olc

Hi, ich frage nochmal: Was spricht dagegen, es als Batch-Datei auszuführen? Oder dafür eine kleine GUI fertig zu machen? Wenn Du mal gegenrechnest, was Du bisher für Aufwand in die Thematik gesteckt hast, wäre ein Dienstleister sicher drin gewesen, der etwas dafür programmiert. Viele Grüße olc

...nur, damit hier keine Mißverständnisse aufkommen: Natürlich kannst Du "out-of-the-box" mit einer PKI und Windows Betriebssystemen auch eine SmartCard Infrastruktur aufbauen. Dazu benötigst Du "nichts" ´zusätzlich außer dem client-lokalen CSP für die Karten. Was blub beschreibt ist die Möglichkeit der Verwaltung, die sich ohne Zusatzprodukte häufig recht mühselig gestaltet, je nach Szenario. Viele Grüße olc

Hi, wie Du selbst erkennen wirst, sind keine SPNs für "SMTP" und "SMTPSVC" vorhanden. Das von Dir oben abgesprochene Registrieren kann also nicht funktioniert haben. Du wirst es wiederholen müssen. Poste einmal die Ausgabe von C:\> SETSPN -A SMTP/DC-W2K8SBS1.wavemaster.local DC-W2K8SBS1 C:\> SETSPN -A SMTP/DC-W2K8SBS1 DC-W2K8SBS1 C:\> SETSPN -A SMTPSVC/DC-W2K8SBS1.wavemaster.local DC-W2K8SBS1 C:\> SETSPN -A SMTPSVC/DC-W2K8SBS1 DC-W2K8SBS1 und danach wieder "SETSPN -L DC-W2K8SBS1". Viele Grüße olc

Hi, gib uns einmal ein "setspn -L computername_des_SBS". Dann sehen wir, welche SPNs registriert sind. Viele Grüße olc

Hi, wie werden die Zertifikate denn generiert? Wenn Ihr eine Enterprise CA habt, ist Autoenrollment wohl die beste Lösung. Es lassen sich per GPO in den Benutzerspeicher keine Zertifikate importieren. Das müßte man dann z.B. per Logonscript verteilen. Was genau ist die Ausgangssituation? Was konkret möchtest Du erreichen? Viele Grüße olc

...und warum machst Du Doppel- und Dreifachposts? Zumal ich Dir die Antwort schon im anderen Thread gegeben habe: "ChangeType: modify" verwenden anstatt "changeTyp: modify". https://www.mcseboard.de/windows-forum-scripting-71/aenderung-gruppenmitgliedschaften-mti-befehl-ldifde-funktioniert-175115.html https://www.mcseboard.de/windows-forum-scripting-71/gruppen-per-ms-dos-eingabeforderung-hinzufuegen-175192.html Viele Grüße olc

Hi, nachdem der erste Screenshot nun freigeschaltet sieht es so aus, als ob zwischen "ACL_Budget" und "_Bearbeiten" ein Leerzeichen zu viel ist. Entweder Du benennst die Gruppe inkl. Windows 2000 Namen um oder der Befehl muß wie folgt lauten: dsmod group "CN=ACL_Budget_ Bearbeiten,OU=Gruppen,DC=contoso,DC=com" -addmbr "CN=Finanzen,OU=Gruppen,DC=contoso,DC=com" Viele Grüße olc

Hi, laut dem Filter des Intranet Systems fragst Du neben dem sAMAccountName unter anderem nach dem Vor- und Nachnamen: Daher bekommst Du sicherlich auch die entsprechende Rückmeldung. Wo genau nutzt Du denn die Rückgabewerte? Was genau konfigurierst Du auf Intranet-System Seite? Was soll mit der Rückgabe passieren? Das Problem liegt meines Erachtens nicht in der LDAP-Rückmeldung, sondern an dem, was das Intranet-System daraus macht bzw. was Du darauf "mapst". Viele Grüße olc

Hi Herrmann, wie gesagt, angeben für die LDAP-Suche kannst Du den sAMAccountName angeben, aber welche Attribute zurück gegeben werden, muß nicht das selbe sein. Das definiert die LDAP-Abfrage. Ziehe einmal einen Netzwerktrace von dem Request, falls "Confluence" keine Einstellmöglichkeiten für die LDAP-Suche bietet. Dort sollte sichtbar werden, wonach gefiltert wird. Viele Grüße olc

Hi Aranis, der Anhang ist noch nicht freigeschaltet - aber aufgrund der Länge des Gruppennamens würde ich tippen, daß Du es mit diesem namen "ACL_Budget_Bearbeiten" nicht hinbekommen wirst. Öffne einmal die Gruppe per AD Users & Computers, schau nach dem Windows 2000 Namen und versuche es mit diesem. Mit dem sollte es dann klappen. Viele Grüße olc

Hi Hermann, wahrscheinlich fragt Deine Intranet Applikation nach diesen Daten. Kannst Du die Applikationseinstellungen entsprechend ändern? Welches Intranet-System verwendet ihr? Viele Grüße olc

Ok, was genau kann man tun, als Dir alles, was Du brauchst, oben zu beschreiben? Zeigen können wir Dir hier alles, verstehen mußt Du es selbst. ;)

Off-Topic: Ach, wer liest schon alle Beiträge...? :D Nein, mal ehrlich: Sorry, hab ich übersehen. :)

...was heißt "keine Lösung"? Sollte Norbert Recht behalten...? ;)

Hi, welches Betriebssystem haben die anderen DCs? Sollten 2003er DCs dabei sein, solltest Du prüfen, ob folgendes Update auf den 2003er DCs installiert ist: Description of the Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients and for Windows Vista Viele Grüße olc

Hi, set_password.bat: dsquery user %%1 | dsmod user -mustchpwd yes -pwd P@ssw0rd! Aufruf: C:\> set_password.bat <sAmAccountName des Benutzers> Viele Grüße olc

Hi, nein, es ist weder ein Bug noch "nicht supported". ;) Es ist schlichtweg kompliziert, funktioniert jedoch: Extending the Applications Snap-in (Windows) Viele Grüße olc

Hi, versuch es einmal mit "changeType" anstatt "changeTyp". Viele Grüße olc

Hi Steppe, Du kannst durchaus auch zwei CAs parallel betreiben, wenn Du Dir über die möglichen Probleme bewußt bist und entsprechende Gegenmaßnahmen ergreifst. Je nachdem, über welche Größenordnung wir hier sprechen, kann jedoch eine Ablösung der alten CA vorher Sinn machen, damit ersparst Du Dir größere Fragestellungen. Aber das geht halt nur in kleinen Umgebungen, in größeren Landschaften fällt dieser Ansatz meist aus. Bezüglich EFS: Bist Du Dir sicher, daß Du EFS korrekt deaktiviert hattest und es sich um einen Domänenclient handelte? Sofern ein Data Recovery Agent vorhanden ist, kannst Du die EFS Daten notfalls damit wiederherstellen - andernfalls müssen das die Benutzer selbst tun. Hinweise zu dem EFS Thema findest Du auch in dem oben genannten ServerHowTo.de Link. Viele Grüße olc

Hi Stephan, grunsätzlich kann man mehrere PKIs parallel betreiben, jedoch gibt es einige Fallstricke. So nutzt ein DC etwa das "erste Zertifikat", welches in seinem Speicher gefunden wird, um SmartCard Authentifizierungen, LDAP/S usw. bereitzustellen. Outlook mit S/MIME reagiert in einigen Versionen ähnlich bei E-Mail Verschlüsselung. Viele andere Applikationen und Dienste können ein gleiches Verhalten aufweisen. Was will ich damit sagen: Ohne genau zu wissen, was Du derzeit alles für Applikationen und Dienste mit Zertifikaten der aktuellen PKI nutzt, wird eine Antwort schwer. Zu den anderen Punkten hatte ich etwas gesagt. :) Viele Grüße olc

Hi Stephan, das korrekte Vorgehen ist hier beschrieben - und man tut gut daran, alle Punkte zu befolgen :) : How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 Prüfe nach verschlüsselten Dateien kannst Du entweder mit "cipher.exe" oder "EFSDump.exe": http://www.serverhowto.de/Teil-3-Fazit-und-Empfehlungen.636.0.html Viele Grüße olc

Hi, Treffer Nummer zwei meiner Suchmaschine ;) : Download details: Microsoft Windows Server 2003 R2 Enterprise Edition VHD Viele Grüße olc

Hi wulle und willkommen an Bo(a)rd, :) meine Empfehlung: Hol Dir bzw. empfehle Deinem Auftraggeber sich schnellstmöglich einen Dienstleister ins Boot zu holen, der Dich bei den Themen unterstützen kann. Das Forum ist kein guter Ort für die Aneignung von Grundlagenwissen. Das ist überhaupt nicht böse gemeint, sondern ausschließlich konstruktiv. :) Viele Grüße olc

...bevor man hier mit den harten Mitteln heran geht: Hast Du denn überhaupt konkrete Probleme oder wird der secure channel einfach nach Zuweisung der IP-Adresse aufgebaut und steht dem Computer dann schon während des Starts zur Verfügung? Wenn es außer der Fehlermeldung im Eventlog keine Probleme gibt, solltest Du nicht mit Kanonen auf Spatzen schießen. Nur wenn es tatsächlich Probleme gibt, hat es meines Erachtens Sinn, hier weiter nach Optimierungsmöglichkeiten zu suchen. Viele Grüße olc

Hi Dominik, ok, dann lagen wir also richtig mit der DHCP Vermutung. Dann ist "der Rest" ja "ein Kinderspiel"... ;) Viele Grüße olc