Jump to content

variousos

Members
  • Gesamte Inhalte

    197
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von variousos

  1. Guten Morgen @Weingeist,

     

    ja...ich habe die SubCA in die Domäne genommen und bin auch immer als Domain-Admin angemeldet. Ich habe nach dem Link, den @inno-it mir zugeschickt hat, im ADSI-Editor alle CA-Einträge händisch gelöscht. Danach tauchten auch die CA´s in der AD nicht mehr auf. Damit hatte ich gehofft, wie in dem Thread vom Link aufgezeigt, dass das Thema erledigt sei.

     

    Hättest Du eine Idee?

     

    LG

     

    variousos


    DIESER FALL KANN ALS GELÖST AUFGEZEIGT WERDEN!!!

     

    Ich habe heute morgen, nach dem ganzen Bearbeiten im Editor den ganzen Rechner neu gebootet. ES KLAPPT!! Ich kann die Zertifizierungsstelle "Enterprise" jetzt auswählen.

     

    Kann ein Reboot dafür verantwortlich sein?

     

    :)  :)  :)  :)  :)

  2. @Weingeist...aus dem Kontext heraus mag Du glauben, dass es richtig sei...aber dem ist nicht so....lies aber erst. Und dann kannst Du mir vielleicht aufzeigen, solltest Du Recht haben, was ich falsch mache oder welchen Gedankenfehler ich begehe.

     

    Ich installiere eine VM = RootCa (oder auf offlineCA). Die muss, weil sie ja gewollter Weise über keine Active Directory Mitgliedschaft verfügen wird, als "Eigenständige Zertifizierungsstelle" konfiguriert. Nachdem sie erstellt wurde und die CRL, AIA entsprechend bearbeitet wurden, wird das Zertifikat veröffentlicht.

     

    Dann erstelle ich eine SubCA (Mitglied der Domäne) und den IIS-Server. So...und jetzt kommt es was ich meine: Ich MUSS ja jetzt für die SU eine "Unternehmenszertifizierungsstelle" (EnterpriseCA) erstellen - keine "Eigenständige"

     

    und das klappt nicht, weil das ausgegraut ist! 

     

    Was ist falsch daran? Das ist der normale Installationsgang einer zweistufigen PKI. Oder was ist daran falsch??? Wenn ich einen Fehler begehe und Du ihn mir aufzeigst...

    ICH WÄRE ÜBERGLÜCKLICH!!!


    @Weingeist...

     

    so sieht es aus, wenn ich die "Root-CA" (links) erstellt habe...und dann die untergeordnete CA erstellen möchte (rechts), die mir nicht die Möglichkeit gibt die Enterprise-CA auszuwählen...

  3. Ich mache doch die ganze Zeit nichts anderes...oder sprechen wir aneinander vorbei?

     

    Ich installiere auf einer VM...genannt SRV-RootCA 2012R2 (auch die RootCA kann auch 2012 installiert werden), dann die Rolle "Zertifikate", und in den "erweiterten" Zertifikatsdienste soll es dann weiter gehen...mit "EnterpriseCA"...was ja nicht funktioniert! Ich kann die nicht auswählen! Oder meint Ihr etwas anderes?

     

    Im übrigen gehe ich davon aus, dass bei einer zweistufigen PKI der Root NIEMALS Domänenmitglied wird, sondern nur die SubCA. Und der Root wird doch auch herunter gefahren....ist doch eine online-CA....

     

    Oder habe ich Euch missverstanden...und Ihr meintet etwas anderes?


    hier...so sieht es seit gestern morgen aus!

     

    Es gelingt einfach nicht die Enterprise auszuführen...egal wie oft ich es versuche.

     

    Die VM war neu installiert (habe gelernt, dass auf den DC absolut nichts installiert werden soll), ist kein Domänenmitglied, die Firewall ist deaktiviert...und dann kommt das....

  4. Hallo @inno-it,

     

    das was ich da von Dir bekam, macht mich richtig euphorisch als ich es las. Aber die Ernüchterung kam, als ich alles durchsuchte und feststellte, dass ich diesen "Public Key Services container" überhaupt nicht finde! Ich habe weder ein CN=Services...noch einen darin befindlichen Container "CN=RRAS".

     

    In der Hoffnung, dass es nur an der oft unpassenden Übersetzung lag, habe ich alle Ordner durchsucht...aber ein Container "RRAS" wirklich nicht gefunden. 

    Hat jamand eine Idee? (Man muss doch diese doofen Einträge im AD gelöscht bekommen...irgendwie?!)

  5. Hallo und guten Morgen @Dunkelmann,

     

    eines ist gewiss. Ich habe die misslungen und nicht vollends erstellten PKI´s einfach gelöscht und mich nicht an dem dafür vorgesehenen Procedere gehalten. PUNKT! 

    Das wird nicht mehr vorkommen!!!

     

    So...genug der Eigenkritik. Ich habe besonders Deinem 2. Link meine Aufmerksamkeit geschenkt, vorher festgestellt, dass die Dinge die im 1. empfohlen werden, bei mir nicht funktionieren. Eben weil die Installation nie fertig gestellt wurde. ABER...nachdem ich in der Eingabeaufforderung vom DC (wo ja auch mein AD liegt) "certutil" eingab, zeigten sich 5 Einträge. Der erste war die auch defekte und jetzt herunter gefahrene PKI. Eintrag 1-4 sind eindeutig auf meinen Mist gewachsen! Ein 

     

    "certutil -delkey "Name der CA" wird beantwortet mit: "Der Schlüsselsatz ist nicht vorhanden"..oder...

     

    "-delkey-Befehl ist fehlgeschlagen:0x80090016 <-2146893802 NTE_BAD_KeySET>

     

    Ich kann mir vorstellen, dass es auch dem Umstand geschuldet ist, dass die Installation nicht fertig gestellt wurden. Ob diese Einträge auch dafür verantwortlich sind, dass es mir nach dem erstellen der "Root-CA" nicht gestattet ist in der "SUB-CA" die "Enterprise-CA" auszuwählen, dass ist anzunehmen...oder?

     

    Weisst Du wie ich die Einträge weg bekomme? Ich möchte mir nicht auch noch die AD "schrotten", wie @nobyaushb schrieb...

     

    LG und DANKE

     

    variousos

  6. Hallo Zusammen,

     

    ich hatte öfter Konfigurationsprobleme beim Erstellen meiner neuen PKI. Ich habe die beiden VM´s (Root- und SbCA) dann gelöscht (aus Hyper-V "Virtuelle Computer", die "Vdisk" in dem Ordner und die Server auch in dem Ordner "VirtuelleMaschinen".

     

    Ich habe dann im DC die bis dahin erstellten VM´s gelöscht 

     

    Jetzt habe ich seit gestern morgen das Problem, dass ich zwar die "offline-CA" erstellen und konfigurieren kann - nicht jedoch die "Sub-CA". An der Stelle, an der ich die "Enterpise-CA" auswählen muss, ist diese ausgegraut! Ich habe die Rolle schon deinstalliert...neu erstellt...aber immer noch das gleiche Problem.

     

    Habe ich etwas nicht beachtet? Wie deinstalliert man ganzheitlich eine CA? Sind irgendwo noch Einträge, die es verhindern, das ich die SUB-CA konfigurieren kann?

     

    DANKE für eine hilfreiche Antwort

     

    variousos

  7. Hallo Zusammen,

     

    ich habe eine Verständnisfrage. Ich habe einen NAS-Server, auf dem ich neben meinen wichtigen Daten, Backups (das ganze NAS sichere ich noch einmal 1:1 - also mit den Backups auf einem Backup-Server - weil ich ja weiß, dass ein NAS kein Backup ist :D ) auch meine Media-Dateien (Filme und Musik) horte. 

     

    Nun würde ich gern auf meinen VPN-Server (VM unter 2012R2) zugreifen um über ihn Musik auf das iPhone zu streamen. Ist das logistisch möglich?

     

    Wenn ja...wie habe ich mir das Prozedere vorzustellen?

     

    Danke für die Hilfe

     

    variousos

  8. Vielleicht habe ich mich auch falsch ausgedrückt...oder Du verstehst was falsch :)

     

    Wenn ich dem vSwitch des Servers nicht die VLAN-ID vom "orange" gebe, dann würde ja erst recht nichts funktionieren!

     

    Gebe ich ihm die "178"...dann klappt es! Das ist das was mich stutzig macht....

     

    Noch etwas: ginge ich den Gateway des VPN´s an...klappt es. Den Server selbst dann nicht????!!!!

  9. guten Abend....

     

    nein...ich habe alle internen Firewalls deaktiviert. Ich betreibe ipfire auf einer VM, was auch bisher ohne Probleme läuft. Ich kann mir im Moment kein Szenario vorstellen, warum die das blockieren sollte. Die kann m.E.n. zwar verhindern, dass ich von aussen Zugriff auf den VPN-Server hätte...aber warum soll sie keine Netzwerkfunktion zulassen?

     

    Oder?

  10. Hallo @vanGraham,

     

    wie ich gelesen habe, ist das wohl standardmäßig immer ausgegraut (Schau doch mal nach ob das stimmt!). Aber ich bin immer als Admin angemeldet.

     

    @OliverHu...ich habe den Dienst jetzt in der regedit auf "2" gesetzt...neu gestartet und schaue mir das Verhalten des Fehlers mal an! Was sich geändert hat: im Server Manager wird kein "rotes Fähnchen" mehr angezeigt. Und seltsamerweise ist der Webserver auf GRÜN! Ich hatte bisher keinen Zusammenhang zwischen dem ersten meiner Probleme ("Online Leistungsindikatoren wurden nicht gestartet") und der ID 16385 gesehen. Aber da gibt es wohl einen Zusammenhang...!

     

    Wie siehst Du es?

     

    Nachtrag:

     

    @sunny61...ja, habe ich dann auch entdeckt!:-)

  11. Ich wollte Dir gerade noch schreiben, dass nach ein wenig Recherche ich mir gerade den "Aufgabendienst" einmal anschauen wollte. Dieser ist jedoch deaktiviert! Ist das normal? Gebe ich "taskschd.msc" ein...dann erscheint "Der Remotecomputer wurde nicht gefunden".

     

    Meine Verständnisfragen lautet, ob das mit dem was Du mir als Link gepostet hast übereinstimmt?

     

    Sollte oder gar MUSS der Dienst gestartet werden? Wenn die Aktivierung aber "ausgegraut" ist, dann würde doch nur eine entsprechende Änderung in der "regedit" helfen...oder?

  12. Guten Morgen @OliverHu,

     
    erst einmal vielen Dank für Deine Hilfe!
     
     
    Ich finde seltsamerweise im Ereignisprotokoll keinen Hinweis auf dem ich im (Screenshot 100) aufmerksam machen möchte. Der einzig markante Fehler ist der immer wieder angegebene Fehler 16385 (Screenshot 102), der sehr weit zurück reicht!

     

    Ob der von mir beanstandete "Fehler mit den Leistungsindikatoren" nicht so beachtenswert ist wie der zuletzt genannte, dass könnte natürlich sein. 

     

    Könntest Du mir mehr dazu sagen?

     

    Noch einmal danke dafür

     

    variousos

  13. Hallo,

     

    ich betreibe unter 2012r2 als VM u.a. einen VPN-Server. Diesen habe ich eine IP der DMZ (192.168.20.0/24) gegeben. Innerhalb der Firewall gibt es noch zwei weitere Netze (green = 192.168.30.0/24 und red = 192.168.178.0724). Im Hyper-V-Manager habe ich dem VPN-Server selbstverständlich die Vlan-ID (20) vergeben. Trotzdem bekomme ich keine Verbindung! Ändere ich die IP in die des Netzwerkes "green" (178) besteht sofort eine Internetverbindung.

     

    Kann sich jemand vorstellen, warum das mit der 20er nicht klappt? Im Cisco-Switch ist m.E.n. alles so wie es sein sollte (3 VPN´s)!

     

    Wäre für jeden Tip dankbar

     

    variousos

  14. Hallo,

     

    ich bin neu hier im Forum und erhoffe mir Hilfe bei zwei Punkten, die mich seit einigen Wochen "nerven".

     

    Ich betreibe einen Windows 2012r2-Server mit einigen VM´s:

    Server-DC

    Server-EXCH

    Server-PKI

    Server-VPN

    Server-WSUS

    Server-Windows_Server_Sicherung

    Server-WSUS

     

    Seit ca. 2 Wochen erscheint auf meinem Dashboard vom Hyper-Visor alle Kacheln auf "ROT". Ein einziger Fehler unter "Verwaltbarkeit" wird angezeigt.

    "Servername      IP         Online - Daten der Leistungsindikatoren können nicht abgerufen werden"

    Klicke ich auf "Aufgabendetails" erscheint "Fehler beim Aktualisieren". Weiter unten "Serviername: Fehler beim Aktualisieren des Leistungsindikators: Das System kann den angegebenen Pfad nicht finden"

     

    Das System läuft ansonsten vermeintlich stabil. 

     

    Kann mir hier jemand helfen?

     

    Danke und lieben Gruß

     

    variousos

×
×
  • Neu erstellen...