olc

Hi, also ich verstehe die Frage ehrlich gesagt nicht so richtig. Wenn ich aber von der Bitmaske ausgehe (jedes HEX-digit hält 4 Bit), dann wären 52 Bit bei 3FFA:FF2B:4D:A400::/53 erreicht, um genauer zu sein bei "3FFA:FF2B:4D:A". Aber wie gesagt, so richtig klar ist mir die Fragestellung nicht. Viele Grüße olc

Hi, warum soll das Root Zertifikat nur in den Benutzer Trusted Root Store importiert werden? Es ist vollkommen in Ordnung, es in den Computer Bereich zu importieren. Dann steht es jedem Benutzer der Maschine als "trusted" zur Verfügung. Und noch einmal in aller Deutlichkeit: Die derzeitige Verteilung der Zertifikate + privaten Schlüssel ist absolut unsicher und ich empfehle Dir, das in der Form nicht durchzuführen. Viele Grüße olc

Hi, schau Dir einmal das Tool EventCombMT an, damit kannst Du recht komfortabel nach den entsprechenden EventIDs auf den DCs suchen. Damit sollte dann auch eine Eingrenzung auf die Client-Maschine möglich sein, von der aus der Account gesperrt wurde. Und es ist ganz sicher eine Sperrung (also Account Lockout) und keine Deaktivierung? Viele Grüße olc

Hi zusammen, testet doch einfach die im Netz befindlichen Beispiele. Das sollte doch machbar sein. ;) Zum Beispiel: Daraus geht zum Beispiel hervor, daß die Angabe des Shares optional ist. Selber testen macht schlau. ;) Viele Grüße olc

Guten Abend, Du hast scheinbar 2x das gleiche Zertifikat gepostet (nämlich das der Root CA). Viele Grüße olc

Hi, auch wenn es nur 10 Sekunden wären, wäre diese Zeit der Verteilung inkl. des Kennworts zu viel. Insbesondere, wenn es bei dem Vorhaben um Sicherheit geht... ;) Es gibt mit Sicherheit ADM / ADMX Vorlagen. Schau einmal in den folgenden Artikel (recht weit unten): Using S/MIME in Microsoft Outlook Viele Grüße olc

Hi, der TO meint m.E., daß er eine Schemaerweiterung auf Version des Windows Server 2008 durchführen will und fragt sich nun, ob die vielleicht unsaubere Entfernung von Exchange zu Problemen führen kann. In Bezug auf die Schemaerweiterung ist wohl eher nicht von Problemen auszugehen - insgesamt sollte die Umgebung jedoch vorher in Bezug auf die Exchange Objekte etc. in Ordnung gebracht werden, damit es nicht zu anderen Problemen kommt. Viele Grüße olc

Glaube ich gern, aber das würde ich beim Hersteller reklamieren. ;)

Hi, ja, das war der richtige Weg und die beiden Winnet Zertifikate sind interessant. Poste einfach den Certutil Export von beiden Zertifikaten, nachdem Du diese in eine *.cer Datei exportiert hast. :) Viele Grüße olc

Hi, muß es VBScript sein oder ist auch eine andere Scriptsprache möglich, etwa PowerShell? Viele Grüße olc

Hi, Microsoft empfiehlt nicht umsonst, zumindest einen DC jeder Domäne weiterhin als physisches System zu betreiben. Der PDCe ist da meiner Meinung nach ein guter Kandidat dafür. Viele Grüße olc

Hi, daß das Kennwort im Klartext auf der Serverfreigabe liegt, bereitet Dir keien Kopfschmerzen? Was nützt Signierung, wenn sich jeder Prozess (also auch Schädlinge) das PFX inkl. des Kennworts unter den Nagel reißen können? Bezüglich der Sicherheitseinstellungen: Prüfe einmal die Office ADMX Dateien / Vorlagen. Falls nicht vorhanden, reicht im Normalfall eine Dokumentation für die Benutzer, die Ihnen die 5 Klicks zeigt. Viele Grüße olc

Hi, der certutil Export fehlt. ;) Viele Grüße olc

Hi Gnoovy, kein Problem. :) Öffne eine MMC auf der Sub-CA. Dort fügst Du das SnapIn "Zertifikate" hinzu - bei Nachfrage den "Computer" Teil. Dann schaust Du in den "Zwischenzertifizierungsstellen" (ich hoffe der deutsche Name ist korrekt, sonst heißt es irgendwie ähnlich) und Du suchst das Zertifikat der Sub-CA heraus. Nach dem Doppelklick auf das Zertifikat schaust Du in den Details nach der AIA und der CRL. Bitte poste einmal die URLs, die darin stehen. Danach klickst Du auf "Export" des Zertifikats, exportierst es ohne privaten Schlüssel in eine DER-encoded *.cer Datei. Gegen diese Datei läßt Du folgendes Kommando laufen: C:\> certutil -verify -urlfetch Zertifikat.cer Die Ausgabe postest Du hier, bitte ebenso die Daten entfernen, die nicht in ein öffentliches Forum gehören (Firmennamen etc.). Viele Grüße olc

Hi, das im Artikel genannte Vorgehen auf der CA hast Du umgesetzt? Poste doch einmal einen Dump des Zertifikats (mittels "certutil.exe -dump certificate.cer"). Aber bitte entferne / maskiere die Daten, die nicht in ein Forum gehören. Viele Grüße olc

Hi, wo liegen denn die verschlüsselten Benutzerdaten? Auf einem Server oder lokal auf den Clients? Wie Nils schon sagte: Beschreibe Deine Umgebung etwas genauer, dann kann man vielleicht helfen. Viele Grüße olc

Hi Gruffy, einfach neue Zertifikate ausrollen reicht nicht ;). Nur ein Beispiel dazu: IIS mit SSL wird nicht einfach das neue Zertifikat übernehmen (zumindest nicht in dieser Konstellation). Du müßtest das neue Zertifikat der neuen CA manuell "umbauen". Wenn keine speziellen Anforderungen existieren, könnte es mit Client und Benutzer Zertifikaten klappen. Aber auch da gibt es Fallstricke, so daß man zumindest die alten Zertifikate entfernt, um Fehlern vorzubeugen. Es kommt wie gesagt ein wenig auf Deine Umgebung an - es kann alles recht problemlos laufen, es kann aber auch richtig heftige Probleme geben. Wofür setzt Ihr denn derzeit die PKI ein, d.h. was für Zertifikate stellt Ihr aus, für welchen Zweck etc.? Viele Grüße olc

Hi, dort scheint das "/Share:test" zu viel zu sein. Ich kann nur noch einmal auf den oben verlinkten Artikel verweisen: Dfsutil Examples: Storage Services; Remote File Systems; File and Storage Services Aber dabei solltest Du auch das beachten: Ich bin mir bei Deiner Konstellation nicht so sicher, daß es das ist, was Du möchtest. Das läßt sich mit den vorhandenen Informationen schlecht einschätzen. Also nochmal der Hinweis, daß Du ein Backup haben solltest. Viele Grüße olc

Hi MZ, was genau funktioniert nicht, wenn Du die Webseite dafür nutzt? Gibt es eine Fehlermeldung? Viele Grüße olc

Hi, zeigt das Link-Ziel auf einem Windows Server oder auf ein (Linux/BSD/*) NAS o.ä.? Verwendest Du IP-Adressen, NetBIOS Namen oder DNS Namen für den Zugriff? EDIT: Übrigens sind Crossposts auf verschiedenen Foren nicht gern gesehen. Wenn es Dir so unglaublich wichtig ist, eine schnelle Antwort zu bekommen, dann ist ein bezahlter Dienstleister die richtige Lösung für Dich. Viele Grüße olc

Hi Gruffy, das ist schwer zu sagen, kommt auf Deine Umgebung / Applikationen / Dienste an. Grundsätzlich kannst Du schon alles neu machen - die Frage ist eher, was passiert mit den alten ausgerollten Zertifikaten? Insbesondere auf Server-Systemen. Wenn überhaupt, dann solltest Du das auch in Bezug auf die CA selbst richtig angehen: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 Viele Grüße olc

Hi, auch auf die Gefahr hin, mich zu wiederholen - ich meine das Zertifikat, nicht die CA Einstellungen. Viele Grüße olc

Hi, also dann verstehe ich das Problem nicht wirklich: Warum stellst Du ein Zertifikat aus, welches auf die Domain "remote.domain.de" zeigt, wenn Du nur internen Verkehr absichern möchtest? Mag sein, daß ich der einzige bin, der es nicht versteht; aber beschreibe doch noch einmal mit einfachen Worten, was genau das Problem ist bzw. der Aufbau Deiner Umgebung und wann es zu der Fehlermeldung kommt. Viele Grüße olc

Hi, entscheident sind die AIA und CRL Informationen im Zertifikat der Sub-CA. Die müßtest Du einmal posten. Wenn diese Einstellungen auf die Root-CA zeigen, dann solltest Du diese nicht abschalten. ;) Viele Grüße olc

Hi, sollte der Hinweis mit dem NLB nicht klappen, dann gibt es in MSCONFIG den Haken "alle Microsoft Dienste ausblenden". Damit kannst Du dann schrittweise die Third-Party Dienste durchtesten. Wenn Du den SNMP Dienst deaktivierst, tritt der Fehler dann weiterhin auf? Viele Grüße olc