Dem Armin sei Seidn

Dem Armin sei Schmierzettel

MusikzurNacht

leave a comment

RT @_Spacegeek: Mutter! Der Mann mit dem Koks ist da!! https://t.co/Z9be5mNbVk
from Twitter https://twitter.com/MusikzurNacht

April 12, 2017 at 10:44PM
via IFTTT

Written by Musik zur Nacht

April 12th, 2017 at 11:52 pm

Posted in MusikzurNacht

Tagged with ,

MusikzurNacht

leave a comment

RT @_Spacegeek: Meine Laune ist im Keller…immer diese Frauen. https://t.co/yb8yZc8rqO
from Twitter https://twitter.com/MusikzurNacht

April 12, 2017 at 09:10PM
via IFTTT

Written by Musik zur Nacht

April 12th, 2017 at 9:52 pm

Posted in MusikzurNacht

Tagged with ,

DNS-Cache leeren

leave a comment

Quelle: http://www.arnebrodowski.de/wiki/DNS-Cache-leeren/

DNS-Cache leeren

Nachfolgend die Befehle um den DNS-Cache unter verschiedenen Betriebssystemem zu löschen. Der DNS-Cache ist ein Zwischenspeicher für erfolgreiche DNS Auflösungen, mehr dazu auf Wikipedia oder im Blog.

Mac OS X Lion, Mountain Lion (10.7, 10.8)

sudo killall -HUP mDNSResponder

Mac OS X Leopard, Snow Leopard (10.5, 10.6)

sudo dscacheutil -flushcache

Mac OS X Tiger (10.4)

lookupd -flushcache

Windows 2000/XP/Vista

ipconfig /flushdns

Unter Vista muss man die Eingabeaufforderung als Administrator ausführen (Rechtsklick), damit dieser Befehl erfolgreich ist. Ansonsten bekommt man folgende Fehlermeldung:

Der angeforderte Vorgang erfordert erhöhte Rechte

Linux

Unter Linux gibt es standardmäßig keinen DNS-Cache, setzt man jedoch nscd(Name Service Cache Daemon) ein, hilft ein restart des Dienstes, z.B. mit:

/etc/init.d/nscd restart

 

Written by Armin Senger

April 11th, 2017 at 11:17 am

Posted in IT

MusikzurNacht

leave a comment

#NowPlaying Lucretia My Reflection von Sisters Of Mercy ♫ https://t.co/58Jv4biKqY
from Twitter https://twitter.com/MusikzurNacht

March 23, 2017 at 12:10AM
via IFTTT

Written by Musik zur Nacht

März 23rd, 2017 at 1:26 am

Posted in MusikzurNacht

Tagged with ,

MusikzurNacht

leave a comment

RT @FatWookiee: https://t.co/pb94s2evEg das könnt auch aus dem Tarantino Film sein
from Twitter https://twitter.com/MusikzurNacht

March 19, 2017 at 01:58PM
via IFTTT

Written by Musik zur Nacht

März 19th, 2017 at 3:48 pm

Posted in MusikzurNacht

Tagged with ,

MusikzurNacht

leave a comment

RT @ral_mey: @stefl0510 @florian666 Round round 😀 https://t.co/dz6ZsApw0I
from Twitter https://twitter.com/MusikzurNacht

March 10, 2017 at 11:34PM
via IFTTT

Written by Musik zur Nacht

März 11th, 2017 at 2:02 am

Posted in MusikzurNacht

Tagged with ,

MusikzurNacht

leave a comment

RT @geni256: Nina Hagen – Universelles Radio 1985 https://t.co/9cqPuzmsYu
from Twitter https://twitter.com/MusikzurNacht

March 10, 2017 at 11:34PM
via IFTTT

Written by Musik zur Nacht

März 11th, 2017 at 2:02 am

Posted in MusikzurNacht

Tagged with ,

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

leave a comment

Quelle: https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

 

In diesem HowTo beschreibe ich, wie eine Interne Zertifizierungsstelle installiert wird und wie man ein SAN-Zertifikat für Exchange 2013 ausstellen lassen kann. Dieses HowTo ist nicht für eine produktive Umgebung gedacht. Die Implementierung einer Zertifizierungsstelle muss sorgfältig geplant werden.

In meiner Testumgebung habe ich dazu 2 Windows Server 2012 Datacenter installiert, 1 DC + CA und ein Exchange Server 2013.

Es gibt zu beachten das nicht alle Funktionen der Zertifizierungsstelle zur Verfügung stehen, wenn die CA auf Server 2012 Standard installiert wird. Dieses HowTo gilt also nur für Zertifizierungsstellen die auf Windows Server 2012 Datacenter laufen.

Für Exchange 2010 und Server 2008 R2 findet sich das Howto hier: https://www.frankysweb.de/?p=456

Installation der Zertifizierungsstelle

Zuerst installieren wir die Zertifizierungsstelle auf einem geeigneten Server, für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein. Über den “Server Manager” können über den Punkt “Verwalten” Rollen und Features hinzugefügt werden

image

Im folgenden Dialog wird die “Rollenbasierte oder Featurebasierte Installation” ausgewählt

image

Wenn mehrere Server zum Servermanager hinzugefügt wurden, lässt sich der Server auswählen, auf dem die Rolle installiert werden soll. In diesem Fall ist es der lokale Server “DC02”

image

Jetzt wird die Rolle “Active Directory Zertifikatsdienste” ausgewählt

image

Als Rollendienst wird in diesem Fall nur die Zertifizierungsstelle benötigt

image

Nach der Bestätigung zur Installation wird die Rolle installiert

image

Sobald die Rolle fertig installiert wurde, erscheint ein Hinweis zur Konfiguration der Rolle “Active Directory Zertifikatsdienste” im Servermanager

image

Nun wird die Rolle konfiguriert, sofern man als Domain Administrator angemeldet ist, müssen die Anmeldeinformationen nicht verändert werden

image

Im nächsten Dialog wird abgefragt welche Rolle konfiguriert werden soll, da nur die Zertifizierungsstelle installiert wurde, werden hier keine anderen Rollen angeboten

image

Jetzt kann ausgewählt werden, welche Art von CA installiert werden soll. Ich wähle Unternehmenszertifizierungsstelle damit die CA in das Active Diretory integriert wird

image

Da es sich in diesem Beispiel um die erste CA in der Hierarchie, also die Stammzertifizierungsstelle handelt, wird “Stammzertifizierungsstelle” als Typ ausgewählt

image

Sofern die CA nicht migriert wurde, kann ein neuer privater Schlüssel erstellt werden

image

Die Einstellungen zur Kryptographie belasse ich auf den Standardwerten. SHA-1 ist nicht unbedingt der beste Hashalgorithmus, aber am kompatibelsten, siehe hier: https://www.frankysweb.de/?p=363

image

Update: SHA1 wird ab dem 01.01.16 nicht mehr als Signaturhashalgorithmus unterstützt. Hier sollte besser gleich SHA256 gewählt werden.

Jetzt kann der Name der CA vergeben werden. Ich wähle “FrankysWeb-CA”. In der Standardeinstellung wird hier auch der Servername angegeben, allerdings könnte das für Verwirrung sorgen, wenn die CA auf einen anderen Server migriert wird. Daher empfiehlt sich hier ein allgemeiner Name.

image

Jetzt kann die Gültigkeitsdauer der CA festgelegt werden. Die Gültigkeitsdauer der CA sollte die Gültigkeitsdauer der auszustellenden Zertifikate übersteigen. Ich wähle hier 20 Jahre, alternativ könnte man auch den Wert “JahrebiszurRente” nehmen.

image

Im nächsten Dialog kann der Speicherort der Datenbank und der Logs angegeben werden. Die Pfade können nach belieben angepasst werden. Ich belasse sie in der Standardeinstellung

image

Als nächstes wird eine Zusammenfassung der Einstellungen angezeigt, die mit “Konfigurieren” bestätigt werden kann

image

Sobald die Konfiguration der CA abgeschlossen ist, findet sich im Startmenü der Eintrag “Zertifizierungsstelle”

image

Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate

Zunächst erstellen wir eine neue Vorlage, dazu in der MMC per Zertifizierungsstelle auf Zertifikatsvorlagen rechtsklicken, dann auf “Verwalten”

image

Jetzt die Vorlage Webserver suchen und auf “Vorlage duplizieren” klicken

image

Als Name der neuen Vorlage wähle ich “Exchange Server Zertifikate” mit einer Gültigkeit von 2 Jahren

image

Um später alle DNS-Aliase der Exchange Server einzutragen muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Wer das Zertifikat später exportieren möchte sollte außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

image

Auf dem Reiter Sicherheit bekommt die Gruppe “Exchange Servers” Vollzugriff auf die Vorlage, auch der Gruppe Domänen Admins erteile ich Vollzugriff. Danach kann mit einem Klick auf “Übernehmen” die Vorlage gespeichert werden

image

Zurück in der MMC Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”. Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate” ausgewählt und hinzugefügt.

image

Beantragen eines SAN-Zertifikats für Exchange

Wer direkt im Anschluss ein neues Zertifikat beantragen möchte, sollte vorher die Gruppenrichtlinien aktualisieren, damit das Stammzertifizierungsstellenzertifikat installiert wird. Auch Certutil /pulse kann nicht schaden, damit die Registrierungsrichtlinie angezeigt wird.

gpupdate /force

certutil /pulse

image

Jetzt kann eine leere MMC geöffnet werden, zu der das Snap-In “Zertifikate” für den lokalen Computer hinzugefügt wird. Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

image

Im darauffolgenden Dialog sollte jetzt die Active Directory-Registrierungsrichtlinie angezeigt werden.

image

Nach einem Klick auf “Weiter” wird die eben erstellte Vorlage angezeigt, Haken setzen und auf “Es werden zusätzliche Informationen…” klicken

image

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (IT,EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.frankysweb.de)

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

image

Auf dem Reiter “Allgemein” kann noch ein Anzeigename für das Zertifikat vergeben werden, dieser dient nur zur leichteren Identifikation.

image

Nachdem alle Informationen eingegeben wurden, kann das Zertifikat beantragt werden.

image

Wie oben erwähnt habe ich für jeden Dienst einen eigenen DNS Eintrag, in meiner Testumgebung leite ich Port 443 direkt von der Firewall auf den Exchange Server weiter. Ich habe also keinen Reverse Proxy der nur unter dem externen Namen erreichbar ist. Ich kann dieses Verfahren nur in Testumgebungen empfehlen, in produktiven Umgebungen sollte ein Reverse Proxy/Application Firewall dem Exchange Server vorgeschaltet sein.

image

Exchange Dienste an das neue Zertifikat binden

Damit auch die UM DIenste von Exchange 2013 das Zertifikat akzeptieren, muss vor dem Zuweisen der Dienste der Startmodus geändert werden. Der Startmodus kann über die Exchange Management Shell geändert werden

Get-UMservice | Set-UMService -UMStartupMode dual

Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen, diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden

image

Das erstellte Zertifikat ist gültig für alle Exchange Dienste

image

Der Warnhinweis weist darauf hin, dass das Zertifikat getauscht wird, er kann mit “Ja” bestätigt werden

image

Wenn alles geklappt hat, sollte die Konsole nun so aussehen:

image

Zum Schluss noch die Dienste “Microsoft Exchange Unified Messaging” und “Microsoft Exchange Unified Messaging Call Router” neustarten, damit auch dort die Änderungen wirksam werden.

image

Das Zertifikat der Stammzertifizierungsstelle wird automatisch an alle AD-Mitglieder verteilt. Sobald die

GPOs aktualisiert wurden, sollten alle Clients dem Zertifikat vertrauen und sofern die DNS-Namen richtig konfiguriert wurden, auch keine Warnungen mehr angezeigt werden. Damit auch Smartphone und Clients außerhalb des Active Directorys dem Zertifikat vertrauen, muss das Stammzertifizierungsstellenzertifikat installiert werden. Das Zertifikat findet sich auf dem Server der die CA-Rolle innehat im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

Written by Armin Senger

Februar 6th, 2017 at 12:46 pm

Posted in IT

Exchange 2010 Serverzertifikat erstellen

leave a comment

Quelle: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/

Exchange 2010 Serverzertifikat erstellen

Nach der Installation eines Exchange 2010 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Exchange2010_Zertifikat_Ausschnitt1.jpg (600×417)

Klicken Sie auf neues Zertifikat beantragen (roter Rahmen).

 

Als allgemeinen Namen würde ich Ihnen immer, den vollqualifizierten Servername empfehlen.

 

Da es sich hier um eine Single Domäne handelt, müssen Sie hier nichts konfigurieren.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Web Access und Microsoft Active Sync mit Ihren Informationen.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Anywhere und Autodiscover

 

Zum Schluss werden nochmal alle Namen dargstellt. Ich habe die Namen in den roten Rahmen manuell hinzugefügt und wurde Ihnen dies auch in Ihrer Umgebung empfehlen. Als allgemeinen Namen nehmen Sie hier bitte auch den vollqualifizierten Servernamen.

 

Ein paar Informationen zu Ihrem Unternehmen. Unten geben Sie bitte den Speicherort für die Anforderungsdatei des Zertifikats an. Dieser ist frei wählbar.

 

Schließen Sie die Zertifikatsanforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt9.jpg (600×384)

Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv
Bitte führen Sie den IE als Administrator aus, da sonst die Möglichkeit besteht, dass Sie nicht den entsprechenden Zugriff auf alle Templates erhalten.

 

Exchange2010_Zertifikat_Ausschnitt10.jpg (600×384)

Reichen Sie eine erweiterte Zertifikatsanforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt11.jpg (600×384)

Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt12.jpg (600×384)

In dem Feld „Gespeicherte Anforderung“ kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Sie können die „.req“ Datei mit dem Editor öffnen. Als Vorlage wählen Sie bitte Webserver aus.

 

Exchange2010_Zertifikat_Ausschnitt13.jpg (600×383)

Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)

 

Exchange2010_Zertifikat_Ausschnitt14.jpg (600×432)

Zurück in der Exchange Management Konsole. Klicken Sie nun auf die erstelle Anforderung und dann auf der rechten Seite auf „Anstehenden Anforderung abschließen“.

 

Exchange2010_Zertifikat_Ausschnitt15.jpg (500×437)

Wählen Sie das eben heruntergeladenen Zertifikat aus.

 

Exchange2010_Zertifikat_Ausschnitt16.jpg (500×438)

Schließen Sie die Anforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt17.jpg (600×430)

Das neue Zertifikat wurde erfolgreich erstellt. Nun müssen Sie noch definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen Sie das neue Zertifikat aus und klicken Sie auf der rechten Seite auf „Dem Zertifikat Dienste zuordnen“

 

Exchange2010_Zertifikat_Ausschnitt18.jpg (500×436)

Wählen Sie bitte den Exchange Server aus, indem Sie auf „Hinzufügen“ klicken.

 

Exchange2010_Zertifikat_Ausschnitt19.jpg (500×436)

Sie können nun definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen SIe alle bis auf Unified Messaging aus.

 

Exchange2010_Zertifikat_Ausschnitt20.jpg (500×437)

Schließen Sie die Konfiguration ab.

 

Exchange2010_Zertifikat_Ausschnitt21.jpg (500×434)

Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.

Read the rest of this entry »

Written by Armin Senger

Februar 3rd, 2017 at 2:31 pm

Posted in IT

Windows Server 2012 Zertifizierungsstelle installieren

leave a comment

Quelle: http://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/

Windows Server 2012 Zertifizierungsstelle installieren

Wer für bei Microsoft Exchange Servern mit internen Zertifikaten arbeiten möchte, braucht intern eine Zertifizierungsstelle. Die Erstellung eines Exchange 2010 Zertifikats habe ich bereits in in diesem Artikel beschrieben.
In diesem Artikel geht es nun um die Installation der Zertifizierungsstelle und somit um eine Grundfunktion, um ein Zertifikat zu beantragen.

Starten Sie den Servermanager und fügen Sie eine neue Rolle hinzu…

Microsoft_2012_Zertifizierungsstelle _installieren_01
Wählen Sie im Server Manager „Rollen und Features hinzufügen“.

Microsoft_2012_Zertifizierungsstelle _installieren_02

Microsoft_2012_Zertifizierungsstelle _installieren_03
Starten Sie den Installationsmodus für „Rollenbasierte oder featurebasierte Installation“.

Microsoft_2012_Zertifizierungsstelle _installieren_04
Die Installation soll auf dem lokalen Server erfolgen.

Microsoft_2012_Zertifizierungsstelle _installieren_05
Wählen Sie „Active Directory-Zertifikatsdienste“ aus..

Microsoft_2012_Zertifizierungsstelle _installieren_06
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_07
Auswahl von zusätzlichen Features..

Microsoft_2012_Zertifizierungsstelle _installieren_08
Ein Hinweis, dass nach der Installation der Zertifikatsdienste, der Name des Servers nicht mehr geändert werden kann.

Microsoft_2012_Zertifizierungsstelle _installieren_09
Wählen Sie bitte „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_10
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_11
Starten Sie die Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_12
Abschluss der Installation

Microsoft_2012_Zertifizierungsstelle _installieren_13
Im Anschluss muss der Server bzw. müssen die Zertifikatsdienste noch konfiguriert werden.

Microsoft_2012_Zertifizierungsstelle _installieren_14
Bitte überprüfen Sie, ob ihr Account die angegebenen Zugriffsrechte besitzt.

Microsoft_2012_Zertifizierungsstelle _installieren_15
Bitte wählen Sie auch hier wieder beide Optionen „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_16
Wir erstellen eine Zertifizierungsstelle für die Domäne..

Microsoft_2012_Zertifizierungsstelle _installieren_17
Die erste Zertifizierungsstelle…

Microsoft_2012_Zertifizierungsstelle _installieren_18
Da wir noch keine Zertifizierungsstelle haben, erstellen wir einen neuen privaten Schlüssel für das Root Zertifikat.

Microsoft_2012_Zertifizierungsstelle _installieren_19
Festlegung der Kryptografie Einstellungen…

Microsoft_2012_Zertifizierungsstelle _installieren_20
Allgemeiner Name der Zertifizierungsstelle (frei wählbar)..

Microsoft_2012_Zertifizierungsstelle _installieren_21
Gültigkeitsdauer für das Root Zertifikat. Nach Ablauf des gewählten Zeitraums, müssen Sie das Root Zertifikat erneuern.

Microsoft_2012_Zertifizierungsstelle _installieren_22
Speicherort der Datenbank …

Microsoft_2012_Zertifizierungsstelle _installieren_23
Überprüfung der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_24
Abschluss der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_25
Danach ist die neue Zertifizierungsstelle per Browser erreichbar:
http://servername/certsrv

Written by Armin Senger

Februar 3rd, 2017 at 2:18 pm

Posted in IT