Security

Could not start the IPSEC Services

Unversehens kann man sich nicht mehr an einem Server einer Active Directory Domäne anmelden, nur die lokale Anmeldung funktioniert. Weder die Domäne noch andere Server sind anpingbar oder können auf andere Art angesprochen werden. Und das obwohl die Netzwerkkarte verbunden ist und normal zu funktionieren scheint. Ein Ping auf den Server selbst geht problemlos durch. Keine Firewall blockiert ein Paket. Doch im Ereignisprotokoll treten zwei Fehler auf: Event ID 7023 und Event ID 4292 (IPSec driver has entered Block mode). Beide beziehen sich auf IPSec. Beim Versuch den IPSEC-Dienst zu starten, tritt ebenfalls ein Fehler auf.

“Could not start the IPSEC Services service on Local Computer. Error 2: The system cannot find the file specified.”


 

(mehr …)

Von Mac, vor

Kostenlose SSL-Zertifikate von StartCom

Welcher Webmaster kennt das nicht? Für eine verschlüsselte Verbindung wird ein Zertifikat benötigt. Gerade im privaten Bereich möchte man die teuren Schlüssel (meist US$ 299,- aufwärts pro Jahr) nicht bezahlen. Wirklich kostenlose Zertifikate können nur durch eine eigene PKI oder mittels self-signed Certificates realisiert werden. Nachteil dieser Zertifikate ist, dass sie eine Warnung im Browser verursachen. Bei Firefox kommt erst gar keine Verbindung zustande kommt, wenn man nicht umständlich die Seite freischaltet. Das sorgt für Verwirrung und Frust. (mehr …)

Von Mac, vor

Gültigkeitsdauer Subordinate Certificate Authority

Um in einer Microsoft PKI (Public Key Infrastructure) die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, greift man auf das Tool certutil.exe zurück. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert. Die Gründe für eine Änderung können vielfältig sein und gründen auf der Philosophie und Sicherheitsanforderung der jeweiligen Firmen.

Sind besonders hohe Anforderungen gesetzt, kann man die Gültigkeitsdauer, standardmäßig bei 2 Jahre, herab-, bei geringeren Anforderungen, durch Nutzung neuerer Verschlüsselungsalgorithmen (bspw. SHA-2) oder Verwendung einer hohen Schlüssellänge (2048 Bit, 4096 Bit oder mehr) heraufsetzen. (mehr …)

Von Mac, vor

Windows Server: Access-based Enumeration (ABE)

Üblicherweise sehen Benutzer alle Ordnerfreigaben (Shares) eines Windows Servers, unabhängig davon ob sie Zugriffsberechtigungen haben oder nicht. Access-based Enumeration (ABE) ändert das grundlegend. Mit diesem Feature können Administratoren die Sichtbarkeit von Freigaben auf die Anwender eingrenzen, die auch tatsächlich darauf berechtigt sind. Alle anderen Freigaben oder Ordner werden ausgeblendet. Seit Windows 2008 R2 funktioniert das nun auch in DFS.

(mehr …)
Von Mac, vor