Implementierung Offline Root CA mit Issuing Online Enterprise Root CA und Windows Server 2012 R2

Posted on by

Hallo Leutz,

bei einem Kunden habe ich in den letzten Wochen und heute final die Online Enterprise Root CA dekommissioniert und eine zweistufige CA Hierarchie mit einer Offline Root CA und einer Online Enterprise Issuing CA auf Basis Windows Server 2012 R2 implementiert, um unter anderen der baldigen Abschaltung des Support fuer SHA1 seitens Microsoft nachzukommen: http://www.it-training-grote.de/blog/?p=6254

Die neue CA wurde mit CNG (SHA256 Hashalgorithmus) implementiert.
Durchgefuehrte Schritte:
Installation Offline Standalone Root CA
Installation Online Enterprise Issuing CA
Einrichtung der Schluesselarchivierung
Einbindung von Common PKI (Rollentrennung)
Ausstellen von neuen Zertifikaten fuer alle Server
Dekommissionierung der alten Online Enterprise CA

Dabei ist folgendes Bilderbuch entstanden: http://www.it-training-grote.de/download/OfflineRoot-EnterpriseOnline-CA.pdf

Gruss Marc

Windows Azure Hyper-V Recovery Manager

Posted on by

Hallo Leutz,

seit einiger Zeit nutze ich Windows Azure u. a. fuer Demonstrationen und Workshops zum Thema System Center 2012 R2 Virtual Machine Manager und der Windows Azure Hyper-V Recovery Manager Integration.
Gestern Abend wollte ich in Windows Azure den Hyper-V-Wiederherstellungs-Manager-Tresor loeschen und fuer eine andere Windows Azure Subscription neu erstellen.
Dazu habe ich den Datentresor in Windows Azure geloescht und fuer die neue Subscription einen neuen Datentresor erstellt.
Anschliessend habe ich auf dem SCVMM 2012 R2 Server ein neues Zertifkat erstellt und dieses in den Windows Azure Datentresor hochgeladen.
Bei dem anschliessenden Versuch den Windows Azure Hyper-V Recovery Manager Provider neu zu registrieren, erschien die Fehlermeldung, dass bereits ein Recovery Manager Tresor existiert und ein Zertifikat ebenfalls vorhanden ist. Angezeigt wurde der Tresor der alten Windows Azure Subscription. Deinstallation und Neuinstallation des Providers half nicht. Die Loesung des Problems war letztlich in der Registry des SCVMM-Server einige Schluessel zu bereinigen.
Die Loesung des Problems steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/HV-RecoverManager-Azure.pdf

Gruss Marc

 

System Center 2012 R2 Configuration Manager – Management Point (MP) Installation schlaegt fehl

Posted on by

Hallo Leutz,

Bei einem Kunden migriere ich zur Zeit eine Forefront Endpoint Protection 2010 Installation mit SCCM 2007 auf SCCM/SCEP 2012 R2. Die SCCM Installation ist erfolgreich, „lediglich“ die Installation des Management Point (MP) meldet im CCM Komponentenstatus den Fehler das der SMS_MP_CONTROL_MANAGER den MP nicht installieren kann (MP.MSI). Durch Analyse der CCM Logdateien MPSETUP.LOG und MPMSI.LOG habe ich festgestellt, dass das CCM Setup Probleme hat, den CCM Namespace im WMI zu registrieren, bzw. vorhandene CCM Eintraege im Repository nicht geloescht werden koennen.
Ursache war, dass auf dem neuen CCM-Server durch die existierende Forefront Endpoint Protection 2010 (SCCM 2007), bereits ein CCM-Client installiert wurde, welcher den CCM-Namespace im WMI angelegt hat.
Wie man den Fehler analysieren und beheben kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/SCCM2012-R2-MP-Error.pdf

Gruss Marc

Exchange 2010 zu Exchange 2013 Migration – Offline Adress Buch (OAB) Probleme

Posted on by

Hallo Leutz,

bei einem Kunden bin ich gerade in der finalen Phase der Migration der Exchange Server 2010 auf Exchange Server 2013. In der letzten Phase muss dass Offline Adressbuch fuer die neuen Exchange 2013 Server zugewiesen werden (bis zu diesem Zeitpunkt wurden die OAB von Exchange 2010 verwendet) und die alten OAB vor der Exchange Server 2010 Dekommissonierung geloescht werden. Da die OAB nicht von Exchange 2010 zu Exchange Server 2013 verschoben werden koennen, muessen neue OAB erstellt werden.
Bei der Erstellung der neuen OAB per Exchange Management Shell (GUI ist nicht mehr moeglich), kam die Fehlermeldung ManagementObjectNotFoundException. Die neuen OAB wurden jedoch in der Active Directory Konfigurations Partition erstellt. Die Anzeige der OAB mit der Exchange Management Shell zeigte nur die Exchange 2010 OAB an. Nach einiger Recherche habe ich festgestellt, dass die Berechtigungen fuer die Exchange Sichereitsgruppen im Container CN=Offline Adress Lists der Active Directory Konfigurations Partition nicht korrekt waren, bzw. die Vererbung der Berechtigungen auf dieser Ebene deaktiviert war. Nach Bereinigung der Berechtigungen liessen sich neue OAB mit der Exchange Management Shell anlegen und den neuen Exchange 2013 Datenbanken zuweisen.
Ein weiteres Problem bestand noch darin, dass das von Exchange Server 2013 angelegte OAB Standard-Offlineadressbuch (Ex2013) ein Problem hatte, weil es noch fuer OABGEN 2 und 4 eingerichtet war. Das Problem konnte geloest werden, indem mit ADSIEDIT in den Eigenschaften des OAB der Wert des Attributs doOABVersion von 6 auf 4 gesetzt wurde.
Weitere Details, Fehlermeldungen und Loesungsansaetze stehen in diesem Bilderbuch:
http://www.it-training-grote.de/download/Mig-2010-2013-OAB-Probleme.pdf

Gruss Marc

PKI: CA Datenbank bereinigen…

Posted on by

…Hallo Allerseits,

wenn die Datenbank einer Microsoft CA im Laufe der Jahre auf eine ansehnliche Größe angewachsen ist, gibt es einige Ideen diese zu bereinigen. Unter anderem einen tollen Artikel dazu liefert das Ask the Directory Services Team unter http://blogs.technet.com/b/askds/archive/2010/08/31/the-case-of-the-enormous-ca-database.aspx.

Für ein aktuelles Kundenszenario hatten wir die Aufgabe die abgelaufenen Zertifikate aus der CA-Datenbank zu löschen. Da wir hier von einer CA reden, die in den letzten 5 Jahren ca. 170000 Zertifikate ausgestellt hat, ist das manuelle Löschen eher eine Strafarbeit.

Lösen konnten wir diese Aufgabe durch ein nettes Tool, welches mein Kollege Thomas Froitzheim programmiert hat. Am Beispiel unserer hausinternen (deutlich kleineren) CA liefert CertDbClean.exe folgende Ergebnisse:

image

Nach getaner Arbeit:

image

Ein finaler Scan meldet dann im Anschluss:

image

Insofern: Ihr wollt auf einfachem Wege die abgelaufenen Zertifikate aus der CA-Datenbank löschen? Wir haben die Lösung!

Smiley

Gruß und bis dahin,

Karsten Hentrup aka Jens Mander…

|<-|

Windows Server 2012 und R2 – Core Parking – Energiesparplan

Posted on by

Hallo Leutz,

seit Windows Server 2008 R2 gibt es das Core Park Feature, um eine CPU in den Idle Mode zu setzen. Mit Windows Server 2012 hat Microsoft die Core Parking Policy geaendert (KB: http://support.microsoft.com/kb/2814791). Auszug: “Currently by default, Windows Server 2012 disables core parking for Intel based processors to maximize energy efficiency and CPU performance”.

Bei einem Kunden habe ich heute festgestellt, dass sowohl auf den physikalischen Hyper-V Servern als auch in den virtuellen Maschinen das Core Parking Feature aktiv ist. lt. den Windows Server 2012 / R2 Performance Tuning Guidelines (http://msdn.microsoft.com/en-us/library/windows/hardware/dn529134) kann die Funktion des Core Parking mit den Powerplan Einstellungen modifiziert werden. Standardmaessig wird der Energiesparplan “Ausbalanciert” verwendet. Wenn man diesen auf “Hoechstleistung” umstellt, ist das Core Parking auch desaktiviert. Die Energiesparplaene kann man auch per Gruppenrichtlinie steuern. Wenn Sie also das Core Parking Feature desaktivieren wollen, erstellen Sie eine Gruppenrichtlinie mit entsprechenden Einstellungen und wenden diese auf die Server an.
Diese und weitere Informationen stehen in folgendem Bilderbuch: http://www.it-training-grote.de/download/CPU-CoreParking-WS2012.pdf

Gruss Marc

NVGRE Gateway mit SCVMM 2012 R2 und Windows Server 2012 R2

Posted on by

Hallo Leutz,

am Wochenende hatte ich im Rahmen eines ASWE mit meinem Freund und Kollegen Holger Voges die Gelegenheit, ein NVGRE Gateway mit Hyper-V 2012 R2 und SCVMM 2012 R2 einzurichten.
Orientiert haben wir uns an der sehr guten Anleitung: http://gallery.technet.microsoft.com/Hybrid-Cloud-with-NVGRE-aa6e1e9a
Daraus ist dann folgendes Bilderbuch entstanden:http://www.it-training-grote.de/download/NVGRE-SCVMM2012R2.pdf

Gruss Marc

Exchange Server 2007 zu 2013 Migration – Legacy URL Probleme ueber Forefront TMG

Posted on by

Hallo Leutz,

im Rahmen einer Exchange 2007 zu 2013 Migration mussten wir den Forefront TMG Server anpassen, dass Outlook Web Access Benutzer sowohl auf Exchange 2007 als auch Exchange 2013 Mailboxen zugreifen koennen.
Dazu wurden in der Exchange Server Umgebung die entsprechenden internen/externen URL / SCP angepasst.
Nach der Anpassung hatten OWA User aus dem Internet aber das Problem, dass ein Exchange 2007 User nicht korrekt ueber die Legacy URL redirected wurde und sich in einer Endlosschleife befand. Im Forefront TMG kam die Meldung “302 Moved Temporarily”.
Wie man das Problem loesen kann, steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/EX2013-Migration-LegacyURL-TMG.pdf

Gruss Marc