Reingucker

Es erscheint mir aber als am wahrscheinlichsten denn es gehen ja die Webseiten google und ms. Wenn es irgendwas mit DNS wäre würde ja gar nichts gehen oder es wäre falscher DNS-Server/Hosts-Datei. Am Routing kann es auch nicht liegen weil dann würde gar nichts gehen - außer es wäre eine ACL oder eine Routingregel da die alles ins Nirvana, loopback schicken würde bis auf google und ms - eher unwahrscheinlich. Die andere Möglichkeit wäre ein Proxyfilter - auch eher unwahrscheinlich. Da klingt ipv6 noch am wahrscheinlichsten. Propier doch mal ob man vom DC aus auf http://www.six.heise.de/ zugreifen kann oder eine von diesen Seiten hier http://www.ipv6forum.com/ipv6_enabled/approval_list.php

Hmm, mir kommt da gerade eine Idee. Google und MS gehen ja auch mit IP6. Vielleicht verbinden sich deine VMs mit IP6 und das LTE kann das und der Mikrotek entsprechend auch. Die Clients haben IP6 auch und finden mit der Linklocal auch die VM-Server. Lade dir doch mal den Wireshark runter und sniffe mal die Pakete die am DC ankommen oder weggehen. 

Aha, die Telekom schaltet IPv6 auf LTE auf. Rollout ist gerade. Ist dann ein sogenannter Dualstack. Der Mikrotik hat den Dualstack auch (wie eigentlich alle neueren Router). Deswegen kommen die Clients mit IP4 auch noch durch. Und in deinen VMs wird irgendwie das IPv6 bevorzugt bzw das IP4 nicht angewendet da es IPv6 gibt.

Und die Clients sind in einem eigenen Subnet und geroutet zum und vom ESXi wird über den Mikrotik?

Also für die Clients funktioniert alles, nur für den DC selbst ist es gestört?

Was steht denn in der NIC vom DC für ein DNS drin?

Oder in der hosts Datei :D

Ist / kann der Router DNS?

 

Können nicht alle, z.B. von Cisco nicht.

 

Trage da mal die vom Provider zur Verfügung gestellten DNS ein, oder einfach mal 8.8.8.8 testen (Google)

 

;)

Doch, cisco kann DNS, mindestens aber Anfragen weiter leiten

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dns/configuration/15-mt/dns-15-mt-book/dns-config-dns.html

Für mich hört sich das so an als wäre da mal ein zweiter DC im AD gewesen bzw. es waren 2 und der 1te mit dem fertigen DNS ist weg und der 2te mit noch nicht repliziertem DNS findet den 1ten und seinen DNS nicht. Und das AD müsste ja dann auch noch gesperrt sein wenn zwar ein Replikationspartner drin steht aber von dem noch nie eine Replikation gemacht wurde. War das schon immer so?

Ah, lesen bildet. Es ging vorher.

Update:

Es ist irgendwas mit den 2012R2-Eval-Versionen warum das Anzeigen des Menüs in Deutsch nicht geht, also die "locale" nicht übernommen wird. Ich hab die Client-VM in ein 2016er Netz mit exakt den gleichen WDS ect. Einstellungen geschoben und sie dort pxe starten lassen und siehe da

Was mir an Unterschied aufgefallen ist: Die MUI-Datei im Ordner de-DE auf dem 2012R2-Eval ist 26 kb und auf dem 2016er ist sie 35 kb ^^

Ich werde mal die MUI vom 2016er rüber auf den 2012r2-Eval schieben und dann schauen obs dann.

Nö, geht auf dem 2012R2-Eval auch mit der anderen MUI nicht. Aber Grundsätzlich weiß ich jetzt wie es geht und setze es auf gelöst. Ich hab hier noch ne 2012R2 Standard mit Lizenz und werde den Eval-WDS platt machen und mal mit dem Lizenz-2012R2 nochmal aufsetzen.

Ja, so habe ich mir das auch gedacht und schon probiert. Aber da kommt dann der besagte Fehler :( Oder liegt es an x64?

PS C:\Users\administrator.AS> bcdedit /store e:\RemoteInstall\Boot\x64\default.bcd /set {bootmgr} locale de-DE
Der angegebene set-Befehl ist nicht gültig.
Führen Sie "bcdedit /?" aus, um die Befehlszeilenunterstützung aufzurufen.
Falscher Parameter.
PS C:\Users\administrator.AS>

Update:

Das mit dem x64 hab ich auch mal überlegt und mir gedacht, daß vielleicht der Textmodus gar nicht mehr bearbeitbar ist sondern dann nur noch der GUI-Modus. Hab dann probiert den GUI-Modus einzuschalten (sollte aussehen wie im Reparaturmodus - hellblauer Hintergrund und so, Kacheln ect.), aber

PS C:\Users\administrator.AS> bcdedit /store e:\RemoteInstall\Boot\x64\default.bcd /set {bootmgr} BOOTUXDISABLED FALSE
Der angegebene set-Befehl ist nicht gültig.
Führen Sie "bcdedit /?" aus, um die Befehlszeilenunterstützung aufzurufen.
Falscher Parameter.
PS C:\Users\administrator.AS>

Noch mehr Update:

Da es ja uefi-default ist, da vermute ich nun daß der default.bcd unter boot\x64uefi genommen wird, und der sieht so aus

PS C:\Users\administrator.AS> bcdedit /enum all /store e:\RemoteInstall\Boot\x64uefi\default.bcd

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
path                    \Boot\x64\bootmgfw.efi
fontpath                \boot\fonts
inherit                 {dbgsettings}
bootems                 Yes
timeout                 30

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

Geräteoptionen
--------------
Bezeichner              {68d9e51c-a129-4ee1-9725-2ab00a957daf}
ramdisksdidevice        boot
ramdisksdipath          \Boot\Boot.SDI
ramdisktftpblocksize    1456
ramdisktftpwindowsize   4
ramdisktftpvarwindow    Yes

nur x64 ist ja legacy. Ganz interessant ist der path-Eintrag "path \Boot\x64\bootmgfw.efi", allerdings kann der Rechner nicht mit diesem bootmgfw.efi starten. Dafür steht da im DHCP ja die wdsmgfw.efi als Startdatei welche funktioniert. Normal sollte man gar keine Startdatei im DHCP brauchen wenn in der plattformspezifischen default.bcd der entsprechende Path zu einer funktionierenden Startdatei drin steht.

Aber auch diese default.bcd kann ich nicht ändern. Ich komm einfach nicht weiter wegen diesem angeblich falschen /set Schalter im bcdedit -.-

OOOHHHH MAANNNN! Es liegt an der Powershell! Da fällt dir doch nichts mehr ein! Umgeschaltet auf cmd und

C:\Users\administrator.AS>bcdedit /store e:\remoteinstall\boot\x64uefi\default.bcd /set {bootmgr} path boot\x64\wdsmgfw.efi
Der Vorgang wurde erfolgreich beendet.

Och jo.

Zu früh gefreut :( Jetzt kann ich zwar ohne eingetragene Stratdatei im DHCP (option 67) in UEFI starten, aber es ist immer noch englisch. Na, zumindest habe ich das System der default.bcd verstanden :) Jetzt noch die mui. Ich bin zäher!

Update

So sieht die default.bcd in x64uefi jetzt aus

C:\Users\administrator.AS>bcdedit /enum all /store e:\remoteinstall\boot\x64uefi\default.bcd

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
path                    boot\x64\wdsmgfw.efi
locale                  de-DE
fontpath                \boot\fonts
inherit                 {dbgsettings}
bootems                 Yes
timeout                 15

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

Geräteoptionen
--------------
Bezeichner              {68d9e51c-a129-4ee1-9725-2ab00a957daf}
ramdisksdidevice        boot
ramdisksdipath          \Boot\Boot.SDI
ramdisktftpblocksize    1456
ramdisktftpwindowsize   4
ramdisktftpvarwindow    Yes

Wie man sieht hab ich unter Windows Start Manager jetzt die wdsmgfw.efi, die locale de-DE und ein anderes timeout (15 sec). Das nimmt er auch alles....bis auf die locale -.-

Mann Mann Mann.....displayorder, also wo man die Reihenfolge der Anzeige der zur Auswahl stehenden OS festlegt....kann man in der default.bcd festlegen. Wird aber dann nicht in der entsprechend generierten bcd im tmp-Ordner übernommen. Der übernimmt immer nur so in der Reihenfolge wie man die in den WDS eingepflegt hat. Will man jetzt eine andere Reihenfolge der Angezeigten OS haben, so muss man die korrespondierende bcd im TMP bearbeiten - was wieder flöten geht wenn der tmp aktualisiert wird - oder die images neu in der richtigen Reihenfolge einlesen. Der vorgesehene Weg über die Pflege der Änderungen in der boot\<arch>\*.bcd und die dann übertragene zusammenlegung mit den Boot-imges in der tmp-bcd funktioniert nicht für Displayorder. Alles andere was ich bisher probiert habe schon. Da fragt man sich echt manchmal....

Moin moin :)

Ich blick gerade nix und bräuchte Hilfe damit ich aus diesem Nixblick wieder raus komme.

Ich habe einen WDS und der bietet Images für virtuelle Maschinen der 2ten Generation und UEFI, welche im Hyper-V laufen. Alles 2012R2. Es funktioniert rein technisch auch alles wie es soll. Jetzt wollte ich noch "optisch" was machen, und zwar das pxe-Menü auf deutsch haben. Im Moment sieht es ja so aus

also alles auf standard-englisch. Die Startdatei ist die wdsmgfw.efi, zu finden unter boot\x64. Nun gibt es noch eine wdsmgfw.efi.mui unter boot\x64\de-DE, welche ja dann die deutsche Version wäre. Und deutsch soll das Menü auch sein.

Ich blick halt gerade nicht wie ich diese mui einsetzen muss damit das Menü deutsch wird :(

Jemand ne Idee?

Update:

Inzwischen bin ich der Meinung es muß irgendwie mit bcdedit und /set locale de-DE gehen. Und zwar auf den default.bcd im gleichen Verzeichnis wo der wdsmgfw.efi ist, also hier in boot\x64. Aber auch das bekomme ich gerade nicht gebacken -.- Oder ist es ein falscher Denkansatz von mir?

Update2:

Aussehen tuts in dem so:

PS C:\Users\administrator.AS> bcdedit /enum all /store e:\remoteinstall\boot\x64\default.bcd

Windows-Start-Manager
---------------------
Bezeichner              {bootmgr}
fontpath                \boot\fonts
inherit                 {dbgsettings}
timeout                 30

Debuggereinstellungen
---------------------
Bezeichner              {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

Geräteoptionen
--------------
Bezeichner              {68d9e51c-a129-4ee1-9725-2ab00a957daf}
ramdisksdidevice        boot
ramdisksdipath          \Boot\Boot.SDI
ramdisktftpblocksize    1456
ramdisktftpwindowsize   4
ramdisktftpvarwindow    Yes
PS C:\Users\administrator.AS>

Steht also nix von "locale" drin. Aber locale gibts, nur nimmt er es mit Fehlermeldung "falscher Parameter" nicht an :( Oder bezieht sich das "locale" da nur auf die Anwendung die mit dem Loader dann gestartet werden, also das Setup selbst? Gibt aber auch nix vernünftiges an Doku! -.-

PS C:\Users\administrator.AS> bcdedit /? TYPES BOOTAPP

STARTANWENDUNG

Die folgenden Typen gelten für Einträge von Startanwendungen. Sie
gelten auch für den Start-Manager, die Arbeitsspeicherdiagnose-Anwendung,
das Windows-Betriebssystem-Ladeprogramm und die Fortsetzungsanwendung.
Führen Sie "bcdedit /? FORMATS" aus, um weitere Informationen zu den
Datenformaten für diese Typen zu erhalten.

Anzeige
=======
    GRAPHICSRESOLUTION          Definiert die Grafikauflösung (also 1024 x 768,
                                800 x 600, 1024 x 600 usw.)

    HIGHESTMODE (boolesch)      Ermöglicht Startanwendungen die Verwendung des
                                höchsten von der Firmware verfügbar gemachten
                                Grafikmodus.

    GRAPHICSMODEDISABLED (boolesch) Deaktiviert den Grafikmodus.
    HIGHESTMODE (boolesch)      Erzwingt die höchste von der Firmware
                                unterstützte Auflösung.
    NOVESA (boolesch)           Deaktiviert die Verwendung der VESA-
                                Anzeigemodi. (Außer Kraft gesetzt.)
    NOVGA (boolesch)            Deaktiviert jegliche Verwendung von VGA-Modi.
    BOOTUXDISABLED (boolesch)            Deaktiviert die Grafik beim Start.

Debuggen
========
    BAUDRATE (Ganzzahl)         Definiert die Baudrate für den seriellen
                                Debugger.
    BOOTDEBUG (boolesch)        Aktiviert den Startdebugger.
    CHANNEL (Ganzzahl)          Definiert den Kanal für den 1394-Debugger.
    BUSPARAMS (Zeichenfolge)    Definiert Nummern für PCI-Bus, Gerät und
                                Funktion des Debuggeräts. So wird
                                beispielsweise mit "1.5.0" das Debuggerät am
                                Bus 1, Gerät 5 und Funktion 0 angegeben.
    DEBUGADDRESS (Ganzzahl)     Definiert die Adresse eines seriellen
                                Ports für den Debugger.
    DEBUGPORT (Ganzzahl)        Definiert die serielle Portnummer für den
                                seriellen Debugger.
    DEBUGSTART                  Kann ACTIVE, AUTOENABLE oder
                                DISABLE sein.
    DEBUGTYPE                   Kann SERIAL, 1394, USB, NET oder LOCAL sein.
    DHCP (boolesch)             Steuert die Verwendung von DHCP durch den
                                Netzwerkdebugger. Ist DHCP auf FALSE
                                festgelegt, wird eine Adresse mit lokalem Link
                                erzwungen.
    HOSTIP                      Definiert die Host-IP-Adresse für den
                                Netzwerkdebugger.
    KEY                         Enthält den Schlüssel zum Verschlüsseln der
                                Netzwerkdebugverbindung.
    NOUMEX (boolesch)           Veranlasst, dass Benutzermodusausnahmen
                                ignoriert werden.
    PORT (Ganzzahl)             Definiert den Netzwerkport für den
                                Netzwerkdebugger.
    TARGETNAME (Zeichenfolge)   Definiert den Zielnamen für den
                                USB-Debugger.

Arbeitsspeicher
===============
    BADMEMORYACCESS (boolesch)  Ermöglicht einer Anwendung die Verwendung
                                von Arbeitsspeicher aus der Liste mit
                                ungültigem Arbeitsspeicher.
    BADMEMORYLIST (Ganzzahlliste) Definiert die Liste mit den
                                  Seitenframenummern zum Beschreiben von
                                  ungültigem Arbeitsspeicher im System.
    TRUNCATEMEMORY (Ganzzahl)   Ignoriert den Arbeitsspeicher an oder
                                oberhalb der angegebenen physischen Adresse.
    AVOIDLOWMEMORY (Ganzzahl)   Verhindert nach Möglichkeit die Verwendung des
                                Arbeitsspeichers unterhalb der angegebenen
                                physischen Adresse im Startladeprogramm.

Notverwaltungsdienste
=====================
    BOOTEMS (boolesch)          Aktiviert die Notverwaltungsdienste.
    EMSBAUDRATE (Ganzzahl)      Definiert die Baudrate für die Notverwaltungs-
                                dienste.
    EMSPORT (Ganzzahl)          Definiert die serielle Anschlussnummer für
                                die Notverwaltungsdienste.

Geräte und Hardware
===================
    CONFIGACCESSPOLICY          Kann DEFAULT oder DISALLOWMMCONFIG
                                sein.
    FIRSTMEGABYTEPOLICY         Kann USENONE, USEALL oder
                                USEPRIVATE sein.
    EXTENDEDINPUT (boolesch)    Aktiviert erweiterte Konsoleneingabe-
                                funktionen.

Anwendungen
===========
    LOCALE (Zeichenfolge)       Definiert das Gebietsschema der Start-
                                anwendung.
    NOUMEX (boolesch)           Veranlasst, dass Benutzermodusaus-
                                nahmen ignoriert werden.

Wiederherstellung
=================
    RECOVERYENABLED (boolesch)  Aktiviert die Wiederherstellungssequenz.
    RECOVERYSEQUENCE (Liste)    Definiert die Wiederherstellungssequenz.

Überprüfung
===========
    TESTSIGNING (boolesch)      Lässt Prerelease-Testcode-Signierungs-
                                zertifikate zu.

Fehlerbildschirme
=============

    BOOTSHUTDOWNDISABLED (boolesch) Gibt an, dass der Computer nicht
                                heruntergefahren werden soll, wenn ein
                                Fehlerbildschirm für eine Minute angezeigt
                                wurde. Standardmäßig wird versucht, den
                                Computer herunterzufahren. Funktioniert
                                nicht mit älterer Firmware.
    BOOTERRORUX (Ganzzahl)       Definiert die grafische Darstellung für Startfehler.
                                Kann "Legacy", "Standard" oder "Simple" sein. Ist nur auf
                                Geräten ohne Tastatur gültig.

Führen Sie "bcdedit /? TYPES <Anwendungstyp>" aus, um Informationen
zu zusätzlichen Typen für den Start-Manager, die Arbeitsspeicherdiagnose-
Anwendung, das Windows-Betriebssystem-Ladeprogramms oder die Fort-
setzungsanwendung zu erhalten, wobei <Anwendungstyp> einer der
folgenden Werte ist:

    BOOTMGR    Start-Manager
    MEMDIAG    Arbeitsspeicherdiagnose-Anwendung
    OSLOADER   Windows-Betriebssystem-Ladeprogramm
    RESUME     Fortsetzungsanwendung
PS C:\Users\administrator.AS>

@Forseti2003

Ah, ich glaube ich weiß was du meinst. Das hatte ich auch schon. Mein dirty dazu war die gespeicherten Anmeldedaten zu löschen und wieder neu einzutragen. Ist aber nicht hilfreich wenns der User machen muss.

Hmm, vorne hast du den Virtuellen Computer, auf den du dich verbinden willst, eingegeben und den Username/Passwort. Und hinten unter "erweitert" "verbindung von überall herstellen" hast du was eingestellt? Funktioniert es wenn du die rdp ohne Usernamen abspeicherst, also immer der Username/passwort neu eingegeben werden muss?

Edit:

Jo, is schon spät. Das hat ja nichts mit deinem Problem zu tun ^^

Du brauchst die Maske in der du das PW ändern kannst. Und das geht nur über web-access oder owa (wenn nach außen), oder wie hier erwähnt

https://www.windowspro.de/wolfgang-sommergut/passwort-aendern-ueber-remotedesktop-rd-web-access

Zeit fürs Bett ^^

Das glaube ich nicht, Tim.

Hallo,

 

einen Tipp kann ich dir noch geben bezüglich "Schonung" des Plattenplatzes für die servergespeicherten Profile:

 

"File Server Ressource Manager -> File Screens"

- ich würde bestimmte Dateiendungen blocken (Bsp.: mp3, mp4 vob, mkv etc.)

 

 

Gruss Norman

Also ich sehe jeden Morgen mein Skype for Business integriert in meinem Outlook 2013 mir zuzwinkern. Ist sowieso alles Lync.

Das Problem mit dem Resourcemanager ist, dass er zwar Dateien blockieren kann, aber dabei  stur nach Dateiendungen geht. Der kann also nur das blockieren was du ihm als Dateiendung vorgibst. Wenn da jetzt ein User hingeht und sein Her der Ringe Collection bei den Dateiendungen umbenennt, sagen wir mal zu film.xyz, dann wird es nicht geblockt weil es der Resourcenmanager nicht erkennt.

Soweit ich mich erinnere muss man bei OWA auch erst mal das Häkchen setzen damit man dort Passwort ändern kann. Hört sich dann so an

 

Wenn Sie das Ändern abgelaufener Kennwörter nicht aktiviert haben und die formularbasierte Authentifizierung verwenden, wird ein Benutzer, der sein Kennwort ändern muss, zurück zur Anmeldeseite geleitet, und die folgende Fehlermeldung wird angezeigt: Der eingegebene Benutzername oder das Kennwort ist ungültig. Versuchen Sie es erneut. Wenn die formularbasierte Authentifizierung für Outlook Web App nicht verwendet wird, wird der Benutzer zurück zum Anmeldefenster geleitet, und es wird keine Fehlermeldung angezeigt.

Wahrscheinlich ist es bei RDWeb-access genauso.

Ah, und schon was gefunden

 

To enable the RD Web Access password reset option:

1. Open IIS on your RD Web Access server and browse to Sites / Default Web Site / RDWeb / Pages.
2. Select Application Settings.
3. Open the PasswordChangeEnabled setting and change the value to True.

Gefunden unter "Password Reset Available for Users" auf

http://www.rdsgurus.com/rds-resource/working-with-rd-web-access-in-windows-server-2012/

Hmm genau das wird's sein. :) Viel Erfolg.

 

Bye

Norbert

Danke. Ich hatte schon Erfolg :)

Denn eigentlich sollten diese Einträge dort dann im IIS das entsprechende Virtuelle Verzeichnis ändern - machen sie aber nicht.

 

Wenn ich dann selbst hin gehe und dann das entsprechende virtuelle Verzeichnis ändere und die IP-Adressen auf die Hostnamen zuteile und den IIS neu starte, DANN klappt es so wie ich es geschrieben hatte :)

:jau:

Loriot.

 

 

 

Hab ich dir doch geschrieben.

Aber hier mal ein Beispiel:

18-09-_2015_23-50-22.png

 

 

Vielleicht hast du aber auch nur nicht durchschaut, was und wie da was konfiguriert wird und wie das zusammenhängt? ;)

Na, jetzt wirst du aber albern :)

Ich glaube eher DU hast noch nicht diese Einstellung im 2013er EAC bearbeitet, denn sonst wüsstest du dass bei ändern dieser Url die Meldung "...virtuelle Verzeichnisse auf dem IIS entsprechend ändern..." auftaucht :p

Edit:

Und wenn ich mir es nochmal durchlese, dann glaube ich sogar du hast gar nicht verstanden worum es geht...

Hmm, ich habe eine Testumgebung dafür mal eingerichtet. Und was soll ich sagen? Du hast recht. Zumindest was die Einträge in der "externel Url" zu OWA in der EAC (alles mit 2013 getestet) angeht. Da frage ich mich allerdings wozu ich da etwas eintragen soll? :unsure:

Denn eigentlich sollten diese Einträge dort dann im IIS das entsprechende Virtuelle Verzeichnis ändern - machen sie aber nicht.

Wenn ich dann selbst hin gehe und dann das entsprechende virtuelle Verzeichnis ändere und die IP-Adressen auf die Hostnamen zuteile und den IIS neu starte, DANN klappt es so wie ich es geschrieben hatte :) Allerdings mit dem faden Beigeschmack dass man da einfach die virtuellen Verzeichnisse des Exchange auf dem IIS bearbeitet hat und nicht wirklich im Exchange etwas geändert hat.

Zumindest weiß ich jetzt  wieder einiges mehr was ich da alles rumschrauben kann :D

Hmm, bei OWA gibt es ja auch eine external uri. Was ist jetzt wenn der externe Client über seinen Provider-DNS an blablubb.de geschickt wird, dort auch wirklich der CAS steht, aber als external uri bei OWA bundestag.de drin steht? Also meiner Meinung nach kommt der Client dann nicht auf OWA unter https://blablubb,de/owa.

Edit:

Oder wenn gar nichts unter external url steht ^^

Na, ich schlafe mal drüber :)

Kann sein. Manchmal fehlt mir der Durchblick. Was ich mir bis jetzt zusammen gereimt habe:

Der SCP ist nur für die internen Clientanfragen.

Von extern brauch der Client einen dns der ihn zum CAS schickt.

Am CAS frägt der Client an ob der der richtige ist.

Der CAS sagt "Nö" wenn er als external uri z.B: "https://Bundestag.de/hahaha"steht.

Der Client heult und macht lauter rote ixe.

Wie siehst du das?

Holla, stimmt, da steht ja OWA im Eröffnungspost. Na, dann editier ich mal.

 Und von aussen wäre er auch nicht erreichbar.

Bye
Norbert

Gut, mal abgesehen dass ich den Opener nur mit halboffenen augen gelesen habe, wieso sollte der CAS von Außen nicht erreichbar sein?

[Eingangspost falsch gelesen]

Hm, das erschließt sich mir aber dann auch nicht. Aber danke für feedback. :)

@Drachie

Rein Interesse halber: Hast du mal mit sslscan.exe nachgeschaut was dein Server überhaupt annimmt und es dann mit dem was der Client benutzt verglichen?

Bezüglich Verschlüsselung und Bit (wie oben angemerkt) habe ich das hier gefunden

 

Based on my Research, i figured out that SSL Tools (Example SSLScan) will check with more Cipher Suites
as supported in Windows Operating Systems during TLS/SSL handshake.

A good explanation how TLS/SSL works here:
http://technet.microsoft.com/en-us/library/cc783349(v=ws.10).aspx

A good explanation about SSL/TLS Alert Protocol & the Alert Codes here:
http://blogs.msdn.com/b/kaushal/archive/2012/10/06/ssl-tls-alert-protocol-amp-the-alert-codes.aspx

In the event id 36888, the Error "fatal alert was generated: 40" in the Description field means:
handshake_failure

Here ist an Example Output with SSLscan, i checked only SSL 3.0 protocol:

SSLScan>sslscan.exe --ssl3 server.domain.ch:443

Testing SSL server server.domain.ch on port 443

  Supported Server Cipher(s):
    Failed    SSLv3  256 bits  ADH-AES256-SHA
    Failed    SSLv3  256 bits  DHE-RSA-AES256-SHA
    Failed    SSLv3  256 bits  DHE-DSS-AES256-SHA
    Failed    SSLv3  256 bits  AES256-SHA
    Failed    SSLv3  128 bits  ADH-AES128-SHA
    Failed    SSLv3  128 bits  DHE-RSA-AES128-SHA
    Failed    SSLv3  128 bits  DHE-DSS-AES128-SHA
    Failed    SSLv3  128 bits  AES128-SHA
    Failed    SSLv3  168 bits  ADH-DES-CBC3-SHA
    Failed    SSLv3   56 bits  ADH-DES-CBC-SHA
    Failed    SSLv3   40 bits  EXP-ADH-DES-CBC-SHA
    Failed    SSLv3  128 bits  ADH-RC4-MD5
    Failed    SSLv3   40 bits  EXP-ADH-RC4-MD5
    Failed    SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
    Failed    SSLv3   56 bits  EDH-RSA-DES-CBC-SHA
    Failed    SSLv3   40 bits  EXP-EDH-RSA-DES-CBC-SHA
    Failed    SSLv3  168 bits  EDH-DSS-DES-CBC3-SHA
    Failed    SSLv3   56 bits  EDH-DSS-DES-CBC-SHA
    Failed    SSLv3   40 bits  EXP-EDH-DSS-DES-CBC-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Failed    SSLv3   56 bits  DES-CBC-SHA
    Failed    SSLv3   40 bits  EXP-DES-CBC-SHA
    Failed    SSLv3  128 bits  IDEA-CBC-SHA
    Failed    SSLv3   40 bits  EXP-RC2-CBC-MD5
    Accepted  SSLv3  128 bits  RC4-SHA
    Accepted  SSLv3  128 bits  RC4-MD5
    Failed    SSLv3   40 bits  EXP-RC4-MD5
    Failed    SSLv3    0 bits  NULL-SHA
    Failed    SSLv3    0 bits  NULL-MD5

  Prefered Server Cipher(s):
    SSLv3  128 bits  RC4-SHA

For each Cipher that failed on SSLv3, an Event ID 36888 and 36874 was logged as described above.
So, i think those Events can safety ignore.

If someone would hardening Windows IIS Servers (in my case Exchange 2010 on IIS 7.5), here is a
very good compatibility Report:
http://www.g-sec.lu/sslharden/SSL_comp_report2011.pdf

Für mich hört sich das so an dass der Exchange eine andere Verschlüsselungstiefe benutzt als der Client, oder anders herum. Vielleicht benutzt der Client z.B. 128 bit weil es eventuell ein XP ist oder fest eingestellt ist und der Exchange kann nur minimum 256 oder mehr.