir nicht weiter: http://www.mcseboard.de/topic/196879-code-signatur-windows-ca-herausgeber-anpassen/ Bis jetzt habe ich die Vorlage Codesignatur als duplikat erstellt und dort gewünschte Einstellungen getätigt: Laufzeit auf 15 Jahre gesetzt und zuerst für mich zum testen die Berechtigung automatisch registrieren hinzugefügt. Jedoch kann ich über die Webschnittstelle certsrv nicht die Zertifikatvorlage auswählen, da die dort nicht angezeigt wird. Nach einem erneuten anmelden an die Domäne ist das Zertifikat immer noch nicht vorhanden. Laut der Zertifizierungsstelle sind auch keine ausstehenden oder fehlgeschlagenen Anforderungen vorhanden, in der Liste der ausgestellten Zertifikate ist auch kein passendes drin. Was habe ich falsch gemacht, sodass das Zertifikat nicht ausgestellt wird? Grüße Christian