Pred2k3

Folgendes ist mir bei den Gruppenrichtlinien hinsichtlich Autoenrollment noch nicht ganz klar: (ist zwar ne alte Version, aber hab keinen besseren screenshot gefunden) "Zertifikate aktualisieren, die Zertifikatvorlagen verwenden" Wie ist das zu verstehen und wo liegt der Unterschied zum oberen Punkt? Dann ist mir noch was aufgefallen bei der Anforderung von Webserver Zertifikaten. Wenn ich Ort, Organisation, Organisationseinheit etc. im CSR habe, bekomme ich folgenden Fehler: Wenn ich paar Werte weglasse, dann klappt es, aber dann stell ich mir die Frage, wie ich ein Zertifikat mit den oben genannte Daten ausstelle, die Länge ist doch nichts besondres..

zu 2 nochmal ne kurze Nachfrage: Muss autoenrollment in der Zertifikatsvorlage aktiviert sein, damit der Client sich den Status prüft? Mein Plan ist der folgende: Ich möchte ein Zertifikat, das zuerst genehmigt werden muss, manuell anfordern, aber nach Genehmigung automatisch "deployen". Das Zertifikat soll nicht automatisch angefordert werden. zu3: Die Windows XP Maschine befindet sich in keiner Domäne (und auch wenn sie in der Domäne ist, kein Unterschied). Ich möchte einfach nur ein CSR erstellen, was mit Vista und W7 problemlos geht. Gruß pred2k3

Danke erstmal für die schnelle Antwort. zu 2: Da war ich wohl zu ungeduldig :). Müssen die Zertifikate im AD veröffentlicht werden, damit sie automatisch "geholt" werden, wenn genehmigt? zu 3: Nein sind Standard 2000/2003 Vorlagen. Vielleicht hast du mich falsch verstanden: Es geht bei dieser Frage nicht um Autoenrollment, ich will einfach nur die mmc eine Zertifikatanforderung erstellen (Rechtsklick auf "Eigene Zertifikate" -> "Alle Aufgaben" - > "Neues Zertifikat anfordern"

Moin, habe mir mal nen AD + AD Certificate Services hochgezogen und habe dazu folgende Fragen: 1. Ist es möglich auch private Schlüssel automatisch zu enrollen, so dass der Benutzer von jedem Rechner aus beispielsweise E-Mail signieren kann? Standardmäßig steht ja nur der Public Key im ActiveDirectry. 2. Wenn ich von einem Rechner aus ein Zertifikat anfordere, was zunächst durch die CA bestätigt werden muss, muss ich es anschließend händisch importieren, gibt es da eine Möglichkeit, dass der Rechner sich das Zertifikat automatisch holt, wenn genehmigt? 3. Und zuguter letzt: Ich kann unter Windows XP keine Zertifikate über die Managment Konsole anfordern: Unter Windows Vista und 7 gehts problemlos. Gruß Pred2k3

moin, danke erstmal für die Hilfe. Server1 hat die IP-Adresse 192.168.99.166 Server2 hat die IP-Adresse 192.168.99.167 Also der GUID Name wurde richtig zugeordent, trotzdem habe ich ihn gelöscht und den Anmeldungsdienst neugestartet. Nach dem Neustart wurde keine neue GUID erstellt, woraufhin ich den DNS neugestartet habe, was aber auch nichts gebracht hat. Zu guter letzt hab ich nochmals den kompletten Server neugestartet, aber ohne Erfolg. In der Ereignisanzeige tritt bei Neustart des Anmeldeservers folgender Fehler auf:

Okay, dann werde ich nochmal oben genannte Punkte zusammenfassen. Also folgende Ausganssituation: Ich hab einen Server, ich nenne ihn jetzt "Server1", mit Active Directory, der bis jetzt einziger Domain Controller ist. Nun kommt ein zweiter Server, "Server2", ins Spiel, der die Aufgaben von "Server1" übernehmen soll. Den Umzug habe ich wie folgt durchgeführt: 1. "Server2" über dcpromo in die Domäne eingebunden (als DomainController) 2. "Server2" als "Globalen Katalog" registriert 3. Alle Betriebsmaster Rollen auf "Server2" umgezogen: RID,PDC,Inrastructure,Scheme Master, Domain Naming Master 4. Replikation verifiziert 5. DNS IP Adresse auf "Server2" auf lokale (von Server2) eingestellt 6. AD auf "Server1" über dcpromo deinstalliert 7. "Server1" aus Domäne entfernt 8. "Server1 in "Server2" aus Sites and Services entfernt 9. Anschließend habe ich das Diagnosetool "dcdiag" auf "Server2" gestartet, um zu gucken, ob alles ordentlich über die Bühne gebracht wurde. Dabei ist folgender Fehler beim Konnektivitätstest aufgetreten:

Logischerweise den Neuen, da ich den Alten erfolgreich herabgestuft und aus der Domäne entfernt habe (ohne Probleme). Das heißt der alte Server ist nun erstmal komplett aus dem Schneider und es sollte nur noch mit dem Neuen gearbeitet werden. TERMIISREPLICA = Neuer Server

Woran das Problem liegt? Kann ich dir nicht sagen. Es funktioniert soweit alles, nur dass "dcdiag" nicht alle Tests erfolgreich besteht und oben genannte Fehlermeldung ausgibt. Und da ich saubere Konfigurationen gutheiße möchte ich gerne die Ursache lokalisieren.

Hi, also ich hatte schonmal den Server neu gestartet, was dem gleich kommt, aber das hat keine Abhilfe geschafft. Ist es möglich die DNS Einträge irgendwie automatisch bereinigen zu lassen? (diese Rechtsklickfunktion bringt keine Abhilfe)

Die Festplatte vom alten DC gibt so langsam den Geist auf, deshalb muss umgezogen werden. Den alten DC habe ich schon entfernen können aus Sites and Services.

Hi, wir möchten unseren alten AD Server (windows server 2003 sp1) auf R2 umstellen. Hierfür habe ich ein kleines Szenario mit virtuellen Mascheinen aufgestellt (aber R2 auf R2) und bin wie folgt vorgegangen: 1. dcpromo (gettype) 2. DNS 3. Operation Master Roles transferieren: 3.1. Sites and Services: NTDS: Globaler Katalog 3.2. Warten auf Verzeichnisdienst-Event: 1119 oder 1869 3.3. Neustart 3.4. Verbinden zur Domäne (Active Directory Users and Computers) 3.5. RID Master Role: Rechtsklick Domäne-Operation Master-RID-Change 3.6. PDC Master Role: " PDC-Change 3.7. Infrastructure Master-Role: " -Infrastructure-Change 3.8. Domain Name Master-Role: 3.8.1. AD Domänen und Vertrauensstellungen öffnen 3.8.2. Verbinden zu Domain controller (neuer Server) 3.8.3. Betriebsmaster ändern 3.9. Scheme Master Role 3.9.1. regsvr32 schmmgmt.dll 3.9.2. mmc 3.9.3. Snap-In hinzufügen: Active Directory Schema 3.9.4. Verbindung zu DC (Neuer Server) 3.9.5 Betriebsmaster ändern 3.10. Lizenzserver 3.10.1 AD Sites and Services 3.10.2 Default First-Site-Name: Licensing Site Settings 3.10.3 Change - dest. server 3.11. DNS Server ändern (auf neuen) 3.12. Replikation verifizieren 3.12.1 Active Directory Sites and Services 3.12.2 Default 3.12.3 Neuen Server wählen 3.12.4 "Jetzt replizieren" 4. dcpromo auf altem Server ausführen und Active Directory deinstallieren (falls Probleme auftreten, aus Globalem Katalog entfernen) 5. Alten Server aus der Domäne entfernen 6. Alten Server aus Sites and Services entfernen Bis hierhin keine Fehler: Rechner lassen sich problemlos in die Domäne einbinden und können auch in dieser arbeiten. Zuletzt habe ich dann noch "dcdiag" drüberlaufen lassen und folgender Fehler tritt auf: Doing initial required tests Testing server: Standardname-des-ersten-StandortsTERMIISREPLICA Starting test: Connectivity The host 276f649e-2bf4-43c1-af24-b6d67dcb41d0._msdcs.adtest.local could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc Although the Guid DNS name (276f649e-2bf4-43c1-af24-b6d67dcb41d0._msdcs.adtest.local) couldn't be resolved, the server name (termiisreplica.adtest.local) resolved to the IP address (192.168.99.167) and was pingable. Check that the IP address is registered correctly with the DNS server. ......................... TERMIISREPLICA failed test Connectivity Die anderen Tests laufen erfolgreich durch. Woran kann das liegen? (der Fehler tritt nach sowie vor dem Entfernen der DNS-Einträge auf). Gruß Markus