captncrunch

Vielen Dank auf jeden Fall für Eure Tipps&Hilfe... Lüppt soweit! Von meiner Seite aus GELÖST.

Es ist schwierig die richtigen Fragen zu stellen oder zu antworten, wenn man selbst nicht so 100%tig im Thema ist. Ja, es geht darum dynamisch SSL-Zertifikate auszustellen. Wenn es üblich ist hierbei mit einem selbstsignierten Zertifikat zu arbeiten, funktioniert der Proxy-Server jetzt korrekt und dieser Thread ist gelöst. Ich hatte nur angenommen, dass ich die CA auf dem Proxy-Server durch die Unternehmens-CA ersetzen könnte. So kann ich das vorhandene Server-Zertifikat jetzt in die GPO einbinden und in der Domäne verteilen.

Sorry für die Verwirrung, Leute. Gemäß der u. g. Tabelle verwende ich Bit 2 und 3. Ich vermute ich muss Bit 5 mit anfordern... Checke das mal! Bit Hex Description Label 8 0x0 decipherOnly Decrypt only, in conjunction with keyAgreement 7 0x1 encipherOnly Encrypt only, in conjunction with keyAgreement 6 0x2 cRLSign Signing blacklists 5 0x4 keyCertSign Signing certificates 4 0x8 keyAgreement Used, for example, for data encryption with the Diffie-Hellman method 3 0x10 dataEncipherment Data encryption, directly with the key contained in the certificate 2 0x20 keyEncipherment Key encryption, i.e. when a symmetric key is used for data encryption and this is encrypted with the key contained in the certificate 1 0x40 nonRepudiation Non-repudiation 0 0x80 digitalSignature Digital signature

Korrekt... Ich bestücke den Proxy-Server mit dem Zertifikat. Der scannt alle Webseiten. Ich habe mal das vorhanden Webserver-Zertifikat eingesetzt und bekomme den Fehler: Beim Verbinden mit www.google.de trat ein Fehler auf. Eine Verwendung des Zertifikatschlüssels ist für den versuchten Arbeitsschritt unpassend. Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE

Hey Nils, Du hast natürlich recht, etwas verworren geschrieben, allerdings habe ich lange über den Text nachgedacht. Aber ich denke mit Deinem Kommentar (danke dafür) hast Du das ja gerade gerückt. Allerdings glaube ich, dass Du korrekt erkannt hast, was ich benötige. Meine Konfigurationsdatei (auf dem Proxy-Server sieht aktuell so aus; *.cnf). Hiermit fordere ich ein SAN-Zertifikat an (typischerweise für einen Webserver). Eventuell muss ich hier nur einen weiteren Eintrag unter "keyUsage" vornehmen? Kann das sein? [req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] C = DE ST = xxx L = xxx O = xxx OU = xx CN = {servername}.{dns-suffix} [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] IP.1 = {servern-ip} DNS.1 = {servername}.{dns-suffix} DNS.2 = *.{Zusätzliche Domains} DNS.3 = *.{servername}.{dns-suffix} Im Anschluss kann ich mit dieser Datei die Request-Datei erstellen... openssl req -new -out {servername}.csr -key {servername}.key -config {servername}.cnf Um diese dann zu verwenden um das korrekte Zertifikat zu erzeugen. Oder reicht das tatsächlich so aus?

Guten Tag zusammen, ich brauche ein Zertifikat, welches meine Untergeordnete Zertifizierungsstelle im Netzwerk verwenden kann. Kurz zum Setup: - Normale Windows Domäne - Zwei Zertifizierungsstellen im Netzwerk (Windows) vorhanden - Eine Root-Zertifizierungsstelle (Stammzertifizierungsstelle des Unternehmens); Offline - Eine untergeordnete Zertifizierungsstelle; Ausstellung von Zertifikaten Ich habe einen dedizierten Linux-Server, der künftig als Proxy-Server (Transparent-Modus) laufen soll. Dieser ist funktional und verwendet derzeit (zu Testzwecken und zur Installation) ein (vom Rechner selbst) selbst-signiertes Zertifikat. Hintergrund: Die untergeordnete Zertifizierungsstelle prüft die Validität der Herkunft (vgl. Screenshot) was ohne Probleme funktioniert. Ich würde gerne, z. B. mittels "mmc" einen entsprechenden Zertifikatsrequest erstellen, der es dem Proxy erlaubt, die untergeordnete Zertifizierungsstelle zu nutzen und nicht die "eigene". Wenn ich einfach das Zertifikat der Zertifizierungsstelle im PEM-Format (BASE64) im Proxy hinterlege, terminiert der Start des Dienstes sinngemäß mit "Es liegt kein Signaturfähiges Zertifikat vor". Ich vermute, daher, dass ich bei den Eigenschaften/Erweiterungen verschiedene Angaben machen muss. Das Zertifikat muss in der Lage sein Websites zu identifizieren. PS: Ich könnte auch das selbst-signierte Zertifikat in der Domäne verteilen (das würde ganz sicher auch funktionieren). Lieber würde ich allerdings die vorhandenen Zertifizierungsstellen benutzen. Ich hoffe, ich sorge jetzt nicht für Verwirrung oder bin nicht grundsätzlich auf einem Irrweg unterwegs und bedanke mich schon einmal vorab. "mmc.exe" starten Snap-In "Certificates (local computer)" hinzufügen. Unter "Own Certificates" -> All Tasks -> "Extended" -> "Custom Request" und nochmal "Custom" wählen Vorlage "Legacy" "in PKCS #10" Eigenschaften -> Erweiterungen >> An diesem Punkt hänge ich zurzeit <<

Hallo Community, ich habe von unserem Hauptstandort eine Router-zu-Router-Verbindung etabliert (VPN, IPSec, etc.). Die Verbindung steht stabil zu unserer Zweigstelle. Das Ziel soll sein, einen weiteren AD-Controller in der Zweigstelle in Betrieb zu nehmen. Jetzt möchte ich, bevor ich den Server aufsetze, prüfen, ob die Kommunikation auf den verschiedenen, benötigten Ports, auch funktioniert. Bspw. TCP & UDP 389 (gemäß diesem Microsoft-Artikel): https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd772723(v=ws.10) Kennt ihr ein Tool mit dem ich das testen könnte? Danke an Alle!

Problem ist gelöst. Warum auch immer der IIS keine Port 80-Requests mehr angenommen hat. Nach einer Neuinstallation des Servers läuft alles.

Hallo! @Nobby: Grundsätzlich hast Du recht und ich fühle mich nicht angemacht. Es geht halt um einen privaten Test-Server, nicht um einen Firmen-Rechner. Ich lerne auch gerne dazu... Mittlerweile gehe ich sogar davon aus, dass es am Router liegen könnte. Ich werde da mal einen Reset durchführen, bzw. einen anderen Router testen. @Dukel: Ich ziehe die Logs heute Abend mal. Bindung im IIS sollte passen. Danke für Eure Antworten. Ich bleibe dran und melde mich hier im Forum.

Hallo zusammen, erst einmal danke für Eure Antworten. Komme gerade aus dem Meeting und komme erst jetzt dazu zu reagieren. @Dukel: Die erste Frage verstehe ich nicht so wirklich. Wie soll per DYNDNS die Domäne geändert werden? Ich habe bei Selfhost eine normale Internet-Domäne gekauft die auch auf deren DNS-Servern eingetragen ist, also die Server dort die Zuständigkeit für die Domäne haben. Über meinen AVM-Router teile ich Selfhost mit wie meine aktuelle vom ISP zugewiesene IP lautet. Somit zeigt meine Domäne dann auf die dynamische IP meines ISP und mein Server ist erreichbar. Das hat auch immer funktioniert. Der Unterschied ist jetzt, dass meine interne Windows-Domäne den gleichen Namen hat, wie die Internet-Domäne. Es ist mir nur schleierhaft warum es hier zu einem Problem kommt, da der Port 80 im Router direkt auf den Domänen-Member mit IIS weist. Als meine Domäne "bxxxxxxxxxx.local" hies, gab es keine Probleme. Ich möchte einen Webserver betreiben (und später Exchange). Selfhost spoolt meine Emails und versucht diese dann an meinen künftigen Exchange zuzustellen. Zurzeit liegen diese im Postmaster-Postfach. Es gibt hier meiner Meinung nach ein DNS-Problem, weil zum Einen der DNS-Server von Selfhost für die Domäne die Zuständigkeit besitzt und auf der anderen Seite mein Server intern für meine Domäne. Die haben nun den gleichen Namen. Wie löst man das Problem? Gibt es dafür eine Lösung?

Hi, ich möchte einen weiteren Server installieren auf dem Exchange läuft und dann einen eigenen Mail-Server betreiben. Der Webserver soll für mehrere Webseiten benutzt werden. Leider kann ich gerade keinen Screenshot anhängen... Aber Split-DNS liest sich vielversprechend... http://www.msxfaq.de/konzepte/dns.htm

Guten Morgen Community, ich bin schier am verzweifeln und weiß nicht was ich aktuell falsch mache. Ich habe eine komplett neue Windows-Domäne aufgebaut. Der interne und sowohl der externe Domänenname ist "bxxxxxxxx.de". In dieser Domäne gibt es einen weiteren Server mit IIS 8.5. Dieser ist mit einer Standard-IIS-Installation ausgestattet (hier hinterliegt auch nur die Standard-IIS-Website zurzeit). Die Windows-Firewall wurde deaktiviert (ist ein privates Test-Netzwerk) mit dem Befehl "netsh advfirewall set all state off". Im DNS ist ein CNAME-Eintrag vorhanden namens "www". Wenn ich jetzt also im Browser "http://www.bxxxxxxxx.de/" eingebe, funktioniert das im Intranet wunderbar. In meinem AVM-Router ist der Port 80 auf eben diesen Server zur Weiterleitung eingestellt. Als DYNDNS-Anbieter verwende ich Selfhost, Update auf die IP ist einwandfrei. Dort existiert kein DNS-Eintrag namens "www". Gebe ich jetzt, z. B. von der Arbeit aus im Browser "http://www.bxxxxxxxx.de/" ein, so erhalte ich diese Fehlermeldung: Gefühlstechnisch würde ich sagen: DNS Es ist doch völlig egal wie der interne Domänenname lautet, oder irre ich mich da? Hat einer eine Idee? Gruß, Axel

Sorry, das habe ich nicht beachtet. Aber zuerst habe ich hier gepostet (selbstverständlich). :D

Hallo zusammen, ich bin am verzweifeln und komme nicht weiter. Vor ca. 2 Wochen habe ich nur die Client Access Rolle auf meinem Webserver installiert. Der Webserver ist eine virtuelle Maschine mit Windows 2008 R2 Enterprise. Mein Exchange-Server ist zusätzlich als DC konfiguriert und Hyper-V-Server (Betriebssystem ist ebenfalls Windows 2008 R2 Enterprise). Beide Server sind auf aktuellem Patchlevel. Nach Installation der Rolle CAS habe ich ****erweise auf dem Webserver keine Exchange-Patches installiert. Offenbar habe ich dann einen Bedienungsfehler gemacht und konnte dann nicht mehr die Exchange Management Console verwenden. Meldung war das einige Steuerelemente nicht mehr vorhanden waren. Eine komplette Neuinstallation des Servers lieferte beim Versuch CAS auf dem neuen / alten Webserver zu installieren folgende Info: Auf dem vorhandenen Exchange-Server ist der alte Webserver noch immer vorhanden. Ich bekomme den nicht entfernt....

Problem gelöst. In meinem speziellen Fall ist bei der "Internal" nur der Haken bei "Protokoll für virtueller Netzwerkswitch" gesetzt. Bei der "Virtual" sind alle Haken gesetzt (bis auf "Protokoll für virtueller Netzwerkswitch").