Dem Armin sei Schmierzettl

Mein Kram so im Netz

Archive for the ‘IT’ Category

Freifunk-Router hinter einer Firewall

leave a comment

Quelle: https://wiki.freifunk-franken.de/w/FF-Router_in_einer_Firewall_DMZ

Bei handelsüblichen DSL-Routern werden in den Standardeinstellungen normalerweise keine ausgehenden Verbindungen geblockt. Wer aber einen Freifunk-Router hinter einer professionellen Firmen-Firewall in einem bestimmten Netzwerksegment positionieren möchte, zum Beispiel in einer DMZ, kann hier Schwierigkeiten mit der Verbindung bekommen. Hier kann es vorkommen, dass nicht nur eingehenden Verbindungen geblockt werden, sondern auch die ausgehenden Verbindungen einem strengem Regelwerk unterliegen.

Es ist sicher zu stellen, dass der FF-Router in dem jeweiligen Netzwerksegment eine IPv4 Adresse von einem DHCP-Server bekommt. Oft ist es der Fall, dass in einer DMZ-Zone kein DHCP-Service existiert. In diesem Fall müsste man auf der Firewall, für die jeweilige Zone und den jeweiligen IP-Adressbereich, erst einen DHCP-Server definieren. Dies kann, je nach Firewall-Model und Hersteller, sehr unterschiedlich geschehen und sollte mit dem Betreiber der Firewall und dem Netzwerkverantwortlichen im Vorfeld geklärt werden.

Wenn der FF-Router nun seine intern vergebene und auch reservierte IPv4 bekommt, müssen noch einige Services für den ausgehenden Netzwerkverkehr definiert werden. Ich mache in diesem Fall immer gleich eine Servicegruppe und weise diese dann dem entsprechenden Host in der neuen Firewall Regel zu. Vielleicht empfiehlt es sich auch gleich eine Hostgruppe anzulegen falls mehrere FF-Router in dem Firmennetz positioniert werden.

Der Freifunk-Router benötigt folgende ausgehenden Services: DNS, HTTP, ICMP, und Port 10000 UDP für den VPN-Tunnel. Bei mehreren FF-Routen braucht man mehrere UDP-Ports. Ich habe in diesem Fall einfach die Ports 10000-11000 eingestellt. Falls dies nicht reichen sollte muss man in den Firewall-Logs nachsehen was noch blockiert wird und entsprechend nachbessern.

Hier ganz genau die einzelnen Service-Regeln:

Name                 Protocol        Details

DNS                     TCP/UDP       TCP(1:65535)/(53),TCP(1:65535)/(53)
HTTP                   TCP/UDP       TCP(1:65535)/(80) 
ICMP                    ICMP              ICMP any/any
FF-VPN-Tunnel   TCP/UDP        UDP(1:65535)/(10000-10100)
FF-L2TP-Tunnel TCP/UDP        UDP(1:65535)/(20000-20100)

Für l2tp sind folgende Ports nötig

Port 80 zu allen IPs (bzw. zumindest die Server in der Hood müssten per Port 80 erreichbar sein)

Port 20000 bis 20100 für den l2tp Tunnel

Mit diesen Einstellungen konnte, in meinem Fall, der FF-Router seinen Tunnel aufbauen und war im Netmon online und der IPv6 Ping war ok.

Eine Anleitung für Freifunk Router am Fritzbox Gastzugang findet Ihr hier.

 

Vielen Dank an die Freifunk Franken Community für die Lösung meines Problems.

Written by Armin

April 3rd, 2018 at 2:53 pm

Posted in IT

Artikelserie: Exchange Server 2013 installieren und konfigurieren

leave a comment

Die Serie als PDF:

Exchange 2013 how to

Written by Armin

Februar 15th, 2018 at 12:44 pm

Posted in IT

DNS-Cache leeren

leave a comment

Quelle: http://www.arnebrodowski.de/wiki/DNS-Cache-leeren/

DNS-Cache leeren

Nachfolgend die Befehle um den DNS-Cache unter verschiedenen Betriebssystemem zu löschen. Der DNS-Cache ist ein Zwischenspeicher für erfolgreiche DNS Auflösungen, mehr dazu auf Wikipedia oder im Blog.

Mac OS X Lion, Mountain Lion (10.7, 10.8)

sudo killall -HUP mDNSResponder

Mac OS X Leopard, Snow Leopard (10.5, 10.6)

sudo dscacheutil -flushcache

Mac OS X Tiger (10.4)

lookupd -flushcache

Windows 2000/XP/Vista

ipconfig /flushdns

Unter Vista muss man die Eingabeaufforderung als Administrator ausführen (Rechtsklick), damit dieser Befehl erfolgreich ist. Ansonsten bekommt man folgende Fehlermeldung:

Der angeforderte Vorgang erfordert erhöhte Rechte

Linux

Unter Linux gibt es standardmäßig keinen DNS-Cache, setzt man jedoch nscd(Name Service Cache Daemon) ein, hilft ein restart des Dienstes, z.B. mit:

/etc/init.d/nscd restart

 

Written by Armin

April 11th, 2017 at 11:17 am

Posted in IT

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

leave a comment

Quelle: https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

 

In diesem HowTo beschreibe ich, wie eine Interne Zertifizierungsstelle installiert wird und wie man ein SAN-Zertifikat für Exchange 2013 ausstellen lassen kann. Dieses HowTo ist nicht für eine produktive Umgebung gedacht. Die Implementierung einer Zertifizierungsstelle muss sorgfältig geplant werden.

In meiner Testumgebung habe ich dazu 2 Windows Server 2012 Datacenter installiert, 1 DC + CA und ein Exchange Server 2013.

Es gibt zu beachten das nicht alle Funktionen der Zertifizierungsstelle zur Verfügung stehen, wenn die CA auf Server 2012 Standard installiert wird. Dieses HowTo gilt also nur für Zertifizierungsstellen die auf Windows Server 2012 Datacenter laufen.

Für Exchange 2010 und Server 2008 R2 findet sich das Howto hier: https://www.frankysweb.de/?p=456

Installation der Zertifizierungsstelle

Zuerst installieren wir die Zertifizierungsstelle auf einem geeigneten Server, für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein. Über den “Server Manager” können über den Punkt “Verwalten” Rollen und Features hinzugefügt werden

image

Im folgenden Dialog wird die “Rollenbasierte oder Featurebasierte Installation” ausgewählt

image

Wenn mehrere Server zum Servermanager hinzugefügt wurden, lässt sich der Server auswählen, auf dem die Rolle installiert werden soll. In diesem Fall ist es der lokale Server “DC02”

image

Jetzt wird die Rolle “Active Directory Zertifikatsdienste” ausgewählt

image

Als Rollendienst wird in diesem Fall nur die Zertifizierungsstelle benötigt

image

Nach der Bestätigung zur Installation wird die Rolle installiert

image

Sobald die Rolle fertig installiert wurde, erscheint ein Hinweis zur Konfiguration der Rolle “Active Directory Zertifikatsdienste” im Servermanager

image

Nun wird die Rolle konfiguriert, sofern man als Domain Administrator angemeldet ist, müssen die Anmeldeinformationen nicht verändert werden

image

Im nächsten Dialog wird abgefragt welche Rolle konfiguriert werden soll, da nur die Zertifizierungsstelle installiert wurde, werden hier keine anderen Rollen angeboten

image

Jetzt kann ausgewählt werden, welche Art von CA installiert werden soll. Ich wähle Unternehmenszertifizierungsstelle damit die CA in das Active Diretory integriert wird

image

Da es sich in diesem Beispiel um die erste CA in der Hierarchie, also die Stammzertifizierungsstelle handelt, wird “Stammzertifizierungsstelle” als Typ ausgewählt

image

Sofern die CA nicht migriert wurde, kann ein neuer privater Schlüssel erstellt werden

image

Die Einstellungen zur Kryptographie belasse ich auf den Standardwerten. SHA-1 ist nicht unbedingt der beste Hashalgorithmus, aber am kompatibelsten, siehe hier: https://www.frankysweb.de/?p=363

image

Update: SHA1 wird ab dem 01.01.16 nicht mehr als Signaturhashalgorithmus unterstützt. Hier sollte besser gleich SHA256 gewählt werden.

Jetzt kann der Name der CA vergeben werden. Ich wähle “FrankysWeb-CA”. In der Standardeinstellung wird hier auch der Servername angegeben, allerdings könnte das für Verwirrung sorgen, wenn die CA auf einen anderen Server migriert wird. Daher empfiehlt sich hier ein allgemeiner Name.

image

Jetzt kann die Gültigkeitsdauer der CA festgelegt werden. Die Gültigkeitsdauer der CA sollte die Gültigkeitsdauer der auszustellenden Zertifikate übersteigen. Ich wähle hier 20 Jahre, alternativ könnte man auch den Wert “JahrebiszurRente” nehmen.

image

Im nächsten Dialog kann der Speicherort der Datenbank und der Logs angegeben werden. Die Pfade können nach belieben angepasst werden. Ich belasse sie in der Standardeinstellung

image

Als nächstes wird eine Zusammenfassung der Einstellungen angezeigt, die mit “Konfigurieren” bestätigt werden kann

image

Sobald die Konfiguration der CA abgeschlossen ist, findet sich im Startmenü der Eintrag “Zertifizierungsstelle”

image

Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate

Zunächst erstellen wir eine neue Vorlage, dazu in der MMC per Zertifizierungsstelle auf Zertifikatsvorlagen rechtsklicken, dann auf “Verwalten”

image

Jetzt die Vorlage Webserver suchen und auf “Vorlage duplizieren” klicken

image

Als Name der neuen Vorlage wähle ich “Exchange Server Zertifikate” mit einer Gültigkeit von 2 Jahren

image

Um später alle DNS-Aliase der Exchange Server einzutragen muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Wer das Zertifikat später exportieren möchte sollte außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

image

Auf dem Reiter Sicherheit bekommt die Gruppe “Exchange Servers” Vollzugriff auf die Vorlage, auch der Gruppe Domänen Admins erteile ich Vollzugriff. Danach kann mit einem Klick auf “Übernehmen” die Vorlage gespeichert werden

image

Zurück in der MMC Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”. Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate” ausgewählt und hinzugefügt.

image

Beantragen eines SAN-Zertifikats für Exchange

Wer direkt im Anschluss ein neues Zertifikat beantragen möchte, sollte vorher die Gruppenrichtlinien aktualisieren, damit das Stammzertifizierungsstellenzertifikat installiert wird. Auch Certutil /pulse kann nicht schaden, damit die Registrierungsrichtlinie angezeigt wird.

gpupdate /force

certutil /pulse

image

Jetzt kann eine leere MMC geöffnet werden, zu der das Snap-In “Zertifikate” für den lokalen Computer hinzugefügt wird. Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

image

Im darauffolgenden Dialog sollte jetzt die Active Directory-Registrierungsrichtlinie angezeigt werden.

image

Nach einem Klick auf “Weiter” wird die eben erstellte Vorlage angezeigt, Haken setzen und auf “Es werden zusätzliche Informationen…” klicken

image

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (IT,EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.frankysweb.de)

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

image

Auf dem Reiter “Allgemein” kann noch ein Anzeigename für das Zertifikat vergeben werden, dieser dient nur zur leichteren Identifikation.

image

Nachdem alle Informationen eingegeben wurden, kann das Zertifikat beantragt werden.

image

Wie oben erwähnt habe ich für jeden Dienst einen eigenen DNS Eintrag, in meiner Testumgebung leite ich Port 443 direkt von der Firewall auf den Exchange Server weiter. Ich habe also keinen Reverse Proxy der nur unter dem externen Namen erreichbar ist. Ich kann dieses Verfahren nur in Testumgebungen empfehlen, in produktiven Umgebungen sollte ein Reverse Proxy/Application Firewall dem Exchange Server vorgeschaltet sein.

image

Exchange Dienste an das neue Zertifikat binden

Damit auch die UM DIenste von Exchange 2013 das Zertifikat akzeptieren, muss vor dem Zuweisen der Dienste der Startmodus geändert werden. Der Startmodus kann über die Exchange Management Shell geändert werden

Get-UMservice | Set-UMService -UMStartupMode dual

Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen, diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden

image

Das erstellte Zertifikat ist gültig für alle Exchange Dienste

image

Der Warnhinweis weist darauf hin, dass das Zertifikat getauscht wird, er kann mit “Ja” bestätigt werden

image

Wenn alles geklappt hat, sollte die Konsole nun so aussehen:

image

Zum Schluss noch die Dienste “Microsoft Exchange Unified Messaging” und “Microsoft Exchange Unified Messaging Call Router” neustarten, damit auch dort die Änderungen wirksam werden.

image

Das Zertifikat der Stammzertifizierungsstelle wird automatisch an alle AD-Mitglieder verteilt. Sobald die

GPOs aktualisiert wurden, sollten alle Clients dem Zertifikat vertrauen und sofern die DNS-Namen richtig konfiguriert wurden, auch keine Warnungen mehr angezeigt werden. Damit auch Smartphone und Clients außerhalb des Active Directorys dem Zertifikat vertrauen, muss das Stammzertifizierungsstellenzertifikat installiert werden. Das Zertifikat findet sich auf dem Server der die CA-Rolle innehat im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

Written by Armin

Februar 6th, 2017 at 12:46 pm

Posted in IT

Exchange 2010 Serverzertifikat erstellen

leave a comment

Quelle: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/

Exchange 2010 Serverzertifikat erstellen

Nach der Installation eines Exchange 2010 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Exchange2010_Zertifikat_Ausschnitt1.jpg (600×417)

Klicken Sie auf neues Zertifikat beantragen (roter Rahmen).

 

Als allgemeinen Namen würde ich Ihnen immer, den vollqualifizierten Servername empfehlen.

 

Da es sich hier um eine Single Domäne handelt, müssen Sie hier nichts konfigurieren.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Web Access und Microsoft Active Sync mit Ihren Informationen.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Anywhere und Autodiscover

 

Zum Schluss werden nochmal alle Namen dargstellt. Ich habe die Namen in den roten Rahmen manuell hinzugefügt und wurde Ihnen dies auch in Ihrer Umgebung empfehlen. Als allgemeinen Namen nehmen Sie hier bitte auch den vollqualifizierten Servernamen.

 

Ein paar Informationen zu Ihrem Unternehmen. Unten geben Sie bitte den Speicherort für die Anforderungsdatei des Zertifikats an. Dieser ist frei wählbar.

 

Schließen Sie die Zertifikatsanforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt9.jpg (600×384)

Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv
Bitte führen Sie den IE als Administrator aus, da sonst die Möglichkeit besteht, dass Sie nicht den entsprechenden Zugriff auf alle Templates erhalten.

 

Exchange2010_Zertifikat_Ausschnitt10.jpg (600×384)

Reichen Sie eine erweiterte Zertifikatsanforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt11.jpg (600×384)

Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt12.jpg (600×384)

In dem Feld „Gespeicherte Anforderung“ kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Sie können die „.req“ Datei mit dem Editor öffnen. Als Vorlage wählen Sie bitte Webserver aus.

 

Exchange2010_Zertifikat_Ausschnitt13.jpg (600×383)

Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)

 

Exchange2010_Zertifikat_Ausschnitt14.jpg (600×432)

Zurück in der Exchange Management Konsole. Klicken Sie nun auf die erstelle Anforderung und dann auf der rechten Seite auf „Anstehenden Anforderung abschließen“.

 

Exchange2010_Zertifikat_Ausschnitt15.jpg (500×437)

Wählen Sie das eben heruntergeladenen Zertifikat aus.

 

Exchange2010_Zertifikat_Ausschnitt16.jpg (500×438)

Schließen Sie die Anforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt17.jpg (600×430)

Das neue Zertifikat wurde erfolgreich erstellt. Nun müssen Sie noch definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen Sie das neue Zertifikat aus und klicken Sie auf der rechten Seite auf „Dem Zertifikat Dienste zuordnen“

 

Exchange2010_Zertifikat_Ausschnitt18.jpg (500×436)

Wählen Sie bitte den Exchange Server aus, indem Sie auf „Hinzufügen“ klicken.

 

Exchange2010_Zertifikat_Ausschnitt19.jpg (500×436)

Sie können nun definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen SIe alle bis auf Unified Messaging aus.

 

Exchange2010_Zertifikat_Ausschnitt20.jpg (500×437)

Schließen Sie die Konfiguration ab.

 

Exchange2010_Zertifikat_Ausschnitt21.jpg (500×434)

Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.

Read the rest of this entry »

Written by Armin

Februar 3rd, 2017 at 2:31 pm

Posted in IT

Windows Server 2012 Zertifizierungsstelle installieren

leave a comment

Quelle: http://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/

Windows Server 2012 Zertifizierungsstelle installieren

Wer für bei Microsoft Exchange Servern mit internen Zertifikaten arbeiten möchte, braucht intern eine Zertifizierungsstelle. Die Erstellung eines Exchange 2010 Zertifikats habe ich bereits in in diesem Artikel beschrieben.
In diesem Artikel geht es nun um die Installation der Zertifizierungsstelle und somit um eine Grundfunktion, um ein Zertifikat zu beantragen.

Starten Sie den Servermanager und fügen Sie eine neue Rolle hinzu…

Microsoft_2012_Zertifizierungsstelle _installieren_01
Wählen Sie im Server Manager „Rollen und Features hinzufügen“.

Microsoft_2012_Zertifizierungsstelle _installieren_02

Microsoft_2012_Zertifizierungsstelle _installieren_03
Starten Sie den Installationsmodus für „Rollenbasierte oder featurebasierte Installation“.

Microsoft_2012_Zertifizierungsstelle _installieren_04
Die Installation soll auf dem lokalen Server erfolgen.

Microsoft_2012_Zertifizierungsstelle _installieren_05
Wählen Sie „Active Directory-Zertifikatsdienste“ aus..

Microsoft_2012_Zertifizierungsstelle _installieren_06
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_07
Auswahl von zusätzlichen Features..

Microsoft_2012_Zertifizierungsstelle _installieren_08
Ein Hinweis, dass nach der Installation der Zertifikatsdienste, der Name des Servers nicht mehr geändert werden kann.

Microsoft_2012_Zertifizierungsstelle _installieren_09
Wählen Sie bitte „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_10
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_11
Starten Sie die Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_12
Abschluss der Installation

Microsoft_2012_Zertifizierungsstelle _installieren_13
Im Anschluss muss der Server bzw. müssen die Zertifikatsdienste noch konfiguriert werden.

Microsoft_2012_Zertifizierungsstelle _installieren_14
Bitte überprüfen Sie, ob ihr Account die angegebenen Zugriffsrechte besitzt.

Microsoft_2012_Zertifizierungsstelle _installieren_15
Bitte wählen Sie auch hier wieder beide Optionen „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_16
Wir erstellen eine Zertifizierungsstelle für die Domäne..

Microsoft_2012_Zertifizierungsstelle _installieren_17
Die erste Zertifizierungsstelle…

Microsoft_2012_Zertifizierungsstelle _installieren_18
Da wir noch keine Zertifizierungsstelle haben, erstellen wir einen neuen privaten Schlüssel für das Root Zertifikat.

Microsoft_2012_Zertifizierungsstelle _installieren_19
Festlegung der Kryptografie Einstellungen…

Microsoft_2012_Zertifizierungsstelle _installieren_20
Allgemeiner Name der Zertifizierungsstelle (frei wählbar)..

Microsoft_2012_Zertifizierungsstelle _installieren_21
Gültigkeitsdauer für das Root Zertifikat. Nach Ablauf des gewählten Zeitraums, müssen Sie das Root Zertifikat erneuern.

Microsoft_2012_Zertifizierungsstelle _installieren_22
Speicherort der Datenbank …

Microsoft_2012_Zertifizierungsstelle _installieren_23
Überprüfung der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_24
Abschluss der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_25
Danach ist die neue Zertifizierungsstelle per Browser erreichbar:
http://servername/certsrv

Written by Armin

Februar 3rd, 2017 at 2:18 pm

Posted in IT

Configuring Certificate-Based Authentication for Exchange 2010 ActiveSync

leave a comment

Configuring Certificate-Based Authentication for Exchange 2010 ActiveSync

to be filled

Momentan mal nur die Links:

http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part1.html

http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part2.html

Written by Armin

Januar 30th, 2017 at 11:14 am

Posted in IT

Exchange 2013/2016: Anmeldung per E-Mail Adresse (UPN)

leave a comment

Quelle: https://www.frankysweb.de/exchange-20132016-anmeldung-per-e-mail-adresse-upn/

Die Anmeldung an verschiedenen Diensten und Portalen im Internet läuft ja mittlerweile mit der E-Mail Adresse als Benutzername. Das hat für die Benutzer einige Vorteile, denn man muss sich nicht für verschiedene Portale oder Dienste immer wieder neue Benutzernamen ausdenken (und vergessen), sondern benutzt immer seine E-Mail Adresse.

Die Anmeldung via E-Mail Adresse ist auch bei Exchange Server möglich, allerdings ist funktioniert das nicht ohne weiteres. An dieser Stelle gibt es also ein kleines HowTo und ein paar Denkanstöße, was zu beachten ist.

Exchange Server (unabhängig von der Version) nutzt das Active Directory für die Authentifizierung der Benutzer. Der Benutzername im Active Directory ist also ausschlaggebend für die Anmeldung an Exchange Server. Im internen Netzwerkwerk, bekommt der Benutzer dank Kerberos davon wenig mit. Er meldet sich an Windows an, startet Outlook, fertig.

Bei externen Benutzern oder beim Zugriff auf OWA von extern, sieht es schon wieder anders aus. Hier muss Benutzername und Passwort durch den Benutzer eingetragen werden.

Hier mal ein kleines Beispiel:

Es gibt den Benutzer „frank“ im Active Directory „frankysweb.local“. Frank hat die E-Mail Adresse frank@frankysweb.de:

03-08-_2016_21-24-36

Das /OWA Verzeichnis am Exchange Server ist derzeit wie folgt eingestellt:

Exchange OWA

Somit muss sich Benutzer „Frank“ nur mit seinem Benutzernamen und dem entsprechenden Passwort anmelden, die AD Domain, muss er nicht angeben.

Wer mehrere Domains hat, bekommt hier allerdings Probleme und müsste die Authentifizierung auf „Domäne\Benutzername“ umstellen. Der Benutzer muss sich dann den internen AD-Namen merken, der ja unter Umständen kryptisch für Benutzer sein kann.

Hier kommt nun die Anmeldung per E-Mail Adresse ins Spiel. Dazu muss allerdings das Active Directory und die Benutzerkonten angepasst werden.

Zuerst muss ein neues „Alternatives Benutzerprinzipalnamens-Suffix“ erstellt werden. Das Alternative UPN-Suffix kann in der Konsole „Active Directory Domänen- und Vertrauensstellungen“ konfiguriert werden:

UPN

Wenn sich Benutzer „Frank“ also mit der E-Mail Adresse frank@frankysweb.de anmelden soll, dann muss das UPN-Suffix frankysweb.de angelegt werden. Gleiches gilt für alle anderen Mail Domänen die als Benutzernamen benutzt werden sollen:

UPN

Bis hier her hat die Änderung am Active Directory noch keine Auswirkungen auf die Benutzer, jedoch müssen jetzt die Benutzerkonten angepasst werden:

Benutzer Frank bekommt jetzt das neue Suffix zugewiesen:

Benutzerkonto

Hiermit ändert sich der Anmeldename des Kontos (vorher frank@frankysweb.local, jetzt frank@frankysweb.de)

Benutzerkonto UPN

Wer beispielsweise E-Mail Adressen im Format vorname_nachname@firma.de verwendet, muss hier auch den Benutzernamen entsprechend ändern. Zum Beispiel von „frank“ auf „frank_zoechling“. Das hat unter Umständen für die Benutzer. Wenn es Dienste gibt, an denen sich die Benutzer mit frank@frankysweb.local angemeldet haben (also den UPN verwendet haben), dann lautet der UPN jetzt frank@frankysweb.de. Diese Änderung muss den Benutzern mitgeteilt werden. An dieser Stelle auch an die Windows Anmeldung denken!

Vorteil ist natürlich auch, dass diese Dienste in Zukunft auch die E-Mail Adresse als Benutzernamen benutzen. Diese Änderung sollte also in bestehenden Umgebungen sorgfältig geplant werden.

Auf Exchange Server Seite muss jetzt nur noch das Anmeldeformat auf „Benutzerprinzipalname (UPN)“ umgestellt werden:

Exchange OWA UPN

Der Benutzer kann sich jetzt mit seiner E-Mail Adresse an OWA anmelden. Natürlich nur wenn der UPN jetzt der E-Mail Adresse des Benutzers entspricht:

Benutzer UPN

Mit Exchange 2010 ist dieses verfahren ebenfalls möglich.

Written by Armin

Januar 23rd, 2017 at 11:53 am

Posted in IT

Fritz!box Update mit modfs

leave a comment

  • Telnet zur Box
  • swapon /var/media/ftp/HAMA_32G_II/swapfile
  • mkdir -p /var/mod;cd /var/mod;wget -qO- http://yourfritz.de/modfs.tgz | gunzip -c | tar x;./modfs update /var/media/ftp/HAMA_32G_II/FRITZ.Box_7490_….
(geht zwar auch ohne die Datei weil seit der Version 0.4.0 nutzt das script die Update-Mechanik von der Box aber so hast du das File vor Ort)
 
  • folgende Fragen beantworte ich mit JA, bei den anderen durchlesen (http://www.ip-phone-forum.de/showthread.php?t=273304) was die machen und was du brauchst:
     
    1. Kommando zum Bearbeiten der Datei ‚rc.user‘ hinzufügen
    2. Auswahl des zu startenden Systems und des Brandings in der „Neustart“-Seite
    3. Anzeige von Heimnetz-Clients mit MAC-Adresse als Standard
    4. Busybox-Symlink für den Telnet-Daemon erstellen
    5. USB-Volumes mit ihrem Label als Mountpoint einbinden
    6. Kommandos in /var/custom/etc/profile in /etc/profile einschließen
    7. Kommandos aus dem TFFS-Node 98 beim Systemstart ausführen
  • swapoff /var/media/ftp/HAMA_32G_II/swapfile
  • USB-Stick auswerfen (Heimnetz – USB-Geräte)
  • Und dann reboot
 

Danke Arnaud Feld 
https://arnaudfeld.de/

Written by Armin

November 3rd, 2016 at 12:01 pm

Posted in IT

Exchange 2013 Serverzertifikat erstellen

leave a comment

Quelle: http://www.msblog.eu/exchange-2013-serverzertifikat-erstellen/

 

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole
Exchange2013_Zertifikat_01
Klicken Sie unter „Server“ und „Zertifikate“ auf „+“ …
Exchange2013_Zertifikat_02
Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle
Exchange2013_Zertifikat_03
Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.
Exchange2013_Zertifikat_04
Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.
Exchange2013_Zertifikat_05
Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.
Exchange2013_Zertifikat_06
Als Default Name empfehle ich Ihnen immer den internen Servernamen.
Exchange2013_Zertifikat_07
Allgemeine Informationen zu Ihrem Unternehmen…
Exchange2013_Zertifikat_08
Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)
Exchange2013_Zertifikat_09
Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/
Exchange2013_Zertifikat_10
Bitte wählen Sie erweiterte Zertifikatsanforderung aus..
Exchange2013_Zertifikat_11
Sie wollen eine bestehende Anforderung einsenden..
Exchange2013_Zertifikat_12
Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte „Webserver“ aus und klicken auf „Einsenden“
Exchange2013_Zertifikat_13
Bestätigen Sie den Vorgang…
Exchange2013_Zertifikat_14
Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)
Exchange2013_Zertifikat_15
Wechseln Sie wieder in die Exchange Verwaltungskonsole unter „Server“ und dann Zertifikate
Exchange2013_Zertifikat_16
Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit „OK“.
Exchange2013_Zertifikat_17
In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf „bearbeiten“.
Exchange2013_Zertifikat_18
Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Exchange2013_Zertifikat_19
Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

da ich im Zertifikat die Meldung hatte „… nicht vertrauenswürdidg“ und die Aufforderung hatte es im Speicher zu installieren, habe ich zunächst ewig nach dem Fehler gesucht.
Nach dem auch kein Neustart geholfen hat, habe ich das Zertifikat neu erstellt, gleicher Fehler.
Nach gpupdate /force ist das Zertifikat nun gültig und auch im Zertifikat ist der Hinweis nun weg.

Written by Armin

Oktober 5th, 2016 at 11:01 pm

Posted in IT