Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Alternatives Serverzertifikat zum Windows Serverzertifikatdienst gesucht

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: sesama

sesama (Level 1) - Jetzt verbinden

03.09.2009, aktualisiert 09.09.2009, 10812 Aufrufe, 19 Kommentare

Hallo,

möchte per Radiusserver Netzwerkressourcen zugänglich machen und habe nach der paedml-Anleitung gearbeitet. Siehe hier: paedML

Auf zwei verschiedenen physikalischen paedml-Servern hat die Verbindung nicht funktioniert. Ich tippe mal auf ein fehlerhaftes Zertifikat und suche deshalb eine Alternative zum Serverzertifikat von Windows.

Ein weiterer Grund dafür ist, dass auch externe Geräte mit MAC-OS die Netzwerkressourcen nutzen sollen und diese nicht mit dem Windows-Zertifikat arbeiten.

Viele Grüße!
Mitglied: DerSchorsch
03.09.2009 um 14:41 Uhr
Hallo,

Für solche Probleme gibt es eine Hotline, die helfen einem da gerne weiter.

Aber ich hatte auch schon festgestellt, das manche private Windows-Clients das CA-Zertifikat nicht akzeptieren, wenn es wie in der Anleitung beschrieben importiert wird. Man sollte es dann am besten in das Computerkonto importieren:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzfügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.
Für Notebooks, die Domänenmitglieder sind, braucht man das nicht machen. Wird die GPO gemäß Anleitung angelegt, laufen die

Was die MACs betrifft: auch dies geht. Ich habe zwar selbst keins, kenne aber Leute, die arbeiten mit MACs (10.4 oder neuer) in der ML.
Man muss serverseitig die Konfiguration für "private Notebooks" durchführen und dann das Stammzertifikat in den Schlüsselring des MACs importieren und bei der WLAN-Konfiguration den Typ "PEAP (MS-CHAP v2)" auswählen. Probleme gibt es dann noch bei dem Zugriff auf die Homeshares, da die ML hier sehr eingeschränkte NTFS-Rechte hat, mit der der SMB-Client vom MAC oftmals nicht klarkommt. Am einfachsten ist es, den Home-Ordner der MAC-Benutzer selbst nochmal freizugeben und diesen zu verwenden.

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
03.09.2009 um 16:31 Uhr
Hallo,

danke für die Rückmeldung!

Hotline kommt leider nicht in Frage, da ich nicht BWler bin, jedoch bereits lange mit der paedML zu tun habe.

Die Tipps waren insbesondere im Hinblick auf die MAC-Komaptibilität sehr hilfreich. Leider funktioniert die Verbindung noch immer nicht.

Da das Phänomen an zwei unterschiedlichen physikalischen Servern auftaucht, auch unter Verwendung unterschiedlicher Notebooks, bin ich so langsam am Verzweifeln.

Die komplette Radiusserverinstallationsroutine habe ich bereits x-mal durchgefürt.

Wo könnte ich noch ansetzen? Der AP hängt an im Moment zu Testzwecken direkt an der internen Netzwerkkarte. Korrekt? Tja, so langsam wirds duster.

Grüße!
Bitte warten ..
Mitglied: DerSchorsch
03.09.2009 um 17:40 Uhr
Hallo,

na, dann schauen wir mal
  • Was für einen AP verwendest du denn?
  • Welche Meldung kommt am Client (Ereignisprotokoll)?
  • Welche Meldung kommt im Radius-Log?
du musst ev. zuerst im IAS-Dienst die RAS-Protokollierung aktivieren, am besten alle 3 Optionen in eine lokale Datei schreiben lassen.
  • Läuft der IAS-Dienst überhaupt?
Hintergrund ist der Patch KB953230, dank dem der DNS-Dienst ziemlich beliebig UDP-Ports belegt. Nun kann es passieren, dass der IAS überhaupt nicht mehr starten kann. Um diesen Fehler zu beheben musst du im Registry-Bereich HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters den Schlüssel ReservedPorts bearbeiten. Ergänze hier diese 3 Zeilen
1645-1646 
1812-1813 
4500-4500
Die ersten beiden Werte halten die Ports für den IAS frei, der letzte die für den IPSec-Dienst (der hat zwar nichts mit Radius zu tun, aber wenn du gerade dabei bist)

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
03.09.2009 um 18:31 Uhr
Hallo,

AP
Habe mir den originalen AP aus der paedML-Anleitung besorgt: D-LINK, DWL2100AP. Akuellste Firmware ist aufgespielt.

Ereignisprotokoll (Client)
Alle 10 Sekunden folgendes Ereignis

Ereignistyp: Informationen
Ereignisquelle: Tcpip
Ereigniskategorie: Keine
Ereigniskennung: 4201
Datum: 03.09.2009
Zeit: 18:00:49
Benutzer: Nicht zutreffend
Computer: NOTEBOOK
Beschreibung:
Netzwerkadapter "Intel(R)...WiFi Link 5100 - Paketplaner-Miniport" wurde mit dem Netzwerk verbunden, und das System wurde über das Netzwerk im normalen Zustand gestartet.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http:
go.microsoft.com/fwlink/events.asp.
Daten:
0000: 00 00 00 00 02 00 50 00 ......P.
0008: 00 00 00 00 69 10 00 40 ....i..@
0010: 02 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

Meldung "Radius-Log
Protokollierung aktiviert, konnte jedoch keine INyymmdd.log in ../system32/logfiles finden.

Läuft der IAS-Dienst
Verwaltung/Dienste/IAS-Dienst gestartet

Registry-Einträge sind erweitert

Noch folgender Hinweis: Nach Rückmeldung von Tamer Berber (Anleitungs-Autor) habe ich mal ein Notebook in die Domäne aufgenommen und versucht, per WLAN zu booten und anzumelden. Ergebnis: Funktioniert nicht. Liegt also, lt. Tamer Berber, doch eher am Zertifikat oder Authentifizierung.

Habe weiterhin mal ein Tracing wie folgt ohne erhoffte Einträge durchgeführt:

netsh ras set tra * en
Danach sollten Sie im Verzeichnis c:\windows\tracing verschiedene
Logdateien finden: rastls.log, raschap.log, ias*.log, ras*.log.//

So, soweit von hier.

Grüße!
Bitte warten ..
Mitglied: sesama
03.09.2009 um 18:44 Uhr
... Hier (Link entfernt) habe ich noch meine AD-Einstellungen dokumentiert. Eventl. gibts hier einen Fehler im Hinblick auf die Authentifizierung. Alles steht auf dem Prüfstand.

Grüße!
Bitte warten ..
Mitglied: DerSchorsch
03.09.2009 um 19:41 Uhr
Hallo,

da der IAS keine Logs anlegt, vermute ich eher, dass er nicht korrekt läuft. Wäre das Zertifikat die Ursache, hätte der IAS und der Client entsprechende Fehler protokollieren müssen.
Bei dir sieht es aber so aus, als ob der Client die WLAN-Verbindung startet und den Kontakt zum AP auch soweit aufbauen kann, dieser aber den IAS nicht erreicht. Damit kommt es zu einem TimeOut und der Client probiert es dann im 10sek-Takt immer wieder. Hätte die Authentifizierung fehlgeschlagen, würde der Client und der Server dies protokollieren und dann keinen weiteren Versuch starten.
Prüfe mal den Radius-Schlüssel, ob er bei Server und AP identisch ist. Ach ja, keine Sonderzeichen, meiner Erfahrung nach haben D-Links damit Probleme.
Setze auch den Haken bei "Anforderung muss das Attribut "Message Authenticator" enthalten" (Hast du laut deiner Doku nicht gemacht).

Ah, gerade sehe ich, das in der Doku etwas fehlt:
Der IAS muss im AD registriert werden, sonst geht da gar nichts. Und dieser Punkt ist nicht dokumentiert:
Im IAS Manager einfach mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal) klicken und Server im Active Directory registrieren

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
03.09.2009 um 20:59 Uhr
Hallo,

deine Analyse hört sich plausibel an:

Radius-Schlüssel
Ist geprüft, einfach und indentisch

"Anforderung muss das Attribut..."
Ist gesetzt

IAS in AD
War bereits registriert.

Hier (Link entfernt) findest du meine D-LINK-Konfiguration.

Server-OS = W2K3 mit SP2, ISA 2006 und allen aktuellen Udpates, Patches

Ist doch nicht normal, dass der Fehler bei zwei unterschiedlichen, physikalischen Servern auftritt. Das Prozedere hat bei anderen paedMLern funktioniert. Meine Nerven.

Viele Grüße!
Bitte warten ..
Mitglied: DerSchorsch
04.09.2009 um 07:54 Uhr
Hallo,

laut der D-Link-Konfiguration hast du dort die falsche Subnetmaske.
Du hast 255.255.255.0
Damit ist der AP mit 10.1.5.11 in einem anderen Subnet als der Server mit 10.1.1.1 und kann demnach nicht mit ihm kommunizieren.

Ändere sie bitte auf 255.255.0.0 und probiere dann nochmal

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
04.09.2009 um 12:23 Uhr
Hallo,

Oh, mein Gott! Das scheint in der Tat der Fehler gewesen zu sein, den ich ca. 6 Monate übersehen hatte! Folgende Mittelung am Server in der Ereignisanzeige/System:

Ereignistyp: Informationen
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 1
Datum: 04.09.2009
Zeit: 12:18:04
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxx" wurde Zugriff gewährt.
Vollqualifizierter Benutzername = SCHULE\xxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
Kennung der Anruferstation = 00-16-44-9E-F0-80
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinienname = WLAN für private Geräte
Authentifizierungstyp = PEAP
EAP-Typ = Sicheres Kennwort (EAP-MSCHAP v2)


Das schaut doch wirklich schon sehr gut aus! Wirklich super. Muss erstmal eine Tasse Tee jetzt trinken oder so

Noch 2 Fragen:

Der Versuch, per WLAN online zu gehe (Proxy: 10.1.1.1:8080) schlug fehl. Warum?
Wie kann ich die Netzwerkressourcen (Netzlaufwerke: Tausch, Vorlagen, Homeverzeichnis) am privaten WLAN-otebook in meinen Windows-Explorer integrieren.

Wie gesagt, die Verbindung steht zwar, jedoch kann ich im Moment noch nichts damit anfangen. Trotzdem, schon einmal ein großer Schritt.

Viele Grüße!
Bitte warten ..
Mitglied: DerSchorsch
04.09.2009 um 12:59 Uhr
Hallo,

kleiner Fehler, große Wirkung...
Naja, Wochenende ist ja bald.

Damit private Geräte ins Internet dürfen, musst du dies für "sonstige Geräte" erlauben.
In der Schulkonsole kannst du dies ja einfach freigeben.

Die eleganteste Art für den Zugriff auf die Ressourcen ist die ML-Erweiterung "PrivateMap". Damit rufst du am Client nur noch die URL http://s1/privatemap auf und kannst dann per Mausklick alle gewünschten Sachen verbinden.

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
04.09.2009 um 16:48 Uhr
Hallo, Schorsch,

nochmals vorab: Herzlichen Dank bis hier für deine Unterstützung. Du hast wirklich geholfen und das weiß ich sehr zu schätzen. Hier noch einige Anmerkungen:

Mittlerweile klappt der Onlinezugang per privatem Notebook. Nach Aufruf des Browsers erscheint ein Anmeldefenster, dass nach Benuterzname und Passwort fragt. Warum? Ich dachte, der Zugang wäre mit der Authentifizierung für das WLAN abgeschlossen?

Eine Funktion in der Schulkonsole (SK 2.5) "sonstige Geräte" konnte ich nicht finden. Meinst du die generelle Internetfreigabe? Die wirkt sich doch eigentlich nur auf die aufgelisteten Workstations (PC1 - PCx) aus - oder? Somit ist eine Internetsteuerung von der SK aus für private Notebooks wohl nicht möglich, da diese nicht gelistet sind?

"PrivateMap" kenne ich bereits und habe auch schon damit gearbeitet. Ich hoffte jedoch, dass die Netzlaufwerke je nach Benutzer sich durch das Radiusserverszenario automatisch integrieren. Ist wohl leider nicht so.

Wenn ich also auch hier mit "PrivateMap" arbeiten muss, stellt sich mir doch die Frage, wozu der ganze Aufwand? Wo liegt der Vorteil eines Radiusservers gegenüber einer WPA2/PSK-Verschlüsselung? Diese Variante habe ich vor einiger Zeit bereits getestet und funktionierte auf Anhieb. Und per PrivateMap waren auch die Netzwerkressourcen zur Verfügung.

Viele Güße!
Bitte warten ..
Mitglied: DerSchorsch
04.09.2009 um 18:39 Uhr
Hallo,

Dank dem Radius kannst du den Zugriff viel feiner steuern, als mit einem PSK. Bei PSK müssen alle diesen Schlüssel kennen. Sollen z.B. auch Schüler das WLAN nutzen dürfen, musst du ihnen den PSK geben. Da kannst du kaum kontrollieren, wer das noch alles bekommt. Wenn du ihn mal ändern musst, bedeutet dies alle APs und alle Clients anzupacken. Und in Protokollen findest du nur die MAC-Adressen. Da wäre es im Notfall fast unmöglich herauszufinden, wer etwas angestellt hat.
Eine Radius-Lösung ist komplizierter aufzusetzen, dann aber viel einfacher zu handhaben. Nimm die entsprechenden Benutzer einfach in die Projektgruppe und wirf sie wieder raus, wenn sie nicht mehr dürfen. Willst du weitere APs, einfach als weitere Radius-Clients hinzufügen. Schuleigene Notebooks kannst du per GPO konfigurieren. Da brauchst du dann gar nichts mehr machen, die laufen wie "verkabelt".

Allerdings bedeutet dies nicht, dass sich nicht-Domänen-Computer (also private) dann wie solche verhalten. Da hier die lokale Benutzeranmeldung bereits durchgeführt wurde, erfolgt keine weitere an der Domäne.
Die Radius-Anmeldung gewährt hier nur die WLAN-Verbindung. Dies bedeutet, dass man sich für den Ressourcenzugriff nochmal anmelden muss. Daher das Hilfsmittel "PrivateMAP".
Dafür kannst du auch mit Home-Editionen kommen, die sich ja eigentlich weigern eine Domänenanmeldung durchzuführen. Hier ist der Radius-Vorteil gegenüber PSKs hauptsächlich, dass du die Benutzer per Namen zulassen kannst.

Das alles mag nach deiner Installations-Odyssee etwas enttäuschend sein, aber so ist es wirklich einfacher zu handhaben.

Die Internetfreigabe für private Notebooks kannst du über die Schulkonsole -> Räume -> sonstige Rechner (ganz unten in der Liste) steuern. Damit sind alle Rechner gemeint, die keinem Raum zugeordnet sind. Dies hatte ich gemeint.

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
04.09.2009 um 23:23 Uhr
Hallo, Schorsch!

Danke für die Ausführungen, klingt überzeugend.

Wie gesagt habe ich ja noch einen zweiten paedML-Server in der Mangel. Hier taucht nun beim Versuch, per Radiusserver ein privates Notebook anzubinden folgende Meldung am Server in der Ereignisanzeige auf:

Ereignistyp: Warnung
Ereignisquelle: IAS
Ereigniskategorie: Keine
Ereigniskennung: 2
Datum: 04.09.2009
Zeit: 23:18:39
Benutzer: Nicht zutreffend
Computer: S1
Beschreibung:
Benutzer "SCHULE\xxxxx" wurde Zugriff verweigert.
Vollqualifizierter Benutzername = SCHULE\xxxxx
NAS-IP-Adresse = 10.1.5.11
NAS-Kennung = D-Link Access Point
Kennung der Anrufstation = 00-22-B0-73-98-6C:SCHULE
Kennung der Empfängerstation = 00-21-5D-E6-42-C4
Clientanzeigename = AP01
Client-IP-Adresse = 10.1.5.11
NAS-Porttyp = Wireless - IEEE 802.11
NAS-Port = 1
Proxyrichtlinienname = Windows-Authentifizierung für alle Benutzer verwenden
Authentifizierungsanbieter = Windows
Authentifizierungsserver = <unbestimmt>
Richtlinien-Name = WLAN für private Noteebooks
Authentifizierungstyp = PEAP
EAP-Typ = <unbestimmt>
Code = 262
Ursache = Die angegebene Nachricht ist unvollständig. Die Signatur wurde nicht verifiziert.


Habe mal auf eine fehlerhafte Signatur getippt und am Server den Zertifikatdienst komplett entfernt, Zertifikate per Internetoptionen/Inhalte/Zertifikate entfernt und nach Serverneustart den Zertifikatsdienst wieder installiert, in der Hoffnung, dass ein neues Zertifikat generiert wird. S1 teilte mit, dass zwar ein S1-Zertifikat bereits besteht, dies jedoch auf Wunsch überschrieben würde. Dem bin ich gefolgt.

Daraufhin das neue Zertifikat auf das Notebook übertragen. Das Ergebnis blieb jedoch das gleiche. Wo könnte her der Fehler liegen?

Viele Grüße!
Bitte warten ..
Mitglied: DerSchorsch
05.09.2009 um 16:32 Uhr
Hallo,

laut:
http://support.microsoft.com/kb/838502/de
erkennt der Client das CA-Zertifikat nicht.

hatte ich auch schon. Nachdem ich es manuell in den Computer-Zetifikatsspeicher übertragen hatte, ging es dann.
Hatte ich schon im ersten Posting erwähnt:
Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen
Rechte Maustaste auf "Vertrauenswürdige Stammzertifizierungsstellen" -> alle Aufgaben -> Importieren -> Im Assistent das Zertifikat auswählen.

oder wie in der KB beschrieben, bei Client einfach die Prüfung ausschalten...

Da du aber den Zertifizierungsstelle ausgetauscht hast, musst du auch kontrollieren, ob wirklich die neuen Zertifikate verwendet werden. Sonst bietet der Server ev. ein altes an, der Client kennt aber nur noch die neue CA und will nicht.
Dazu gehst du in der Zertifikatsspeicher des Servers (Start-> Ausführen -> "mmc" -> Datei "Snapin hinzufügen/entfernen" -> hinzufügen -> Zertifikate -> Computerkonto - Fertigstellen)
Dann bei "Eigene Zertifikate" schauen.
Da müsste es ein Zertifikat für "S1" geben mit Beabsichtigte Zwecke= Alle und ausgestellt zu dem Zeitpunkt, als du die Zertifizierungsstelle (CA) neu installiert hast. Dies ist das Zertifizierungsstellen-Zertifikat.
Um sicher zu gehen, löscht du am besten alle anderen Zertifikate. Dann klicke mit der rechten Maustaste in den leeren Bereich und auf Alle aufgaben -> neues Zertifikat anfordern Behalte die Standardwerte bei und klick dich durch. Jetzt hast du ein neues Zertifikat, das sicher von der neuen CA kommt.
Gehe in die IAS-Verwaltung und kontrolliere in den beiden WLAN-Richtlinien bei Profil bearbeiten -> Authentifizierung -> EAP-Methoden -> Geschützes EAP (PEAP) Bearbeiten und kontrolliere, ob das dort ausgewählte Zertifikat das vorhin erstellte ist. Wenn nicht, dann ändern, mit ok bestätigen und den IAS neu starten.

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
05.09.2009 um 18:01 Uhr
Hallo, Schorsch!

Danke für die Rückmeldung! Die Verbindung steht dank deiner Hilfe, wieder einmal - Halleluljah!

Habe am Server per mmc "Eigene Zertifikate" geleert und neu angelegt. Problem noch: Das Zertifikat läuft jetzt nur für ein Jahr. Kann man das ändern?

Noch ein Problem: im mmc tauchen am Server unter "Vetrauenswürdige Stammzertifizierungsstellen" alle bisher angelegten Zertifikate auf - und das sind bei meinen x Versuchen eine ganze Menge. Habe diese natürlich gelöscht aber siehe da, die tauchen nach einem Neustart immer wieder auf.

Warum das zum Problem wird: In den GPO-Einstellungen für die Verteilung der Einstellungen tauchen nämlich diese Zertifikate alle wieder auf und ich kann nicht sagen, da ja alle die gleiche Bezeichnung haben "S1", welcher jetzt das richtige Zertifikat ist. Natürlich könnte ich ein neues Zertifikat mit abweichenden Namen anlegen, bin mir jedoch unsicher, ob das irgendwelche Auswirkungen haben könnte.

Grundsätzlich die Frage: Wie lösche ich am Server "Vertrau... Zertifkate" dauerhaft. Auch das Löschen per "Internetoptionen/Inhalte/Zertifikate" blieb erfolglos.

Lieber Schorsch, an dieser Stelle nochmals ein herzliches Dankeschön für deine Bemühungen. Du siehst an der Besucherfrequenz dieses Threads: So wirklich Ahnung von dieser komplexen Thematik scheinen nur wenige zu haben. Umso glücklicher bin ich, dass ich zumindest einen fand, der so kompetent derart Tief in der Materie steckt!

Viele Grüße aus dem Frankenland!
Bitte warten ..
Mitglied: DerSchorsch
06.09.2009 um 11:50 Uhr
Hallo,

die Zertifikate laufen immer nur ein Jahr. Aber als DomainController sollte er es selbstständig erneuern. Vielleicht machst du dir aber sicherheitshalber eine Terminerinnerung für nächstes Jahr und kontrollierst dies.
Falls es doch nicht automatisch geht, kannst du es per Rechte Maustaste auf das Zertifikat Alle Aufgaben -> Zertifikat mit demselben Schlüssel erneuern verlängern. Längere Zeiträume gehen meine ich nur mit der Enterprise Edition.

Die alten Stammzertifizierungsstellenzertifikate kommen aus dem ActiveDirectory. Daher musst du dies auch nicht manuell auf Domänenrechnern verteilen. Nun stecken da aber dummerweise noch die alten drin.
Du kannst versuchen, diese per Hand zu löschen:
Start -> Ausführen ->adsiedit.msc
Configuration -> CD=Configuration -> CN=Services -> CN=Public Key Services -> CN=Certification Authorities
Wenn hier mehrere sind, musst du in den Eigenschaften nach whenCreated schauen und die alten dann löschen.

Gruß,
Schorsch

P.S. zu deiner Frage aus der Mailingliste: privateMap geht auch auf Home-Editionen
Bitte warten ..
Mitglied: sesama
06.09.2009 um 12:11 Uhr
Hallo, Schorsch!

Danke für die Rückmeldung.

Das mit den Zertifikaten werde ich testen. Zur Mailinglist: Habe hier nämlich u. a. auch ein Notebook rumliegen, das mit XP-Home-Version versorgt ist und die Medlung bei PrivateMap bringt, dass keine Netzlaufwerke gefunden werden. Bei zwei anderen Notebooks mit XP-Pro taucht dieses Prob nicht auf. Deswegen die Anfrage.

So, noch eine Woche Ferien in Bayern und bis dato kann das Schuljahr jetzt ruhig starten. Werde in der kommenden Woche den Server wieder in der Schule anschließen, die 5 restlichen APs einbinden und ausgiebig testen. Ca. 100 private WLAN-Notebooks sollen per Radiusserver ab kommenden Schuljahr an die paedML. Zu Beginn ist sicherlich mit einigen exotischen Problemen zu rechnen. Hoffe, ich darf mich auch damit dann an dich wenden.

Zum Schluss noch eine Frage zu folgendem Szenario: Schüler 1 möchte mit seinen paedml-Zugangsdaten per privatem Notebook von Schüler 2 eine Radiusserverbindung zur paedml herstellen. Derzeit sind die Einstellungen so gestaltet, dass die Verbindung automatisch hergestellt wird, sobald dies einmal durchgeführt wurde, d. h., Schüler 1 würde dann mit den Zugangsdaten von Schüler 2 angemeldet sein. Schlecht.

Frage: Wie kann ich eine Neuanmeldung am privaten Notebook bei Bedarf erzwingen? Konnte den entsprechenden Schalter in den Einstellungen am Notebook "Drahtlose Verbindungen" nicht finden. Bisher hat nichts funktioniert. Oder läuft das über den Server?

Grüße!
Bitte warten ..
Mitglied: DerSchorsch
07.09.2009 um 17:29 Uhr
Hallo,

klar, melde dich einfach wenn du noch Probleme hast.

Zum Löschen der Anmeldedaten:
Habe im Moment nur ein Win7-Notebook, da gibt es einen solche Funktion.

Ansonsten kannst du gleich die Vorteile des Radius-Systems nutzen: Setze das Passwort des Schüler1 einfach zurück und schon fragt das Notebook wieder danach.
Falls der Schüler1 das gegen die Nutzungsrechte getan hat, kannst du ihn auch ganz aus der WLAN-Gruppe werfen. Meiner Erfahrung nach sprechen sich solche "Exempel" recht schnell rum.

Gruß,
Schorsch
Bitte warten ..
Mitglied: sesama
07.09.2009 um 17:36 Uhr
Hallo!

Danke für das Angebot und nächste Woche gehts dann rund;)

Viele Grüße und nochmals Danke für alles!
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerke
gelöst Software für Netzwerkplan gesucht (unter Windows Open Source) (5)

Frage von sabines zum Thema Netzwerke ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...