Category Archives: Marc Grote

Issuance Policies fuer eine Windows Enterprise Subordinate CA

Posted on by

Hallo Leutz,

bei einem Kunden bin ich diese Woche dabei eine zweistufige PKI Hierarchie mit einer Offline Root CA und einer Enterprise Subordinate CA einzurichten. Bei dem heutigen Versuch Certificate Templates fuer EV-Zertifikate (http://www.it-training-grote.de/blog/?p=5190) ausgestellt von der SubCA zu konfigurieren schlug fehl. Schuld war eine fehlende CAPOLICY.INF auf der SubCA und der Tatsache das eine SubCA zwar zum Ausstellen von “Allen Anwendungsrichtlinien” aber nicht zur Ausstellung von “Allen Ausgegebenen Richtlinien” konfiguriert ist. Wie man der SubCA beibringen kann auch bestimmte oder alle Issurance Policies zu akzeptieren steht in diesem Bilderbuch:
http://www.it-training-grote.de/download/Issuance-Policies-SubCA.pdf

Gruss Marc

ARP Guard und Forefront UAG NLB Arrays

Posted on by

Hallo Leutz,

eine kleine wichtige Information zu Forefront UAG NLB Arrays bei der Verwendung von Software/Hardware welche eine MAC Adress Authentifizierung / -Suche im LAN durchfuehrt und nur erlaubten MAC-Adressen Zugang zum LAN erteilt:
Bei einem Kunden bin ich diese Woche dabei ein Forefront UAG NLB Array einzurichten und bei der Aktivierung des NLB-Array im Unicast Modus hatten wir massive Probleme das NLB-“Cluster” zum Laufen zu bringen. Die Admins hatten zwar in der ARP Guard (das Produkt) Konfiguration die Unicast MAC Adresse der Clusterknoten als erlaubte MAC-Adressen hinterlegt aber irgendwie hat das nicht funktioniert, da ARP Guard immer noch die MAC-Adresse als Intrusion erkannt hat. Wir vermuten das das Problem dadurch ausgeloest wurde das die Unicast MAC-Adresse ja an allen vier Switch Ports der internen LAN-Adapter auftaucht und ARP Guard dieses als Bedrohung erkannt hat. Eine Umstellung auf Multicast NLB war aufgrund der Switch-Einschraenkungen nicht moeglich. Die Loesung des Problems war dann ganz einfach an alle Switch-Ports wo die UAG Array Member angeschlossen waren den ARP Guard zu deaktivieren und anschlissend funktioniert auch das Windows NLB in Verbindung mit Forefront UAG

Gruss Marc

Selbstsignierte Zertifikate ohne Hostnamen und Windows 7/8

Posted on by

Hallo Leutz,

bei einem Kunden hatte ich heute ein interessantes, reproduzierbares Problem mit selbstsignierten Zertifikaten ohne Hostname mit lediglich dem Domaenennamen als Aufruf. Ich sollte bei einem Kunden einen ISA Server 2006 troubleshooten wo seit ueber einem Jahr Outlook Anywhere nicht mehr funktioniert. Der Kunde nutzt Exchange Active Sync so dass das Outlook Anywhere Problem nicht so relevant war.
Nachdem ich als erstes auf dem ISA Server die Konfiguration geprueft hatte und der Exchange Umgebung einen Health Check unterzogen hatte und keinen Fehler feststellen konnte schauten wir uns den Client an und der bekam den klassischen Mehrfach Prompt zur Kennworteingabe.
Wir prueften also als erstes das Zertifikat auf dem ISA Server. Das Zertifikat ist selbst signiert und ausgestellt lediglich auf einen Domaenennamen und nicht klassisch auf einen FQDN!. Erst mal ja kein Problem, da das self signed Zertifikat schon seit 2 Jahren im ISA Zertifikatspeicher liegt und Outlook Anywhere ja mal funktioniert hat. Der Client hatte das Zertifikat im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers. Also alles prima – dachte ich 🙁
Wenn man die durch ISA Server veroeffentlichte Webseite im Browser aufruft kommt aber die Meldung, dass das Zertifikat nicht zu einer vertrauenswuerdigen Zertifizierungsstelle verifiziert werden kann. Wenn man im Zertifikatspeicher das Zertifikat auswaehlt ist der Trust aber validiert. Die Clients waren alle Windows 7 / 8 und auch mein Windows Server 2012 Notebook brachte die gleiche Fehlermeldung. Als Gegentest hatte ich dann die Idee Outlook Anywhere auf einem Windows XP Client zu testen und siehe da, kein Exchange und ISA Problem, Outlook Anywhere funktioniert einwandfrei!
Zusammenfassend das reproduzierbare Ergebnis:
Windows 7 / 8 / Server 2012:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Untrusted
Selbstsigniertes Zertifikat mit FQDN – Trusted
Windows XP:
Selbstsigniertes Zertifikat nur mit Domaenennamen – Trusted
Selbstsigniertes Zertifikat mit FQDN – Trusted

Microsoft scheint also das Verhalten der Cryto API oder aktuellen IE Versionen geaendert zu haben, dass self signed Zertifikate mit nur einem Domaenennamen ohne FQDN nicht mehr als Trusted erkannt werden (was sicherlich auch kein alltaegliches Szenario ist) auch wenn sich das Zertifikat im korrekten Zertifikatspeicher befindet. Bei den gaengigen Suchmaschinen im Internet konnte ich noch nichts finden wie man das Problem loesen kann. Mein Kunde erstellt jetzt einen

MCSE + MCSA – Done

Posted on by

Hallo Leutz,

vor einigen Tagen kam endlich das letzte Ergebnis von Prometric, dass ich die letze der 12 MC* Pruefungen der letzten knapp 7 Monate bestanden habe:

Prometric

Mit den Pruefungen kamen einige neue Titel :-):
– Microsoft Certified Solutions Associate (MCSA) Windows 2008
– Microsoft Certified Solutions Associate (MCSA) Windows 7
– Microsoft Certified Solutions Associate (MCSA) Windows Server 2012 – Charter Member
– Microsoft Certified Solutions Associate (MCSA) Windows 8 – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Private Cloud – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Messaging – Charter Member
– Microsoft Certified Solutions Expert (MCSE) Server Infrastructure – Charter Member
– Microsoft Certified Technology Specialist (MCTS) System Center 2012 Operations Manager, Configuration
– Microsoft Certified Technology Specialist (MCTS) System Center 2012 Configuration Manager, Configuration

Eine komplette Uebersicht ueber alle meine MS Pruefungen gibts hier http://www.it-training-grote.de/download/transcript.pdf  und hier die Ergebnisse: http://www.it-training-grote.de/download/mcp-testergebnisse.pdf
Alle Zertifizierungen / Ausbildungen: http://www.it-training-grote.de/person.php

Gruss Marc

Consulter im Hotel … Halbjahresausgabe 2012 – Part II

Posted on by

Hallo Leutz,

das zweite Halbjahr 2012 naehert sich dem Ende. Zeit fuer einen kleinen “Consulter im Hotel” Rueckblick welchen ich gerade im Zug auf dem Weg nach Lueneburg schreibe :-). Wo hat es mich die zweite Haelfte des Jahres hingefuehrt?

Huerth 1x – 3 Tage (UAG Portal)
Huellhorst 2x – 2 Tage (W2K12 Workshops)
Lingen 1x – 1 Tag (DA Vortrag ice Lingen)
Wuppertal 1x – 1 Tag (W2K12 Vortrag NRWconf)
Guetersloh 1x – 1 Tag (Exchange 2003 Deinstallation)
Bitterfeld 1x – 2 Tage (EX2K10+TMG Workshop)
Walsrode 1x – 2 Tage (TMG Installation)
Bad Pyrmont 4x – 32 Tage (SCOM 2012 Migration, Workshops, Firewallumstellung / Konsolidierung)
Aachen 1x – 4 Tage (System Center 2012 Workshop)
Cottbus 2x – 10 Tage (FEP-SCEP 2012 Migration + Workshop, PKI Migration)
Peine 1x – 3 Tage (PKI Workshop)
Frankfurt 1x – 3 Tage (TMG Workshop)
Berlin 1x – 10 Tage (System Center 2012 Workshop)
Stadthagen 2x – 4 Tage (W2K12 Workshop)
Hannover 1x – 1 Tag (Windows Server 2012 Vortag)
Eberswalde 6x – 30 Tage (IT-Support, Exchange Migration, Windows 7 Rollout Planung)
Oldenburg 1x – 1 Tag (TMG RDG Smartcard)
Oberhaching 1x – 5 Tage (Smartcard Deployment)
Ingolstadt 1x – 5 Tage (Windows Server 2012 Workshop)
Gummersbach 1x – 3 Tage (Forefront UAG Consulting)
Wiesbaden 1x – 2 Tage (Forefront UAG Consulting)
Ilsede 1x – 3 Tage (WS2012 Hyper-V + System Center 2012 Consulting)
Bad Homburg – 4 Tage (WS2012 Hyper-V + DPM)
Hannover 1x – 1 Tag (PKI Consulting)

Anreise- / Abreisetage nicht mitgerechnet.

Dazu kamen in Summe noch 21 Fernwartungstermine bei Kunden nach Feierabend und am Wochenende, 6 Artikel fuer www.isaserver.org,
1 Artikel fuer den IT-Administrator, 2 Artikel fuer das Windows Server Magazin, einige Blogeintraege sowie unzaehlige Stunden Bueroarbeit und Arbeit in den Forefront Technet Foren, 2 Vortraege zum Thema Forefront, Vorbereitungen fuer Kundentermine und Informationsbeschaffung, sowie wieder Hunderte E-Mails und einige Telefonanrufe von “Unbekannten” und Kunden mit der Bitte um (kostenlose) Hilfestellungen und unzaehlige Stunden durch verspaetete Bahnfahrten:-( . Diese Aktivitaeten sorgten dafuer das es KEINE Veraenderung meiner Wochenarbeitszeit von ca. 110 Stunden gegeben hat, ich arbeite aber daran das zu verbessern.

Es folgen wieder Bilder von “bemerkenswerten” Hotels und Erlebnissen dieses zweiten Halbjahres:

        WP_001358            

Gruss Marc

Unified Remote Access 2012 Buch von Erez Ben-Ari ist verfuegbar

Posted on by

Hallo Leutz,

das neue Unified Remote Access 2012 Buch von Erez Ben-Ari ist veroeffentlicht worden:
http://blogs.technet.com/b/ben/archive/2012/12/27/the-new-book-about-unified-remote-access-2012-is-finally-out.aspx
Hier kann man es kaufen:
http://www.packtpub.com/windows-server-2012-unified-remote-access-planning-and-deployment/book
Es beschaeftigt sich mit den neuen Direct Access Funktionen von Windows Server 2012 und ist was ich bisher gelesen habe eine Bereicherung fuer jeden der sich mit dem Direct Access Nachfolger von Forefront UAG beschaeftigen will:
http://www.it-training-grote.de/download/Windows8-DirectAccess.pdf

Gruss Marc