pantsoff

Mahlzeit, danke für deinen Beitrag. Prinzipiell war mir das alles bereits bewusst, ich dachte lediglich dass die Verschlüsselung mit dem installierten Root Cert zusammenhängt. Natürlich hast du bzgl des Umgangs mit Webseiten insbesondere unaufmerksamen Benutzerverhalten Recht. Finde es nur irgendwie interessant, wieviel Mehrarbeit bei ActiveSync & Co. herauskommt, die NICHT mit der Verschlüsselung zusammenhängt, sondern lediglich für die "Sicherheit" des Clients getan werden muss. Irgendwo aber natürlich auch nachvollziehbar. Normalerweise steht bei mir der Schutz der Server im Vordergrund, womit das Beispiel umkehrbar ist: Wie kann ich erreichen, dass meine durch offene Ports angreifbaren Server vor unauthorisierten Zugriffen geschützt werden...Wobei wir wieder bei den Clientzertifikaten wären die vorausgesetzt sind, dass jemand mit dem Server sprechen darf.... Wundert mich etwas, dass niemand Erfahrungen teilen kann, bei denen Firmen die die folgende Anforderung stellen: DIe Serverports müssen für ActiveSync/Webserver offen sein, aber niemand Fremdes soll von extern einfach so auf meiner Firmen-OWA-Login-Seite (tolles Wort) kommen. Naja, meine Fragen sind aber beantwortet, danke an den Rest, hier können wir closen.

Soooo....nach afos Link und etlichem googlen hat es bei mir geklingelt . Leider durchschaute niemand mein eigentliches Verständnisproblem, macht aber nichts. @SilentDemise Jetzt erschließt sich mir dein Kommentar. @Rest Ich dachte die Verschlüsselung wird durch eine Kombination aus dem installierten Root CA Zert auf dem Client sowie aus Serverzertifikat erzeugt. Das das installierte Root CA Zert dafür nicht notwendig ist, war mir nicht bewusst. Insbesondere die seltener verwendeten Client Zertifikate ließen mich annehmen, eine Verschlüsselung entstehe desweiteren durch Client Zert. und dem für den den Server ausgestellten Zert. Hintergrund meiner Fragen ist im Übrigen die Zugriffskontrolle auf offene/genattete Https Ports: Wie handlet ihr das? Beschwert sich niemand bei den Administratoren, das jeder X-beliebige Surfer, womöglich sogar durch einen Tippfehler im Browser, auf irgendwelchen Firmen OWA Seiten landen kann, und damit das Frontend einer möglichen Attacke ausgeliefert ist. Implementiert Ihr bspw. Reverse Proxys? Was haltet ihr davon, solche Webseiten zusätzlich mit CLientzertifikaten abzusichern, dass jeder CLient ohne ein solches erst gar keinen Zugriff auf die Webseite bekommt?

Einfach nochmal von oben komplett lesen! @afo Der sieht aufschlussreich aus, für die Abarbeitung brauch ich aber eine Weile!

Sorry, da geh ich nicht mit dir konform. Nach meinen Informationen: Bei X.509 VPN wird zur Verschlüsselung ein Hauptschlüssel erzeugt, der sich aus den Informationen des Public Keys der Root CA und des privaten Schlüssels des privaten Zertifikats zusammensetzt.

Moin nochmal, okay fassen wir zusammen: Https ist immer verschlüsselt, egal ob entsprechende Zerts installiert sind oder nicht. Die Verschlüsselung mit SSL ist also unabhängig von den Zertifikate, Sie dienen nur der gegenseitigen Identifizierung. Drehen wir das Rädchen etwas weiter: Exchange->ActiveSync. Ein Iphone schert sich einen feuchten, ob es ein Root CA installiert hat oder nicht. Ein Windows Phone/Mobile dagegen muss das entsprechende Root CA Zert installiert haben, sonst ist eine Verbindung mit activesync nicht möglich. Die Verschlüsselung und Sicherheit der Datenkommunikation ist jedoch sowohl auf dem Iphone als auch auf dem Windows Endgerät vollkommen gleichwertig? Letzter Punkt: Gehen wir weg von Https/SSL und kommen zu X.509 Zerts hinsichtlich z. B. VPN. Hier erfolgt die Verschlüsselung zertifikatabhängig oder nicht?

Moin, wieso zeigt der Browser dann an, dass die Verbindung nicht verschlüsselt ist? Ich dachte erst wenn das root Zert auch installiert ist, vertratut der Client dem Server dahigehend, die Verbindung zu verschlüsseln...

Mahlzeit zusammen, wie im Titel beschrieben habe ich einige Fragen bzgl. der genannten Stichworte und insbesondere ihrer "Wechselwirkungen". Habe heute in einer Testumgebung einen Login/Authentifizierung im OWA (logischerweise https) ohne passendes/installiertes Root CA Zertifikat durchgeführt und das ganze "gewiresharked". Zuvor natürlich die Browser Warnung "Laden der Website fortsetzen" bestätigt (Browser sagt, Ihre Verbindung ist unverschlüsselt->da kein passendes Zertifikat). Im Wireshark konnte ich die Authentifizierungsdaten nicht im Klartext sehen! Daraufhin war ich jedoch verwundert, denn ohne passendes Zertifikat keine Verschlüsselung->Datenfluss im Klartext. Deshalb meine Frage: - Https verschlüsselt ja mit SSL, ist eine Verschlüsselung auch ohne Zertifikat von Haus aus vorhanden, da ich den Login nicht sniffen konnte? Ich dachte bisher, die Authentifizierung selbst verlaufe ohne Verschlüsselung, nach erfolgtem Login würde jedoch eine Encryption/Decryption stattfinden, ähnlich wie bei (je nach Konfiguration) bekannten VPN Protokollen (PPTP, L2TP). Vorab mal danke für eure Denkanstöße!

Da würde ich eher den Ansatz mit Aladdin Sticks (dongle) verschlüsseln, das geht auf Netzlaufwerke. Könnte etwas Herausforderungen im Terminalserverbetrieb verursachen...aber kriegt man mit Sicherheit auch in den Griff.

Vererbung aktiviert? Da gpresult /r die entsprechenden GPOs nicht als "verweigert" beschreibt, sondern diese als "nicht angewendet" definiert werden, liegt es wohl eher nicht an den Berechtigungen.

How Can I List the Network Printers For the Logged-On User? - Hey, Scripting Guy! Blog - Site Home - TechNet Blogs Den habe ich schonmal verlinkt, allerdings finde ich den Beitrag nicht mehr.

Wenn du den integrierten POPConnetor des SBS benutzt, kannst du das meiner Ansicht nach knicken. Der POPConnetor macht keine Zustellung auf eine SMTP Adresse, sondern nur in direkte Userpostfächer. Du brauchst ein anderes POPConnector Tool, um in einen öffentlichen Ordner zuzustellen.

Das ist erst der Request, diese Request Datei muss von deiner Zertifzierungsstelle nun "signiert" werden. Wenn du selbst ausgestellte Zerts möchtest, lass den Request von deiner internen Zertstelle signieren, das daraus folgende fertige Zertifikat daraufhin über die Powershell importieren (import-exchangecertificate) und die entsprechenden Services (IIs, POP etc.) zuweisen. Alles weitere -> MSXFAQ.DE - E2K7:Zertifikate

Exchange Konsole->Toolbox->Öffentliche Ordner Verwaltungskonsole->Öffentlichen Ordner anlegen->rechtsklick Email aktivieren->SMTP Adresse eingeben->Berechtigungen pflegen Oder Shell, allerdings hab ich den Befehl jetzt nicht im Kopf.

Moin, hey bevor du noch mehr kaputt machst oder den Server jetzt komplett auf 2 Tage zubor restorst, recreate erstmal deine OWA Directories! Re-create Exchange 2007 OWA Virtual Directories.. | Troubleshooting Exchange

Zu der 24/7 h Erreichbarkeit muss ich Crash zustimmen. Dein Problem ist leider, dass du es bisher ohne Murren gemacht hast. Jetzt ist die Situation schwieriger, da wieder rauszukommen. Ich habe bewusst eine SIM Karte mit allen Flats und neuem Geschäftshandy abgelehnt (volle Privatnutzung), um gar nicht erst in die Lage zu kommen, auf einmal immer erreichbar zu sein (alle Geschäfts-Mails zu bekommen). Betreibe das Handy mit eigener privater SIM .

Mahlzeit nochmal, das Problem ist einfach, dass die Vermutung nahe liegt, dass dir auch nach Studium Abschluss wohl verhältnismäßig wenig gezahlt werden wird (wenn man dein jetztiges Gehalt betrachtet). Deshalb wäre ich mit der dreijährigen Bindung danach vorsichtig. Trotzdem alles etwas undurchsichtig...warum sollten Sie dann so in dich investieren....

Moin, kennst du die Konditionen der dreijährigen Bindung nach Absolvierung des Studiums? Würde mir das nochmal überlegen. Für den Aufgabenbereich würde ich 2000€ aufwärts anstreben.

Moin, immer wieder schön, wieviel neue Threads man sich sparen kann, wenn man die SuFu bedient . Zu meiner Frage: Erreicht man den MCITP Status automatisch, wenn die entsprechenden MCTS Examen abgelegt wurden? Oder gibt es eine "abschließende MCITP" Prüfung? Konnte auf den MS Seiten dazu leider nichts genaues finden. Danke.

Das Tool heisst nk2view.

Den Baseline Analyzer mal vorher überhaupt ausgeführt? Sind sonst alle Kriterien für eine Migration erfüllt (außer, dass es sich beim Source Server um keinen SBS handelt )

In der ausgehenden Warteschlange sollte ein Fehler stehen, wenn die Mails nicht mehr raus gehen. Kannst du in der ausgehenden Queue den Versand erzwingen?

Richtig, diese werden in der nk2 Datei gespeichert, dort können auch "defekte" Einträge erkannt werden. Die nk2 Datei kann mit einem speziellen Tool geöffnet werden.

Ich nehme dich beim Wort . Inwiefern denkst du, es könnte Probleme machen, dass in der vorhandenen Domäne kein Exchange existiert?

Moin Eye-Q, in der Theorie unterstreiche ich alle deine Aussagen, es sollte von R2 auf SBS 2011 aus deinen genannten Gründen noch leichter sein. In meiner Umgebung ist kein Exchange vorhanden, habe sogar zwei vorhandene DCs, welche ich zunächst auf einen reduzieren muss. Kann es sein, dass eine weitere Grundvoraussetzung ist, dass die bestehende Domäne *.local heisst? Der SBS kann ja nur *.local Domänen.

Moin, in etwa deine Konstellation trifft mich auch bald, bin ebenfalls auf Erfahrungswerte angewiesen! Im Internet habe ich einen Blog gefunden, in dem eine 2003 Standard Domäne auf einen SBS 2008 migriert wurde. Leider nicht den Weg von 2008 R2 Domäne auf SBS 2011. Deinstalliere mal den Analyzer und starte das sbsanswer Tool neu und erstelle eine neue xml, die du dann erneut in deine SBS Migrationsinstallation einbindest. Funktioniert das?