Archiv der Kategorie: Anleitungen

Anleitungen bzw. Beschreibungen zum beheben von Problemen oder zum Umsetzen von bestimmten Projekten.

Sub CA einer Unternehmens CA (offline) startet nicht

Wie es sich gehört betreibe ich in meinem privaten kleinen Netz auch eine CA Infrastruktur mit einer root CA, welche offline ist, und einer SubCA die für die Ausstellung meiner Zertifikate zuständig ist. Bei einem reboot (Patches) meiner SubCA ist mir nun aufgefallen, dass bei dieser der Zertifikatsdienst nicht mehr startet. Der Versuch dies von Hand zu erledigen wurde mit der Meldung: „The revocation function was unable to check revocation because the revocation server was offline“ quitiert.

Nach etwas stöbern in MS KB habe ich folgenden Artikel gefunden: http://support.microsoft.com/kb/825061 Die Lösung ist somit recht einfach. Man muß der CA einfach nur erlauben auch zu starten wenn Sie die CRL (Certificate Revocation List) nicht finden kann. Erledigen kann man dies mit folgendem Befehl (in einer CMD):

certutil.exe -setreg CA\LogLevel 2

Exchange 2007 & BlackBerry Enterprise Server

Heute habe ich auf ServerHowTo.de eine neue Anleitung veröffentlicht welche die Installation eines BlackBerry Enterprise Servers in einer Exchange 2007 Umgebung beschreibt. Finden können Sie die Anleitung unter:

http://www.ServerHowTo.de/(…)

Ergänzend zu dem Artikel noch einige Hinweise zum Thema Sicherheit.

Da der BlackBerry Server eine Verbindung ins Internet aufbaut um dort mit den Servern von RIM die Mails auszutauschen, gehört der BES bzw. besser der BlackBerry Router in eine DMZ die auf der einen Seite die Kommunikation mit den RIM Servern erlaubt und auf der anderen Seite die Verbindung zum Exchange Server ermöglicht.

Der Account (BESAdmin) unter dem i. d. R. der BlackBerry Enterprise Server installiert wird besitzt sehr weitgehende Rechte auf die Mailboxen der BlackBerry Benutzer. Es sollte daher sicher gestellt werden, dass der Account nur die nötigsten Rechte erhält. Das setzen des „senden als“ Recht für alle Benutzer sollte daher nur dann gewählt werden, wenn tatsächlich alle oder nahezu alle Benutzer in der Exchange Umgebung einen BlackBerry benutzen. Des Weiteren sollte das Passwort des BESAdmin in einem Notuserverfahren verwaltet werden um das unbemerkte mitlesen von fremden eMails durch Administratoren über diesen Account verhindern zu können.

Die BlackBerry Endgeräte bieten die Möglichkeit die gespeicherten Inhalte zu verschlüsseln. Diese Option sollte insbesondere dann aktiviert werden, wenn vertrauliche Informationen (was heute fast überall der Fall ist) über das Medium eMail ausgetauscht werden. Zusätzlich bietet der BlackBerry Enterprise Server die Möglichkeit ein gestohlenes oder verlorenes zu „putzen“ und zu deaktivieren. Gestohlene BlackBerry Endgeräte sind daher recht wertlos für einen Dieb.

Der BES verfügt über die Möglichkeit Richtlinien an die Clients zu verteilen. Die vorhandenen Einstellungen sollten entsprechend der Sicherheitsbedürfnisse des Unternehmens angepasst werden. Dinge wie das erzwingen von Anmeldepassworten sollten dabei obligatorisch sein und von den Anwendern auch nicht geändert werden können. Nach einem Update lohnt es sich i. d. R. immer einen Blick in die Richtlinien zu werfen – diese werden dabei regelmäßig erweitert.

Beim Patchen der Exchange und BES Server ist Vorsicht geboten. Nicht selten hört man, dass nach einem Patch des Exchange Servers die „senden als“ Rechte des BESAdmin verschwunden sind. Wenn Sie also nach einem Update von Ihren Benutzern hören, dass diese zwar Mails empfangen aber nicht senden können sollten Sie diese Berechtigungen zuerst prüfen. Des Weiteren ist der BES sehr empfindlich, was seine API zum Exchange Server angeht. Ein Update des Exchange Servers macht daher u. U. auch ein entsprechendes Update des BES notwendig!

SSTP VPN’s mit Windows 2008 Server

Mit Windwos 2008 Server wird Microsoft eine leider nicht standardisierte VPN Einwahl über SSL anbieten. Dies ermöglicht das Verbinden mit dem eigenen Netzwerk über nahezu jeden HotSpot, da nur die Kommunikation über Port 443 (SSL) benötigt wird. Weitere Informationen findet man im RAS Blog auf den Technet Seiten (englisch):

configuring-sstp-in-a-reverse-proxy-scenario
configuring-the-vpn-server-to-accept-sstp-connections
configuration-of-sstp-listener-and-verification
sstp-faq-part-3-server-specific

Anonymous SMTP Verbindung auf einen Exchange 2007

Hi,

beim einrichten meines neuen Exchange 2007 hatte ich gleich das Vergnügen mich etwas näher mit der PowerShell zu beschäftigen. Einige (für mich wichtige) Befehle sind nämlich nur noch auf diesem Weg erreichbar. Folgender Aufbau: Ich erhalte meine Mails direkt via SMTP (MX Eintrag in meiner Maildomäne). Sicherheitsbewusst wie ich bin werden die Mails von einem System in meiner DMZ (ja, ich habe privat eine zweistuffige Firewall) entgegen genommen und dann an meinen Exchange weiter gegeben. Das Problem war nun, den Exchange Server dazu zu bekommen die Mails auch anzunehmen. Alle Einstellungen auf dem HubTransport Server bzw. dessen Receive Connectoren brachte leider nichts – mails gingen nicht durch. Nach ca. 3 Stunden klicken und googeln fand ich dann folgenden Artikel auf den technet Seiten:

http://technet.microsoft.com/en-us/library/bb232021.aspx

Dieser, zusammen mit den anderen ergoogelten Informationen brachten dann folgende Lösung des Problems (alles cmdlets):
# Erstellt einen neuen receive connector mit dem Namen „Firewall SMTP Proxy“ auf dem Exchange Server „JSW006“ Die Firewall von der die Mails kommen hat die IP 10.10.0.1 und die Maildomain wäre hier schmidtjohannes.de

new-ReceiveConnector -Name 'Firewall SMTP Proxy' -Usage 'Custom' -Bindings '0.0.0.0:25' -Fqdn 'schmidtjohannes.de' -RemoteIPRanges '10.10.0.1' -Server 'JSW006'

# Setzt die PermissionGroups auf Anonymous

set-ReceiveConnector -identity “Firewall SMTP Proxy″ -PermissionGroups AnonymousUsers

# Ordnet dem Connector die Notwendigen Rechte zu

Get-ReceiveConnector "Firewall SMTP Proxy" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Die ersten beiden Aufgaben könnte man auch mit etwas klicken über die GUI erledigen. Den letzten kann man nur als cmdlet ausführen.

NTP einrichten auf einem DC

Die Clients und Memberserver in einem Windows Active Directory haben es gut, sie werden von ihrem PDC immer mit der auf ihm eingestellten Zeit versorgt (müssen Sie auch, sonst würde Kerberos nicht funktionieren). Die Domaincontroller bzw. um genau zu sein DC mit der FSMO PDC werden in großen Unternehmen durch spezielle Hardware (Funkuhren) mir der richtigen Zeit versorgt. In kleinen oder privaten Netzen geht das leider nicht. Um für solche DC’s Zeitgeber aus dem Internet zu verwenden muß man bis heute noch die Komandozeile bemühen:

w32tm /config /syncfromflags:manual /manualpeerlist:xxx.xxx.xxx.xxx
w32tm /config /update
w32tm /resync

Die Zeichen xxx.xxx.xxx.xxx müssen dabei durch eine IP Adresse eines erreichbaren NTP Servers ersetzt werden (die Befehle funktionieren nur unter Win2k3 Server).