Hallo Leutz,
Bei einem Kunden von mir wo ich letztes Jahr SCCM 2012 / SCEP installiert habe, funktioniert die CCM-Client Pushinstallation nicht mehr. Im Log stehen die “bekannten”, “beruechtigten” Meldungen. Wie man das Problem loesen kann und wer ursaechlich fuer dieses Problem war, steht in disem Bilderbuch:
http://www.it-training-grote.de/download/SCCM-CLIENT-SCVMM-BITS.pdf
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Implementierung von Multisite DA und NLB DA in Windows Server 2012:
http://www.it-training-grote.de/download/DA-2012-Multisite-NLB.pdf
Gruss Marc
Hallo Leutz,
bei einem Kunden mit einem SCVMM 2012 erscheinen bei verschiedenen SCVMM Aktionen (P2V, ISO Mount) WINRM und BITS-Fehlermeldungen, welche auf falsche Zertifikate hin deuten. Wie man den Fehler beheben kann steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/SCVMM-2012-WINRM-BITS.pdf
Gruss Marc
Hallo Leutz,
das Backup einer Enterprise SubCA mit der Backup GUI der CA-Verwaltungskonsole oder Certutil schlaegt fehl mit der Meldung “ungueltiger Algorithmus angegeben”. Grund ist eine falsche/fehlende Zuordnung des Microsoft Software Crpyto Provider zu dem SubCA Zertifikat im lokalen Crypto Store. Wie man diesen Fehler beheben kann steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Windows-CA-Backup-Error.pdf
Gruss Marc
Hallo Leutz,
standardmaessig stellt eine CA fuer fast alle Zertifikatanfragen Zertifikate automatisch aus (Ausnahme zum Bsp. KRA Template). Wie man die CA oder Certificate Templates so konfigurieren kann das eine CA Manager Genehmigung erforderlich ist und wie man dann Zertifikate anfordern kann steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/CA-Cert-request.pdf
Gruss Marc
Hallo Leutz,
bei einem Kunden hatte ich heute ein interessantes, reproduzierbares Problem mit selbstsignierten Zertifikaten ohne Hostname mit lediglich dem Domaenennamen als Aufruf. Ich sollte bei einem Kunden einen ISA Server 2006 troubleshooten wo seit ueber einem Jahr Outlook Anywhere nicht mehr funktioniert. Der Kunde nutzt Exchange Active Sync so dass das Outlook Anywhere Problem nicht so relevant war.
Nachdem ich als erstes auf dem ISA Server die Konfiguration geprueft hatte und der Exchange Umgebung einen Health Check unterzogen hatte und keinen Fehler feststellen konnte schauten wir uns den Client an und der bekam den klassischen Mehrfach Prompt zur Kennworteingabe.
Wir prueften also als erstes das Zertifikat auf dem ISA Server. Das Zertifikat ist selbst signiert und ausgestellt lediglich auf einen Domaenennamen und nicht klassisch auf einen FQDN!. Erst mal ja kein Problem, da das self signed Zertifikat schon seit 2 Jahren im ISA Zertifikatspeicher liegt und Outlook Anywhere ja mal funktioniert hat. Der Client hatte das Zertifikat im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers. Also alles prima – dachte ich 🙁
Wenn man die durch ISA Server veroeffentlichte Webseite im Browser aufruft kommt aber die Meldung, dass das Zertifikat nicht zu einer vertrauenswuerdigen Zertifizierungsstelle verifiziert werden kann. Wenn man im Zertifikatspeicher das Zertifikat auswaehlt ist der Trust aber validiert. Die Clients waren alle Windows 7 / 8 und auch mein Windows Server 2012 Notebook brachte die gleiche Fehlermeldung. Als Gegentest hatte ich dann die Idee Outlook Anywhere auf einem Windows XP Client zu testen und siehe da, kein Exchange und ISA Problem, Outlook Anywhere funktioniert einwandfrei!
Zusammenfassend das reproduzierbare Ergebnis:
Windows 7 / 8 / Server 2012:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Untrusted
Selbstsigniertes Zertifikat mit FQDN – Trusted
Windows XP:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Trusted
Selbstsigniertes Zertifikat mit FQDN – Trusted
Microsoft scheint also das Verhalten der Cryto API oder aktuellen IE Versionen geaendert zu haben, dass self signed Zertifikate mit nur einem Domaenennamen ohne FQDN nicht mehr als Trusted erkannt werden (was sicherlich auch kein alltaegliches Szenario ist) auch wenn sich das Zertifikat im korrekten Zertifikatspeicher befindet. Bei den gaengigen Suchmaschinen im Internet konnte ich noch nichts finden wie man das Problem loesen kann. Mein Kunde erstellt jetzt einen
Hallo Leutz,
bei einem Kunden habe ich diese Woche eine CA von einem Server auf einen anderen migriert. Im Rahmen der Migration wollten wir auch auf den Exchange Servern das Zertifikat erneuern (u. a. wegen des neuen CDP). Nach der Zertifikatanforderung erschien immer die Meldung in der Exchange Konsole dass der Sperrstatus nicht geprueft werden konnte. Trotz CRL Cache loeschen konnte der Sperrstatus nicht validiert werden, das PKI Health Utility auf der CA brachte keine Fehler. Schlussendlich war der Exchange Server Schuld (dank sei dem CAPI2 Logging). Wie das Problem geloest werden konnte steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/CA-Migrate-Exchange-CRL.pdf
Gruss Marc
Hallo Leutz,
das folgende Bilderbuch zeigt die Inbetriebnahme und Konfiguration der Vodafone AirWatch MDM Loesung exemplarisch an einem iOS Device:
http://www.it-training-grote.de/download/AirWatch-MDM.pdf
(Anmerkung: Application Management folgt noch)
Gruss Marc
Hallo Leutz,
hier findet ihr die Slides fuer meinen Vortrag fuer die ice:Lingen 2012:
http://www.it-training-grote.de/download/DA-UAG-W2K12.pdf
Und noch ein paar Bilder:
Gruss Marc
Liebe Forefront Gemeinde,
seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) haben paralell dazu eine Forefront User Group im norddeutschen Raum etabliert. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.
Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.
Das dritteTreffen findet am 15.11.2012 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover
Die geplante Agenda:
19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:30 – PKI, Einsatz von Verschluesselung und Zertifikaten am Beispiel von SSL – Karsten Hentrup
20:30 – 21:00 – Pause / Networking
21:00 – 22:15 – Best Practices Zertifikate und Publishing in Forefront TMG/UAG – Marc Grote
22:15 – Ende – Diskussionen / Networking
Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482
Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)
Gruss von der FUGN
Karsten Hentrup und Marc Grote