Alle Einträge von der "Sicherheit" Kategorie
Zugriff auf RDS-Server mit Clients ohne Domänenmitgliedschaft nicht möglich
Ich hatte bei einem Kunden das Problem, das ein Client in einem Branch-Office (Außenstelle im Ausland) über eine VPN-Verbindung keine Verbindung mit dem “Remote Desktop Services” (RDS) –Server in der Zentrale aufbauen konnte. Der Client hat Windows 7 als Betriebssystem und ist nicht Mitglied der Domäne in der Zentrale. Mit einem Windows XP funktionierte die Verbindung ohne Probleme, wenn man über Windows 7 eine Verbindung versuchte, erschien die folgende Fehlermeldung:
Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden.
Der Verbindungsaufbau wird dann abgebrochen, eine Verbindung ist nicht möglich. Ich habe dann überprüft ob der Sperrlistenverteilungspunkt der PKI (per HTTP) erreichbar ist, dies war der Fall, ich konnte sowohl die Sperrliste als auch die Delta-Sperrliste herunterladen.
Howto: Einrichtung von DirectAccess
Microsoft hat ein, zumindest für Benutzer, super Feature in Windows 7 eingebaut: DirectAccess. Etwas das, speziell für jeden der viel von unterwegs arbeitet, sehr interessant ist. Die passende Werbeaussage hierzu “Sie sitzen im Flughafen und öffnen Ihr Notebook und sind schon drin” ist natürlich sehr verführerisch. Wo drin? Im Firmennetzwerk und das ohne Benutzeraktion, kein VPN aufbauen, kein Proxy ändern, garnichts. Interessant? Fanden wir auch. Vorweg es gibt zwei Wege wie man DirctAccess implementieren kann:
1. Der einfache Weg (mit UAG und hohen Kosten)
2. Der steinige Weg (mit Windows 2008 R2 Bordmitteln und überschaubaren Kosten)
Wir wählten aus zwei Gründen Variante 2:
Erstens schließt sich im SMB Umfeld „der einfache Weg“ aus Kostengründen aus (das UAG kostet alleine schon über 6000 €) und zweites ist das ein Projekt für die ITHer0s. Also machte sich Jan Kappen daran einen Weg zu erarbeiten, wie man DirectAccess in einer relativ “normalen” IT Umgebung (nämlich unserer) ans Laufen bringen kann.
Das daraus schließlich mehr als 1 Mannwoche werden sollte hatte im Vorfeld keiner gedacht. Trotzdem hat sich das Ergebnis gelohnt. Wir können nun unterwegs unsere Notebooks aufklappen und losarbeiten. Etwas das man, wenn man es erst mal benutzt hat, nicht mehr missen möchte. Aber lesen Sie selbst die Anleitung von Jan, in der er aufzeigt, wie man DirectAccess in einer normalen Umgebung ohne UAG implementiert.
Ändern einer Zertifikats-Vorlage einer Windows Server 2008 R2 PKI
Manchmal kommt es vor, das sich bei einer Zertifikatsvorlage ein Fehler eingeschlichen hat, oder das sich Anforderungen an eine Vorlage ändern, und deswegen das Zertifikat angepasst werden muss. Da eine Anpassung bzw. Änderung sich nicht auf bereits ausgestellt Zertifikate auswirkt und ein manuelles Entfernen der bereits ausgestellten Zertifikate keine vernünftige Lösung ist, beschreiben wir in diesem Artikel, wie man eine Zertifikats-Vorlage ändert.
VPN-Verbindung mit Windows Vista nicht möglich – Fehler 800
Wir haben für einen Kunden mit Hilfe eines Windows Server 2008 R2 die Möglichkeit geschaffen, das er sich per VPN mit der Firma verbindet und von extern mit der Firmen-Infrastruktur arbeiten kann.
Mit mehreren Windows 7-Clients funktionierte die Einwahl, dann haben wir ein Notebook mit Windows Vista bekommen, dort funktionierte die Verbindung allerdings nicht. Es erschien die Fehlermeldung:
Fehler 800: Die VPN- Verbindung kann nicht hergestellt werden. Der VPN-Server ist eventuell nicht erreichbar oder doe Sicherheitsparameter sind für diese Verbindung nicht korrekt konfiguriert
Wir haben das ganze dann mit einem Windows XP getestet, dort funktionierte die Einwahl ebenfalls Fehlerfrei. Nach einer kurzen Recherche hier mein Lösungsweg:
Microsoft Patchday Dezember 2009
Es war mal wieder soweit, der zweite Dienstag im Monat war gestern. Aus diesem Grund wurden diverse Updates von Microsoft bereitgestellt, Windows 7 war dieses Mal auch dabei.
Weitere Infos zu den Updates, den Schwachstellen und Lücken gibt es auf den folgenden Seiten:
Microsoft Patchday November 2009
Gestern war es mal wieder soweit, es war der zweite Dienstag im Monat und somit Patchday bei Microsoft. Betroffen war diesmal besonders Office. Weitere Informationen zu den gestopften Sicherheitslücken gibt es direkt bei Microsoft.
Wie immer wird allen Anwendern empfohlen die aktuellen Patche zeitnah einzuspielen. Ich habe meinen Job bereits heute morgen gemacht ;)
