IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Das könntest Du lösen, in dem Du in der entsprechenden Zertifikatsvorlage die Sicherheit konfigurierst Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 Guten Morgen .. habe ich getan. User Zertifikatsvorlage . Eigenschaften . Sicherheitseinstellung die Gruppe hinzugefügt (in dieser Gruppe ist mein VPN User Mitglied-sonst nirgends) beim Aufruf der .../certsrv Seite kann ich noch das Zertifikat einstellen "Benutzer" wenn ich dann aber auf erweiterte Konfiguration klicke erhalte ich folgende Fehlermeldung "Es wurden keine Zertifikatsvorlagen gefunden, oder Sie verfügen nicht über Rechte ...)" :( Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Der muss die Berechtigung lesen und registrieren haben ... Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 Alles bleibt anders :) die Gruppe der VPN User darf nach editieren des Templates für die Userzertifikatvorlage und nach ändern der Sicherheitseinstellungen der CA (lesen, registrieren) danke fehlender Berechtigungen immer noch kein Zertifikat beantragen :( Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Ähm, welche Berechtigungen hast Du jetzt wo vergeben ? Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 thx .. Konfig win2k Server: AD -> neue OU erstellt in dieser OU eine Gruppe VPN User (Sicherheitsgruppe), die Gruppe der VPN User ist an keine andere Mitgliedschaft gebunden. Innerhalb der OU dann einen VPN User erstellt mit Einwahlberechtigung (RAS Richtlinie) der die Gruppenmitgliedschaft VPN User aufweist. CA -> Unter Eigenschaften der CA Sicherheitseinstellungen dort Gruppe VPN User hinzugefügt und Berechtigungen lesen, registrieren. Active Directory Standorte und Dienste -> Ansicht Dienstknoten anzeigen -> Services -> Public Key Service -> Certificate Templates -> Zertifikatvorlage User Eigenschaften Sicherheitseinstellungen Gruppe VPN User hinzugefügt (lesen) .. ergibt Fehlermeldung beim beantragen des Zertifikates keine Vorlage gefunden oder Sicherheitseinstellungen überprüfen Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Ich habe einfach das MMC Snapin Zertifizierungsstelle geöffnet, rechtsklick auf Zertifikatvorlagen - Verwalten - rechtsklick auf Benutzer - Eigenschaften - Sicherheit - Domänenbenutzer raus - VPN-Gruppe rein - Berechtigung "registrieren" und nichts weiter ... edit: was soll das mit der OU ? Der Übersichtlichkeit halber ? Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 was soll das mit der OU? ja .. ich werde es probieren Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Tausche in den Berechtigungen der Zertifikatvorlage einfach die Domänenbenutzer gegen Deine Gruppe aus (nur die Berechtigung "registrieren" setzen, so wie in der Berechtigung der Gruppe Domänenbenutzer) Authentifizierte Benutzer - Lesen Domänen-Admins - Lesen,Schreiben,Registrieren Organisations-Admins - Lesen,Schreiben,Registrieren VPN-Gruppe - Registrieren Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 tut mir leid .. benutzt Du WIN2k Server (Standard)?? @Edit: oh pardon! hätte mal eher alles von Beginn an testen sollen :wink2: habe am Client immer nur auf aktualisieren geklickt. Nach dem vollständigen neu anmelden am Client (../certsrv) ging es dann *hmm* danke Dir .. irgendwie klaue ich Dir immer die Zeit :rolleyes: Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 27. Februar 2006 Melden Teilen Geschrieben 27. Februar 2006 Hast Du nicht gestern erzählt, dass die CA wieder auf dem 2003er ist ? Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 Ja ist sie .. Ich war aber vollständig auf nem falschen Dampfer .. ich dachte Benutzerzertifikate werden nur von 2k3-ern ausgestallt .. dem ist aber nicht so .. unabhängig davon funktioniert jetzt beides :-) wenn ich aber nur einen 2k-er benutze und (ich hoffe jetzt liege ich nicht wieder total daneben) VPN L2TP/IPSec ist nicht möglich mit 2k Standard .. darum PPTP mit EAP .. das geht erstmal .. jetzt möchte ich aber nicht immer bei der Zertifikaterstellung die CA starten sondern die sollte die ganze Zeit aktiv sein .. und wenn ein Benutzer ein Zertifikat benötigt ok .. kann ich das eigentlich noch eingrenzen das nur Benutzerzertifikate angeboten werden? bestimmt !!! :) @edit: nur Benutzer funktioniert schon :-) Eine winzige Frage interessiert mich aber noch: Wenn ich alle Benutzer von einer Zertifikatausstellung bis auf meine User innerhalb der Gruppe VPN User und den Admin ausascließe. Der Admin aber keine Einwahlrechte hat. Der Admin sich ein Zertifikat beantragt, das auch erhält. Sich an einem Client anmeldet .. irgendwo .. kann er dieses Zertifikat trotzdem zur Einwahl benutzen wenn er Einwahl unter anderm namen in der Konfig der DFÜ Verbindung angibt? Zitieren Link zu diesem Kommentar
lepfa 10 Geschrieben 27. Februar 2006 Autor Melden Teilen Geschrieben 27. Februar 2006 danke Dir -- funktioniert wunder bar :-) WIN2k Server (Standard) IIS 5 -- CA AD integriert -- Zertifikatausstellung nur an Benutzer der Gruppe VPN User und Admins :-) -- RRAS Server PPTP Auth EAP -- Einwahl via DFÜ DDNS und diese User haben auch nicht die Möglichkeit sich innerhalb der Domäne irgendwo anzumelden nur euinwählen *fein* -- kann ich das noch mehr verschärfen? ist eben nur PPTP Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.