StefanWe

Guten Morgen, ja die ADM gibt es, aber dort kann ich nicht das Standardsicherheitsprofil einstellen, welches Zertifikat der User nutzen soll. Das Problem ist ja, das jeder User auf Optionen->Sicherheit klicken muss und dort einmal auf Einstellungen und unten das Zertifikat auswählen. Dies würde ich gerne über eine GPO Lösen, doch leider finde ich hierzu keine Einstellungen. Ich kann ledigleich festlegen, das jede Mail Automatisch siginiert wird, oder die URL der CA. Bzw. der Zertifikatsverteilung. Welche Möglichkeit habe ich denn ansonsten, die Certs automatisch und sicher zu verteilen ?

Hi, bzgl des Kennwortes hast du natürlich recht. Allerdings wollte ich die PFX Dateien nur in der Zeit dort liegen lassen, bis sich die User den Morgen angemeldet haben und danach die Freigabe wieder zumachen. Das Verteilen über die GPO funktioniert ja leider nicht. Jedenfalls nicht ohne Enterprise CA. Bzgl. den ADM Dateien von Outlook, konnte ich leider nichts finden. Das mit der Doku versuch ich ja vor mir herzuschieben. Aber ich glaube mir bleibt nichts anderes über, oder hat noch jemand eine Idee?

Ok, habe nun eine Lösung gefunden. In Das Loginscript folgendes schreiben: certutil -ImportPFX -user -p passwort \\server\freigabe\%username%.pfx Nachtrag: Kennt jemand eine Möglichkeit mittels GPO die E-Mail Sicherheitseinstellungen zu editieren? Da ich zwar so das Zertifikat in den Lokalen Store bekomme, aber trotzdem noch zu jedem User rennen muss und ihm seine Sicherheitseinstellungen festlegen muss.

Hi, wir haben einen Kunden, der seine Mails signieren möchte. Dazu haben wir nun testweise bei Verisign ein 60Tage Benutzerzertifikat beantragt. Nun habe ich ja meine *.pfx Datei mit dem Cert und dem Privaten Schlüssel. Wie bekomme ich dieses Zertifikat, bzw. für die anderen Benutzer die Zertifikate automatisch im Netzwerk ausgerollt, ohne es an jedem Client manuell zu importieren? Für eine eigene CA auf Basis Win 2003/2008 Enterprise ist das Unternehmen zu klein. Daher wollten wir für die User einzelne Zertifikate bei Verisign beantragen. Oder bin ich auf einem Holzweg, so dass das Ausrollen nur über eigene CA funktioniert ? Da ich ja beim Import des Privaten Schlüssels das Kennwort eingeben muss. PS: Mailclient ist Outlook 2003, angebunden an Exchange 2003.

wie gesagt, wie siehts mit den vcpus aus?

Also Punkt a würde entsprechen. Ich sicher auf dem Medienserver schon einen SQL Express Server. Habe eben mal Testweise eine zweite SQL Agent Lizenz eingespielt. Und den Durchlauf angestoßen. Aber ****erweise immer noch die gleiche Fehlermeldung.

Wieviele virtuelle CPUs hast du dem TS gegeben? Ich kenn das Problem bei VMWare, das wenn die VM mehr als 1vCPU hat, sie doch ab udn an einfach einige Sekunden hängt und dann weiter läuft. Versuche mal die vCPUs auf 1 zu reduzieren und guck obs dann besser läuft.

Guten Morgen, ich habe bei einem Kunden 2 Server laufen. Auf dem Hauptserver läuft Backup Exec 12.5, auf dem zweiten entsprechend der Remote Agent. ****erweise ist auf dem zweiten Server ein SQL Express 2005 installiert. Ich habe Lizenztechnisch eine Backup Exec Lizenz, eine Remote Agent Lizenz und eine SQL Agent Lizenz. Alle andern Daten des zweiten Servers werden ohne Probleme gesichert. Nur der SQL Express wird nicht gesichert. Im täglichen Log taucht folgendes auf: Brauch ich eien Extra Lizenz für den Remote SQL ?Oder kann der Remote Agent schlichtweg remote keine SQL Server sichern?

Hi, ich habe eine Testumgebung mit den RemoteApps aufgebaut. Und zwar habe ich einen domänencontroller aufgesetzt und darauf die Terminal Services. ( Ja ich weiß, sollte in der praxis nicht gemacht werden) Dc wird aber benötigt, so dass man bei den Remoteapps die Anwendungen zu benutzergruppen zuordnen kann. Habe dann einen Benutzer angelegt: benutzer1 Wenn ich nun als App z.b. Paint in den Remoteapps freigebe und per Webüberfläche ( https://terminalserver/rdweb ) eingebe, muss ich mich authentifizieren. Nun kann ich das App anklicken und es wird gestartet. ****erweise wird in dem Moment, wo ich auf das App klicke, nochmal nach Benutzername und Kennwort gefragt. Client ist in diesem Fall Vista Business mit aktuellstem Update für RDP. Kann man diese letzte authentifizierung irgendwie ausschalten, so dass die anmeldung an der Webseite weiter gereicht wird ?

ja genau, das Cert war mittels der GPO in den Trusted Root Store importiert. Aber hilft auch nichts. Ich glaube ich gebe das langsam auf ^^

mh du hast recht. Naja mit die Fehlercodes hab ich nicht wirklich ernst genommen, da meist diese mir nichts ausgesagt haben, wenn man nach gegoogelt hat. Aber scheint ja diesmal anders zu sein. Dann versuche ich einmal das Zertifikat aus dem IIS zu exportieren und auf dem MObile Client zu importieren. Aus dem IIS sollte ja richtig sein, weil hier das OWA Cert liegt. Oder?

so, habe gerade nochmal nachgeschaut auf dem mda. Fehlermeldung lautet exakt. Synchronisierung konnte nicht beendet werden. Fehler 0x80072F17.

Guten Morgen, also das DRA liegt im Physikal Store unterhalb von Vertrauenswürdige Stammzertifizierungsstellen-> Gruppentichlinie->Zertifikate Ein anderes Cert als DRA hab ich nirgends gefunden. Das einzige, ich hatte unterhalb von Vertrauenswürdige Personen zwei mal den Administrator drin mit einem Cert für verschlüsselndes Dateisystem. Habe das eine Cert gelöscht und das andere in den Vertrauenswürdigen Stammcerts importiert. Aber trotzdem kein Erfolg. Kann es denn nicht sein, dass das DRA Cert falsch ist? Muss ich das wirklich nur mit cipher.exe /r:dateiname machen? Und dann in dem Gruppenrichtlinienverwalter das cert also die *.cer Datei auswählen? Muss ich den Privaten schlüssel nicht irgendwo extra noch importieren?

Ähm die Fehlermeldung lautet: Der Synchronisierungsvorgang wurde abgebrochen. Mehr steht dort nicht, wenn man auf "Status" klickt. Aber um das mit dem CA nochmal anzusprechen. Dies wird vermutlich der Grund sein, oder? Zum testen, wie bekomme ich das selbstsignierte Cert denn exportiert, bzw. auf den Mobile Client importiert ?

Hi, bei einem Kunden betreibe ich einen Exchange 2007. Owa ist von extern erreichbar. https://mail.firma.de/owa Das iphone ließ sich einwandfrei mit der push funktion einrichten. Nun hat ein weiterer mitarbeiter ein MDA mit Win Mobile 5. Hier sollte nun Active Sync eingerichtet werden, das er dirrekt mit dem exchange abgleichen kann. Habe soweit alles eingetragen, allerdings sobald ich auf Synchronisieren klicke, kommt kurz die Meldung Ordner werden synchronisiert und dann bricht der vorgang ab. Leider steht dort keien Fehlermeldung die weiterhilft. Nun ist es so, das ich für den Exchange kein offizielles Zertifikat habe. Kann es sein, das ich das Exchange Zertifikat erst auf das Mobile Gerät kopieren muss, oder gibt es noch weiteres was falsch läuft? An der Firewall ist nur Port 443 für die SSL Verbindung und 25 für SMTP zum Exchange weitergeleitet. Der User hat in den Eigenschaften Active Sync und owa Zugriff.

Guten Morgen, erstmal nocheinmal ein großes Danke, das du dir die Mühe machst. der RSOP war vom SBS. Ich habe jetzt gerade im Lokalen Zertifikatsspeicher des SBS geschaut( nicht des Administrators) Und im Ordner Vertrauenswürdige Stammzertifikate -> Zertifikate gibt es ein "Datenwiederherstellungs Zertifikat. Dieses ist fausgestellt für den Administrator und auch vom Administrator ausgestellt. Gültig bis 19.09.2109. Allerdings bei Angezeigter Name steht <Keine> Es lässt sich nun auch nach einigen Tagen warten immernoch nichts auf dem SBS verschlüsseln.

@sschulz80: der Haken ist definitiv gesetzt. @olc: Punkt 6 habe ich noch nicht gemacht. Habe es nun aber durchgeführt, sowie ein gpupdate - brachte leider immernoch keinen Erfolg. Im lokalen Zertifikatsspeicher ist das Zertifikat nun auch bei allen CLients drin. Die GPO wird also einwandfrei angewendet. Ich vermute das Problem liegt eher am Administratorkonto. Da ich selbst wenn ich am SBS2003 angemeldet bin, als Administrator auf den Lokalen Festplatten nichts verschlüsseln kann, ich erhalte dann immer die selbe Fehlermeldung, wie beim Client.

Also der Fileserver ist gleichzeitig der Domänencontroller auf dem ich das DRA Zertifikat erstellt habe. Durch die Gruppenrichtlinienergebnisse habe ich folgende ausgabe. ZertifikateAusblenden Ausgestellt für Ausgestellt von Gültig bis Beabsichtigte Zwecke Ausschlaggebendes Gruppenrichtlinienobjekt Administrator Administrator 19.09.2109 17:02:33 Dateiwiederherstellung Default Domain Policy Starten Sie den Gruppenrichtlinienobjekt-Editor für weitere Informationen über bestimmte Einstellungen. Damit wurde die DomainPolcy geladen und auch angewendet. Allerdings ist mir folgendes Aufgefallen. Ich habe gerade als angemeldeter Administrator am Server(Fileserver) versucht einen Ordner zu verschlüsseln. Hier erhalte ich die selbe Fehlermeldung wie vom Vista CLient übers Netzlaufwerk. Also scheint der Hund beim Server begraben zu sein. Benötige ich denn noch ein anderes Cert ?

Hi, habe gerade folgendes festgestellt. Wenn ich von meinem Vista Client auf dem Lokalen PC einen Ordner verschlüssel geht dies einwandfrei. Mache ich es aber auf einem Netzlaufwerk auf dem Server, erhalte ob obige Fehlermeldung. Habe nun die Selbsterstellten Zertifikate mit cipher /r:dateiname gelöscht. Anschließend in der Default Domain Policy das Datenwiederherstellungszertifikat gelöscht. Dann mit cipher ein neues Cert erstellt und in die DefaultDomainPolicy importiert. EIn Update mittels gpupdate /force am client brachte weiterhin keinen Erfolg. Ich kann keine Ordner/Dateien auf Netzlaufwerken verschlüsseln.

Das Howto habe ich bereits gelesen, allerdings brachte es nicht den erhofften Erfolg. Ich habe mir mit cipher /r:dateiname ein neues zertifikat für den Administrator erstellt. Habe eine Zertifikatdatei und eine Datei mit dem Privaten Schlüssel. Wenn ich nun im Gruppenrichtlinieneditor unterhalb von Verschlüsselndesdateisystem auf Datenrettungsassistentren hinzufügen klicke und im Wizard den Admin auswähle, erhalte ich die Fehlermeldung, das der ausgewählte Benutzer nicht über geeignete Zertfikate für EFS-Weiderherstellung verfügt. Wähle ich hingegen das Zertifikat direkt aus, importiert er dieses einwandfrei und der Admin steht dort wieder drin. Am Vista Client hingegen kann ich trotzdem keine Dateien verschlüsseln, da ich die Fehlermeldung bekomme, das der Client über kein geeignetes Wiederherstellungszertifikat verfügt. Natürlich habe ich ein gpupdate /force durchgeführt und auch einen neustart. Also die Default Domain Policy sollte eigentlich erfolgreich geladen worden sein. Hier im Forum oder internet hab ich diesbezüglich leider noch nichts gefunden, was mir weiterhilft. Was mich eben auch sehr stark wundert, das im am Server die Meldung bekomme, dass der Administrator über kein geeignetes Zertifikat verfügt. Wenn ich im lokalen Zertifikatsspeicher des Benutzers-Administrator schaue, ist das Datenwiederherstellungscert dort vorhanden.

also ich habe mir die adm dateien für outlook2007 bei http://www.gruppenrichtlienen.de runtergeladen und im gruppenrichtlienieneditor importiert. dann hatte ich unterhalb von den benutzereinstellungen->administrative einstellungen die möglichkeit outlook dementsprechend zu konfigurieren. Du musst aber die richtige outlook adm nehmen und nciht office 2007. und dann kannst du dort das simple mapi einstellen. Aber du musst mehrere einstellungen machen. Die eine reicht nicht. kann dir jetzt außem kopf nicht genau sagen welche das sind. Du musst aber auch in relativ oberer instanz sagen, das er die domäneneinstellungen nehmen soll und nicht die lokalen.

Guten Morgen, ich habe hier einen Win 2003 Server. Dieser läuft nun seit 3 Jahren. Ich möchte nun für einige User aus der Buchhaltung EFS auf den Netzlaufwerken auf dem Server nutzen. Ich habe keine Zertifikatsstelle, möchte also mit Selbstsignierten Certs arbeiten. Nun wollte ich zuerst das Datenwiederherstellungszertifikat des Domänenadministrators + Privaten Schlüssel sichern. Mir ist allerdings aufgefallen, dass das Zertifikat abgelaufen ist. Nun soll ja auch der oder die User EFS nutzen. Beim aktivieren der Dateiverschlüsselung wird ja das UserCert automatisch erstellt. Allerdings erhalte ich folgende Fehlermeldung: Die Wiederherstellungsrichtlinie für diesen Computer enthält ein ungültiges Wiederherstellungszertifikat. Ich vermute diese meldung kommt, weil das Cert des Admins abgelaufen ist, richtig ? Nun meine Fragen. 1: Wie verlänger ich das Datenwiederherstellungszertifikat des Admins ohne Zertifikatsstelle ? 2: Reicht es das Datenwiederherstellungszertifikat + Priv. Schlüssel zu sichern, oder muss ich das Datenverschlüssellungszertifikat auch noch sichern ? 3: Wenn in 2 Jahren das Zertifikat für die User abläuft, wie verlänger ich dann diese Zertifikate ?

Hi Günther, das habe ich bei Outlook 2003 versucht. Du meinst eine Clientregel? Ich habe gesagtm, wenn Empfänger = @domain2.de dann in den unterordner schieben. Dies brachte aber leiden keinen erfolg. Die Mails kamen trotzdem alle in dem Haupteingang rein. Und als Empfänger stand immer die Hauptadresse des benutzers.

Wie meinst du das mit dem zweiten Postfach? Das Problem ist aber auch, wenn alle Mails in einem Eingangsordner landen, das man komischerweise nciht erkennen kann, ob die Email nun an Domain1 oder Domain2 gerichtet war. Da im An Feld lediglich die Hauptadresse des Benutzers auftaucht.

Ja funktionieren tut es, Allerdings müssen dann für jede Emailadresse für jeden Benutzer 2 Postfächer eingerichtet werden. D.h. doppelte Anmeldung. Also User1PostfachDomain1 und User1PostfachDomain2. Und das ist ja auch nciht so ganz Sinn der Sache und dazu kommt, das man die mails dann mit dem einen Konto per Pop3 oder Imap Abruft, was ja auch wieder unschön ist.