Category Archives: PKI

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil IV

Posted on by
Hallo Leutz,
fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und TroubleshootingWeitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil III

Posted on by

Hallo Leutz,

fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.
Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und Troubleshooting

Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Forefront TMG SSL Hardening und Forward Secrecy aktivieren

Posted on by

Hallo Leutz,

das folgende Bilderbuch zeigt, wie man Forefront TMG einer SSL Haertung unterziehen kann (SSL 2.0 deaktivieren, TLS 1.1 und 1.2 aktivieren, Negotiation Order aendern, POODLE Hack deaktivieren) und wie Forward Secrecy aktiviert werden kann:
http://www.it-training-grote.de/download/SSL-Exchange-TMG.pdf
Achtung: Wenn Outlook 2011 fuer Mac auf Apple OS verwendet wird, muss der Key AllowInsecureRenegoClients auf Wert = 1 gesetzt werden

Gruss Marc

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil II

Posted on by

Hallo Leutz,

fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.
Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und Troubleshooting

Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Artikelserie fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Direct Access in Windows Server 2012 R2 Teil I

Posted on by

Hallo Leutz,

fuer die Ausgaben September/Oktober/November/Dezember 2014 der Print Ausgabe des IT Administrator schreibe ich eine Artikelserie zum Thema Direct Access in Windows Server 2012 R2.
Die Artikel:
September: Direct Access: Grundlagen, Anwendungsfaelle und Voraussetzungen
Oktober: Direct Access: Vorbereitung der Infrastruktur
November: Direct Access: Konfiguration von Server und Clients
Dezember: Direct Access: Rollout und Troubleshooting

Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Nokia Lumia 925 – Massive Akkuentladung nach Windows Phone 8.1 (RTM) Update

Posted on by

Hallo Leutz,

in den diversen Smartphone/ Mobile Phone / Nokia Foren berichten zahlreiche Anwender von einer massiven Akkuentladung innerhalb kuerzester Zeit und einer massiven Erhitzung von Nokia Smartphones (z. B. 920, 925, 930, 1020). Ich selbst bin ebenfalls seit einigen Wochen Opfer dieses Verhaltens (Lumia 925) und verzeichnete eine Akkuentladung zwischen 25-40% Prozent in der Stunde.

wp_ss_20140818_0001

Alle ueblichen Tricks wie die WLAN Einschraenkung, Mobilfunk auf 3G/2G aendern, Hintergrundprozesse reduzieren, Live Tiles einschraenken, Stromsparmodus aktivieren, Soft- und Hard Reset fuehrten alle zu keiner Besserung. Ein Update auf die Developer Preview GDR-1 fuehrte auch zu keiner Verbesserung.

Was mir verstaerkt auffiel war eine verzoegerte Reaktion meines E-mail Clients (Exchange Active Sync). Das Browsen in Ordnern oder das Versenden von E-Mails war stark verzoegert. Eine Neueinrichtung des Kontos und der Synchonisierung fuehrte zu keiner Verbesserung.

Vor einigen Tage habe ich dann im E-Mail Client die Option zur S/MIME-Signatur desaktiviert.

wp_ss_20140818_0002

Mit Erscheinen von Windows Phone 8.1 hatte ich das lang ersehnte Feature aktiviert, um wie bei dem normalen Outlook Client E-Mails eine S/MIME Signatur hinzuzufuegen. Nach der Desaktivierung der S/MIME Signatur hat sich die Akkunutzung meines Smartphone wieder normalisiert und schwankt seit einigen Tagen nur noch im normalen Rahmen. Als Gegentest habe ich dann die S/MIME Signatur gestern wieder aktiviert und kurze Zeit spaeter wieder einen massiven Akkuverbrauch festgestellt. Desaktivierung der S/MIME-Signatur fuehrt wieder schnell zu einem akzeptablen Akkuverbrauch.

Ob das Verhalten nur auf meinem Smartphone auftritt kann ich nicht sagen, in den Foren ist nie von der S/MIME Funktion die Rede. Aus eigener Erfahrung nutzen auch wenige Anwender eine S/MIME Signatur.

Sollte jemand diesen Blog Eintrag lesen und aehnliche Probleme haben, wuerde ich mich ueber einen Blog-Kommentar freuen.

UPDATE:

Seit dem 20.08.2014 ist das Update 8.10.14157.200 verfuegbar:

wp_ss_20140820_0001

Dem “Netz” konnte ich noch keine Infos entnehmen, ob der “Bug” evtl. beseitigt wurde.

Gruss Marc

Zertifikatsbasierte Hyper-V Replica ueber ein dediziertes Netzwerkinterface

Posted on by

Hallo Leutz,

Hyper-V Replica sieht standardmaessig nicht die Verwendung eines dedizierten Netzwerkinterface fuer Replica Traffic vor. Mit Hilfe der Modifikation der HOSTS Datei und entsprechenden Zertifikaten ist es jedoch moeglich, ein dediziertes Netzwerkinterface einzurichten. Fuer einen Kunden haben wir heute ein PoC erstellt, damit Replica Traffic in der einzurichtenden Produktivumgebung ueber ein dediziertes 10 GBit/s Interface laeuft.
Das folgende Bilderbuch zeigt die Einrichtung einer zertifikatbasierten Hyper-V Replica ueber ein dediziertes Netzwerkinterface:
http://www.it-training-grote.de/download/HV-Replica-Cert-DNIC.pdf

Weitere Informationen:
http://www.it-training-grote.de/blog/?p=5209
http://www.it-training-grote.de/blog/?p=5482

Gruss Marc

Forefront TMG – HTTPS Inspection und CNG Zertifikate

Posted on by

Hallo Leutz,

offiziell unterstuetzt Forefront TMG keine CNG Zertifikate:
http://technet.microsoft.com/de-de/library/ee796231.aspx#dfg9o9i8uuy6tre

Da im Rahmen des HeartBleed Bugs (http://de.wikipedia.org/wiki/Heartbleed), viele Webserver Betreiber ihren SSL-Zugang und  SSL-Zertifikate umgestellt haben und CNG Algorithmen wie SHA256 verwenden, hat die HTTPS Inspection in TMG immer haeufiger Probleme mit aktuellen Webserver-Zertifikaten.
Christian Schulenburg (http://www.blog-schulenburg.de) hat mir vor kurzem eine Anfrage zu dem Thema gestellt und ich habe geantwortet, dass TMG kein CNG unterstuetzt. Christian hat recherchiert und dabei folgendes gefunden:
http://social.technet.microsoft.com/forums/forefront/en-US/d9fe04ac-4bc7-4a33-8cb1-fc840a979c8c/httpsinspect-with-staat-der-nederlanden-root-ca-g2
In dem Thread wird auf  ein zu erstellendes PowerShell-Script verwiesen, was ein custom CNG Zertifikat erstellt und von TMG verwendet werden kann. Christian konnte dieses Zertifikat auch erfolgreich bei dem TMG Server seiner Firma verwenden, ich konnte noch keine Tests durchfuehren.

Gruss Marc

Austausch eines selbstsignierten Remote Desktop Connection Zertifikats in Windows Server 2012 R2

Posted on by

Hallo Leutz,

Windows Server 2012 R2 verwendet fuer die Remote Desktop Connection ein selbst signiertes Zertifikat.
Anders als bei Windows Server 2008 R2 gibt es die MMC TSCONFIG.MSC in Windows Server 2012 / R2 nicht mehr.
Wie also das Zertifikat auf einem Server austauschen, ohne ueber den Server Manager ein Remote Desktop Services Deployment durch zu fuehren?
Die Loesung heisst per WMIC oder Powershell das alte Zertifikat und den Thumbprint zu ermitteln, ein neues Zertifikat anzufordern, mit privaten Schluessel zu exportieren und anschliessend per WMIC wieder an die RDS-Dienste zu binden.

Wie das geht, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf

Gruss Marc

Implementierung Offline Root CA mit Issuing Online Enterprise Root CA und Windows Server 2012 R2

Posted on by

Hallo Leutz,

bei einem Kunden habe ich in den letzten Wochen und heute final die Online Enterprise Root CA dekommissioniert und eine zweistufige CA Hierarchie mit einer Offline Root CA und einer Online Enterprise Issuing CA auf Basis Windows Server 2012 R2 implementiert, um unter anderen der baldigen Abschaltung des Support fuer SHA1 seitens Microsoft nachzukommen: http://www.it-training-grote.de/blog/?p=6254

Die neue CA wurde mit CNG (SHA256 Hashalgorithmus) implementiert.
Durchgefuehrte Schritte:
Installation Offline Standalone Root CA
Installation Online Enterprise Issuing CA
Einrichtung der Schluesselarchivierung
Einbindung von Common PKI (Rollentrennung)
Ausstellen von neuen Zertifikaten fuer alle Server
Dekommissionierung der alten Online Enterprise CA

Dabei ist folgendes Bilderbuch entstanden: http://www.it-training-grote.de/download/OfflineRoot-EnterpriseOnline-CA.pdf

Gruss Marc