Sie sind auf Seite 1von 3

SIcherungsfeatures müssen auf Server erst installiert werden, wichtig-> samt befehlszeilen option

VSS Volume Shadowing Service

VSS Kopiesicherungen sollte man nur machen wenn man mit anderen Programmen Apps sichert

======================
70-640
Bridgeheadserver führt für einen STandort die replikation mit einem anderen standort aus
(bridgehead zu briedhead .. mitel kcc zum festlegen, oder manuell .. nachteil das beim manuellel
keine automatische replikation zu ersatz bhs fals bhs ausfällt

SCP service connection point ... damit client pcs mit rms kommunizieren können

lds funktioniert ähnlich wie snapshots

gesperte zertifikate werden über widerrufslisten gepeichert, diese müssen öffentlich aufrubar sein

oder per OCSP und CA, dabei fragt client CA ob OCSP ein gesperrtes zertifikat fr ihn hat

Fail over Cluster, auf selbers storage wird von mehreren server zugreifen
server lode, jeder server hat eignen storage, sind aber so verbunden da suser nur einen sieht
(nlb)<----OCSB

funktionen sind nicht parallel im selben cluster ausführbar

ISA regelt zugrif auf cluster, so kommen cluster nicht darauf das zugriffe aufgeteilt werden

MIT ISA KANN MAN FAIL OVER CLUSTER SYSTEME NOCH SICHERER MACHEN

ISA==> TMG Thread Managment Gate

Zertifikatesdiesnte sollten so eingestellt werrden das zertifikate automatisch zugeteilt werden

Sicherstell das sich benutzer nicht darum kümmern müssen ihre privaten schlssel zu sichern
CA (Zertifizierungstelle)
User schcikt zertifikationsanforderung an CA, die tut aber nichts wenn es noch keinen Privaten
schlüssel gibt und sendet daher ers einen privaten key der CA an den user der mit dem
öffentlichen antwortet wodurch der erstellte key im CA gespeichert wird dieser wird mit dem KRH
(Keyrecoveryagent) verschlüsseltn und in eine Datenbank gelegt

--------------------------

distinguished Name OU=AD Users,DC=mcitp03,DC=tst

=========================

Sachen die in die CAPolicy.inf eingetragen werden

wie bei X500 eine eigene(Firmeneigene) einzigartige ObjektID


oder bei IANA eine PEN(Private Enterprise Number), ist ebenso weltweit eindeutig (gilt als X509)
aus dieser GUID wird aus der OID vom AD erstellt.

IANA PEN
====

C:\Users\Administrator>certutil /installdefaulttemplates
CertUtil: -InstallDefaultTemplates-Befehl wurde erfolgreich ausgeführt.

installiert templates für certifizierungen+

msPKI-Cert-Template-OID
1.3.6.1.4.1.311.21.8.3659762.9031235.16007300.10745341.12437255.241.1.402

====================================
[Policy]
OID = 1.3.6.1.4.1.311Microsoft.21.8.5938746.11945838.7095998.8139300
GenerierteOID.16506521.30.1.509 ;durch tatsächliche OID ersetzen!!!!!
Notice = "MCITP-Kurs Zertifizierungsstellen werden für die Registrierung von X.509 Version3
Zertifikaten verwendet. Die Überprüfung aller Antragsteller wird entsprechend der MCITP-Kurs
Zertifikatsverwendungserklärung durchgeführt."
URL = "http://www.kurs.tst/PKI/CertificatePracticeStatement.htm"

[certsrv_server]
renewalkeylength=4096 Maximaleschlüssellänge beim STammzertifikat= 4096
RenewalValidityPeriodUnits=10
RenewalValidityPeriod=years
CRLPeriod = weeks Einheiten in denen die Basiswideruffslinie veröffentlich
CRLPeriodUnits = 6
CRLDeltaPeriod = weeks Einheiten in denen NUR die Änderung der Basiswiderrudslinien
veröffentlicht werden
CRLDeltaPeriodUnits = 1

Nur bei Unternehmszertifizierungsstellen sind Zertifikate verändert werden können

nachdem die Rolle für Zertifikate installiert wurde, alle zertifikationsvorlagen unter mcitp.ca
zertifikatsvorlagen löschen .. dann eigenschaften der ca aufrufen und in der übwerachung alle
hakerl setzen

Sperverteilungspunkt für zukunftige zertifikate einstellen

unter eigenschaften=>Erweiterungen
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl zu
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
wechseln und neu hinzufügen, da alte nicht geändert werden können

für neue Sperrliste die in userdefinierten ordner schreibt


C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
zu C:\PKI\Downloads\<CaName><DeltaCRLAllowed>.crl ändern und neu hinzufügen

Das selbe im zugriff stelleninformation


C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt
auf http://www.mcitp03.tst/PKI/Downloads<CaName>.crt ändern

dann auf GW 3 unter servermanager-> IIS -> die auf GW1 erstellte leere htm seite linken indem
man unter "Sites" Neue Webadresse hinzufügen auswählen und pfad hinzufügen
"Unter erweiterte einstellungen einen user der ausreichende rechte hat hinzufügen,
unter Downloads IIS -> Anforderungsfilterung-> featureeinstellungen bearbeiten --> Doppelte
Escapezeichen zlassen

Zertifikate Bereitstellen/Zertifikatvorlagen erstellen


standardvorlagen können nicht geändert werden, aber brauchbar für höhere windows server
versionen durch duplizieren diese dann in mcitp zertifikatsvoerlagen geben

wichtige befehle
in C:\Windows\System32

cscript slmgr.vbs -skms 172.30.1.106:1688


cscript slmgr.vbs -ato
cscript slmgr.vbs -dli