Oneil

Hallo zusammen,

wir haben ein kleines DNS Problem, ich versuche es bestmöglich an einem Beispiel zu erklären.

Ein Client vom Standort B wurde zu uns zum Standort A geschickt, da er defekt war.

Die Kiste wurde repariert, neu aufgesetzt und läuft aktuell am Standort A.

Wenn ich sie versuche zu Pingen, bekomme ich aber die IP von Standort B aufgelöst,

wenn ich die IP dann rückwärts auflöse kommt logischerweiße ein anderer Host dabei raus.

Umgebung:

je Standort ein DC (DNS/DHCP/AD) auf einem 2012r2

Clients XP (leider) und Win7

 Anbei ein Ausuzug aus dem DHCP errorlog

31,08/04/15,08:51:51,DNS Update Failed,172.18.73.85,test.domain.net,,,0,6,,,,,,,,,2
30,08/04/15,08:51:51,DNS Update Request,172.18.73.85,test.domain.net,,,0,6,,,,,,,,,0
12,08/04/15,08:51:51,Release,172.18.73.85,test.domain.net,001A6B51DEAE,,2113451828,0,,,,,,,,,0
31,08/04/15,08:51:54,DNS Update Failed,172.18.73.85,test.domain.net,,,0,6,,,,,,,,,2
30,08/04/15,08:51:54,DNS Update Request,172.18.73.85,test.domain.nett,,,0,6,,,,,,,,,0
10,08/04/15,08:51:54,Assign,172.18.73.85,test.domain.net,001A6B51DEAE,,506975021,0,,,,0x4D53465420352E30,MSFT 5.0,,,,0

Hat jemand eine Idee dazu?!

Wenn Infos benötigt werden, einfach sagen was ihr braucht :-)

Hallo zusammen,

habe eine Spezielle Frage zum IIS 8.5

Wir betreiben ein Ticketsystem, mit Kunden und Agent "Modul".

Wenn ein Kunde auf die Seite geht, soll er per SSO direkt eingelogt werden, das funktioniert soweit auch ganz gut.

Bei der Agent Seite ist es, das Grundsätzlich jeder (ohne Benutzerabfrage) drauf darf und sich dann dort

explizite im Ticketsystem einlogt.

Aktuell ist es jedoch leider so, das man beim Zugriff auf die Seite eine Abfrage bekommt.

Ich hoffe ich konnte verständlich machen was ich gerne möchte :-)

ja aber laut d-trust zb gibt es (spätestens ende des jahres) keine intranet zertifikate mehr ...

als beispiel

die domain BW.de und intra ist bw-eu.net ,,, und da sehe ich halt mein problem bzw weshalb (ich denke) das der Server in die DMZ muss.

das mag ja sein, aber korrigiert mich wenn ich mich irre,

Client greift auf Domain zu -> via Internet -> Server nicht im Netz -> kein Zugriff

davon abgesehen, kann ich die Domain zuordnung machen wenn die kiste nicht erreichbar ist?

das ist richtig, aber dann müsste ich das system ja ins internet nehmen und das will ich eigentlich ehr weniger

wenn ich es händisch mache alles top ... ich will aber das es automatisch geht :p

aber wie es aussieht ein firefox ding :-( und ich muss noch eine gpo anlegen

sicherheitshalber die console mit "run as administrator" starten

Private Key erstellen:

 

openssl genrsa 2048 > server.key

...und die Zertifikats-Anforderung:

 

openssl req -new -sha256 -key ./server.key > request.csr

die Abfragen wie Ort, Servername usw. entsprechend ausfüllen.

und nun das ganze am CA Server signieren.(auch hier console "run as admin")

 

certreq -submit -attrib "CertificateTemplate:WebServer" request.csr

für den fall das es hier (wie bei mir) probleme gibt

https://social.technet.microsoft.com/Forums/windowsserver/en-US/1db32fbd-3338-4cec-8cdb-7cedd7846830/cannot-create-new-certificates

nun das cert und das key file im webserver einbinden

fertig

sooooo das ganze läuft nun soweit :-)

zumindest im IE ... hat jemand ne ahnung wieso firefox noch rummeckert?

oder sollte ich einfach etwas abwarten bis es richtig zieht?

öhm hast du da auch ne kurze anleitung für mich ? :confused: :D :D

mit dem thema hatte ich noch nie was zu tun und bei google ist schwer was zu finden :(

edit:

achja der server selbst läuft schon ;-) muss nur wissen wie ich das "einbaue"

Hallo zusammen,

mal eine dumme Frage, ich beschäftige mich gerade mit dem Thema Webserver (Xampp) und SSL für unser Ticketsystem. Grundsätzlich läuft es mit dem von mir erstellten Zertifikat, aber jeder kann sich die Nachteile denken.

Ich will das Ticketsystem auch nur ungern in die DMZ packen und dem System eine Domain verpassen um ein SSL Zertifikat zu kaufen. Die kaufbaren "Intranet Zertifikate" gibt es wohl nicht mehr da das ganze zum Okt/Nov abgeschaft wird.

Kann ich das Zertifikat in einen Win 2008 CA Server (Zertifizierungsstelle) importieren und Signieren lassen, das ich nicht mehr die nervigen Meldungen habe bzw das Zertifikat extra am Client installieren muss? Klar könnte ich es auch per GPO ausrollen aber dann meckert immer noch der Firefox rum.

Oder hat jemand eine andere Idee dazu?

Grüße

für einen neuen server fehlt uns noch die esx ;-) ... aktuell alles alte hardware

die druckserver sind bei uns nur noch nicht in der neuen domäne ;-) naja ich hoffe das der splitt bald durch ist und dann irgendwann nach ostern die server ins richtige rz gehen können dann ist das thema von natur aus durch

hat nicht funktioniert :-(

jetzt gehen uns solangsam die idee aus für mögliche umsetzungen

hey,

sorry war die letzten tage krank und bin nun wieder am thema dran ;-)

aktuell versuche ich das hier

 

Nach original Microsoft:

Empfohlene Verwendung von Gruppen mit dem Bereich "Global"

Gruppen mit dem Bereich "Global" sollten zur Verwaltung von Verzeichnisobjekten verwendet werden, die eine tägliche Wartung erfordern, z. B. Benutzer- und Computerkonten. Da Gruppen mit dem Bereich „Global“ nicht außerhalb ihrer eigenen Domäne repliziert werden, können Sie die in einer solchen Gruppe enthaltenen Konten häufig ändern, ohne dass dabei Replikationsdatenverkehr mit dem globalen Katalog entsteht. Weitere Informationen zu Gruppen und zur Replikation finden Sie unter Funktionsweise der Replikation.

Obwohl die zugewiesenen Rechte und Berechtigungen nur innerhalb der Domäne Gültigkeit haben, in der sie zugeordnet wurden, können Verweise auf Konten mit einem ähnlichen Verwendungszweck vereinheitlicht werden, indem Sie Gruppen mit dem Bereich "Global" gleichmäßig auf die entsprechenden Domänen verteilen. Auf diese Weise wird die domänenübergreifende Gruppenverwaltung vereinfacht und rationalisiert. Wenn z. B. in einem Netzwerk mit den beiden Domänen „Europa“ und „USA“ in der Domäne „USA“ eine „Global“-Gruppe mit der Bezeichnung „GLRechnungswesen“ vorhanden ist, sollten Sie auch in der Domäne „Europa“ eine „Global“-Gruppe mit der Bezeichnung „GLRechnungswesen“ erstellen (es sei denn, in der Domäne „Europa“ gibt es keine Abteilung „Rechnungswesen“).

Es wird dringend empfohlen, beim Festlegen von Berechtigungen für Verzeichnisobjekte der Domäne, die auf den globalen Katalog repliziert werden, statt „Lokale Domäne“-Gruppen „Global“- oder „Universal“-Gruppen zu verwenden. Weitere Informationen finden Sie unter Replikation des globalen Katalogs.


Dafür benötigt man übrigens keine "Vertrauensstellung" (Relikt aus NT 4). Vernünftig Eingerichtet funktioniert das, oder ähnliche Szenarien, übrigens schon seit (fast) Windows 2000. Gut wurde es unter Windows 2003. Von Novell (Wer kennt das noch?) möchte ich erst gar nicht Anfangen

Wobei das Thema wohl gezielter unsere AD-Spezies hier Beantworten können.

Der Nachteil könnte sein, das hier dann ggf. einiges an "händischer Arbeit" gefragt ist. Wobei man hier Natürlich wieder eine "local group" in eine "global group" verschachteln könnte

Das ist nur meine persönliche Meinung zu diesem Thema. Innert AD war ich nie Perfekt, aber ich war auch bestimmt nicht der Dümmste in meiner Klasse.


Viele liebe Grüsse
Ralph

Zum Belegen:

https://msdn.microsoft.com/de-de/library/cc755692(v=ws.10).aspx

Ansonsten kann man mit identischen Usernamen und Kennwort arbeiten. Oder das Internet Printing Protocol IPP und Drucken für anonyme User erlauben.

 

habe ich bereits gemacht, hatte komischer weiße keinen erfolg ....

Mit dem IPP schau ich mir an,

@lefg

naja zumindest ist der plotter auf einem printserver installiert ;-)

@ reingucker

bissel aufwendig für (hoffentlich) nur noch 2 wochen ...

ich hoffe ja das bis dahin der sap splitt durch ist, dann würde sich das alles erledigen.

kurz zum hintergrund.

die firma teilt sich in 2 firmen.

das bedeutet das die alten server (die zu unserem teile gehören) abgelöst werden und in der neuen domäne neu eingerichtet werden.

das kann aber erst passieren wenn der split der sap daten entgültig beendet ist.

wir haben auch keine lust die alten büchsen zu übernehmen ;-)

leider müssen wir aktuell damit leben bis wir aus der alten domäne komplett raus sind

Hallo zusammen,

hier mal ein Überblick über mein (kurioses) problem und unsere Strucktur.

Domäne A:
Dort läuft ein Printserver (Server 2003) mit Drucker (freigabe JEDER). Drucken funktioniert soweit für die Domänen User sowie für eine 2te Domäne (neue und Zukünftige Domäne) mit Vertrauensstellung.

Domäne B:
Dort gibt es einen Application Server (Server 2003), die Software soll/muss über den Printserver in Domäne A drucken, jedoch geht es nicht, es wird immer mit "Zugriff verweigert" abgeblockt.

Eine vertrauensstellung ist aktuell nicht möglich (Firmenteilung und rechtliches blabla).
Desweiteren kann der Printserver nicht einfach in neue Strucktur gehoben werden.

das habe ich bereits probiert.

https://msdn.microsoft.com/de-de/library/cc778182%28v=ws.10%29.aspx

den user aus der anderen domäne habe ich auch schon lokal am server mit den gleichen pw und user angelegt.

Hat jemand eine Idee? oder einen Ansatz was wir hier tuhen könnten?

ist es überhaupt möglich?

ich hoffe ihr versteht mich :-P