Jump to content

Jokesoft

Members
  • Gesamte Inhalte

    12
  • Registriert seit

  • Letzter Besuch

Webseite

Fortschritt von Jokesoft

Explorer

Explorer (4/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

0

Reputation in der Community

  1. Ok, Buch ist besorgt. Damit betrachte ich den Thread erst mal als abgeschlossen. Ich werde hier demnächst noch berichten wie's bei uns weitergeht. Danke erst mal. Arne
  2. Hat er dir das auch schon nahe gelegt, oder woher weißt du welche Buch Nils empfehlen wollte?
  3. Ich auch! Das ist/war ja gerade unser Problem ... eine gute Anleitung ... @Entscheidung AD-integriert oder nicht Das war keine evangelistisches Ding. Es war einfach der erprobte Weg unserer Berater und sie konnten uns dahingehend gut beraten. Wir sind da grundsätzlich offen. Wenn dein Buchtipp mir die Augen öffnen kann ... klasse! Das mit dem Key ist noch mal ein guter Hinweis. Das prüfe ich mal. Edit: Das war's nicht.
  4. Argumente waren insbesondere die Unabhängigkeit vom AD und die Bedienbarkeit von XCA. Man verwies darauf, dass man damit im eigenen Hause gute Erfahrungen gemacht hat. Weiterhin haben wir eine Vorlage erhalten, wie man sich einen Zertifikatsterminkalender anlegt. Den haben wir soweit automatisiert, dass unser Ticketsystem automatisch Tickets ausspuckt, sobald irgendein Zertifikat abläuft.
  5. Hi Nils, wir hatten uns beraten lassen und da hieß es, dass das ganze mit XCA einfacher und unabhängiger ist, anstatt mit einer AD-integrierten PKI. Timestamp-Server ... hmm ... wieder was neues ... Ich höre jetzt erst mal aus deiner Antwort heraus, dass mein Problem wohl kein bekanntes ist. Eine PKI einstampfen und neu aufsetzen ist ja nun auch nicht gerade eine simple Geschichte. Ok, ich schau mal, wie ich mit deinen Hinweisen klar komme. Ich melde mich. Danke Arne
  6. Moin zusammen, mein Problem ist eine ziemlich schräge Sache und ich vermute als Ursache unsere Unkenntnis. Wir haben uns vor einem Jahr mit XCA eine PKI aufgebaut. Im Einsatz sind W7-Clients und 2008R2 bis 2016-Server. Die Domänenebene ist 2008R2. Es geht um VBA-Code für Outlook 2010. Über GPOs wurden die Einstellung für die Makro-Sicherheit so eingestellt, dass nur signierter Code ausgeführt wird. Auch das Codesigning-Zertifikat wird per GPO ausgerollt. Alles lief. Nach einem Jahr läuft nun bald das alte Zertifikat aus. Kein Ding, neues erstellt und verteilt. Nun wollte ich den Code, der auch geändert wurde, mit dem neuen Zertifikat signieren. Ich kann auch das neue Zertifikat auswählen, aber beim Speichern bzw. Schließen von Outlook kommt die Meldung: "Ein Problem mit der digitalen Signatur ist aufgetreten. Das VBA-Projekt konnte nicht digital Signiert werden. Die Unterschrift wird verworfen." Ich brüte seit Tagen schon an dem Problem. Das neue Zertifikat wurde auch schon neu erstellt. In den Zertifikatsinformationen ist auch zu sehen, dass der Zweck des Zertifikats dem Codesigning dient. Der Zertifizierungspfad ist ebenfalls bis zum Root-Zertifikat gegeben und im Status wird angezeigt, dass das Zertifikat gültig ist. Über'n I-Explorer wird das Zertifikat auch an den richtigen Stellen (Vertrauenswürdige Herausgeber) angezeigt. Allerdings sind da auch noch das alte Zertifikat und ein Versuchszertifikat im Reiter "Andere Personen" drin, die sich nicht löschen lassen. Ach ja ... selbstverständlich war ich bereits an diversen PCs zugange. Die lokale Installation kann's also auch nicht sein. Mittlerweile habe ich einen W10-Rechner stehen mit Office 2010 und 365 an Bord. Am oben beschriebenen Verhalten hat sich nichts geändert, außer dass bei Outlook 365 nicht mal ein passendes Zertifikat zur Auswahl gefunden wird. Hoffentlich konnte ich die Situation einigermaßen anschaulich schildern und hoffe ihr könnt mir helfen. Mit besten Grüßen Arne
  7. Naja, besser spät als nie! Aber stehen lassen konnte man das ja nun so auch nicht. :)
  8. Moin Zahni, ja, z.B. das RAID! Kann es sein, dass du nur selektiv gelesen hast? ;) Gruß Arne
  9. Puh! Die Kiste läuft wieder. Danke Nils! Hätte ich das Wörtchen 'hart' mal in meiner Googlei mit eingebaut, hätte ich den Link auch selbst finden können ... Löschen des Ordners 'NTDS' und in der Reg den Eintrag auf 'ServerNT' ändern hat's gebracht. Nun fege ich die Reste des alten AD auf dem Server zusammen und dann kann's endlich weitergehen ... ;-) Nochmals besten Dank und noch einen schönen Sonntag! Arne
  10. Ja, das kann man. Der Terminalserver muss nur auch DC sein, wenn er wirklich der einzige Rechner in der Domäne sein soll/ist. Das Stichwort ist Vertrauensstellung! Das hier zu erklären, würde jedoch den Rahmen sprengen. Google hilft: "Vertrauensstellung zwischen zwei Domänen einrichten" Der 2012'er kann m.E. jedoch auch direkt in die Domäne gehen, das tut der 2003'er-Domäne nicht weh (so vermeidet ihr, dass ein DC auch Terminalserver sein muss). Was ihr jedoch vermeiden solltet ist, dass ein 2003'er Server AD-Funktionen in dem 2012-AD übernimmt. Sobald die Vertrauensstellung eingerichtet ist, können die Clients aus der ersten Domäne auf den Terminalserver in der gesonderten Domäne zugreifen. Beste Grüße Arne P.S. IP-Networking ist an der Stelle völlig belanglos. Es muss nur natürlich ein Weg (routing) vom einen zum anderen Netzwerk bestehen.
  11. So eine Frage habe ich befürchtet. Ich will es mal mit den Umständen beschreiben, wie ich den Laden übernommen habe: AD-Admin ohne Passwort DC völlig ungehärtet und ohne Virenschutz Hersteller des ERP-Systems hat sich vertraglich unbegrenzten Vollzugriff auf das System ausgebeten. Den Begriff Updates kannte das System bis zu meiner Übernahme überhaupt nicht. So, und nun kommst du! ;-) Nein. Es geht nur noch darum den Server wieder im normalen Modus hochzufahren, mehr nicht. Ich muss nur noch die ERP-DB retten danach wartet eine neue strukturierte 2008'er-Umgeben auf das GO. P.S. Es wäre schön, wenn wir uns auf die Frage konzentrieren könnten, wie man ein AD von einem Server im abges. Modus entfernt. :-)
  12. Hallo zusammen, ich habe folgendes Problem: 1 Domänencontroller und 20 Clients. DC macht AD, DNS, DHCP, WINS, WSUS , FS und ERP (deswegen kann ich den Server nicht einfach neuinstallieren) Auf dem DC fiel im RAID1 eine Festplatte aus. Leider habe ich beim Neustart nicht aufgepasst und CHKDSK hat zugeschlagen (ja, schlagt mich dafür!) nun ist die NTDS.DIT so stark beschädigt, dass auch eine Reparatur mit ESENTUTL fehlschlägt. Der Server lässt sich wegen dem defekten Verzeichnisdienst nur noch im abges. Modus starten. Es gibt eine tägliche Datensicherung, nur komme ich an die nicht ran, da im abges. Modus die Backup-Software nicht auf das Backup-Laufwerk zugreifen kann (wen man dafür schägt, überlasse ich euch). Die Frage: Wie auch immer. Das AD wird nur minimal genutzt, ist also schnell wieder neu aufgesetzt. Kann man irgendwie das AD im abges. Modus vom Server kratzen? Ich will's einfach nur weg haben. Mit besten Grüßen Arne aus Hamburg P.S. Und ja, ein neuer Server steht bereits in den Startlöchern. Das Problem wieso DIESE Installation wieder laufen muss, ist das ERP-System. Es ist ein altes Host-System, dem ist das AD völlig egal. Aber ohne diese Kiste geht's eben nicht.
×
×
  • Neu erstellen...