Certificate Services - Serversoftware en clouddiensten

zondag 24 februari 2013 21:52

Acties:

Verwijderd

Topicstarter

Ik ben nu al met verschillende oefeningen bezig ook van Technet. Maar ik kom er niet uit,ik voel mij zo dom op dit moment,en totale frustratie hier achter de computer.

Ik begrijp het verhaal wel zo'n beetje,maar ik krijg het via de oefeningen niet voor elkaar dat het allemaal werkt. Echter heb ik dan geen idee hoe ik het op moet lossen.

Heeft iemand misschien een Nederlandstalige site met goede uitleg over Certificate Services? Met wellicht oefeningen?

Ps... zijn er meerdere die met dit gedeelte veel moeite hebben? Want de rest vond ik vrij makkelijk.

zondag 24 februari 2013 22:02

Acties:

akimosan

Bleech...

Certificate Services..
Ja, zelf had ik hier ook de meeste moeite mee en de meeste mensen die ik ken wel.

De theorie achter Certificaten, CA's Root CA's, Sub CA's is niet zo ingewikkeld, maar Microsoft MAAKT het ingewikkeld door allerlei ingewikkelde constructies met automatische certificaten uitdelen, verlenging, group policies, key recovery agents, etc.

Het is dus zure kost en je moet erdoorheen, zeker als je de MCITP/MCSA examens wilt doen. Want ik geef je op een briefje dat je er veel vragen over krijgt. Certificates, en andere beveiligings zaken als NAP, Encryptie, Health policies, etc.

Nederlandstalige informatie of sites zou ik zo 1,2,3 niet even weten. Bedenk dat de excamens in het engels zijn en zeker later in je werk zul je ook voornamelijk werken met Engelstalige documentatie en systemen.

CBT Nuggets/TrainSignal videos hebben mij wel geholpen om de stof makkelijker tot me te nemen. En het beste blijft het om aan de hand van die video's zelf een demo op te zetten in een virtual lab of zo, zeker waar het Certificate Services aangaat.

[ Voor 14% gewijzigd door akimosan op 24-02-2013 22:05 ]

zondag 24 februari 2013 22:07

Acties:

Verwijderd

Topicstarter

ok ga ik die CBT Nuggets eens bekijken.

Ik ben al een tijdje uit de IT ik wil het graag weer oppakken om mijn kans te vergroten op een baan. Maar pfff alles ging zo makkelijk tot die Certificate Services.... Net wat je zegt de theorie prima,maar vervolgens in een virtual lab het doen. Er is altijd wel iets wat niet doet waardoor ik zo druk ben met zoeken waarom het niet doet,dat ik de stof alweer vergeten ben.

Ben iig blij dat mijn computer nog staat,die moet het nog weleens ontgelden haha

zondag 24 februari 2013 22:10

Acties:

CMD-Snake

Certificates zijn een pain in the ass.

Maar staar je voor je examen niet blind erop. Je moet voor een MCITP SA vier examens doen, en daar zit meer in dan alleen certificates.

Ik zou geen NL teksten gebruiken. Je examen is in het Engels, en straks ontstaan er zo taal verwarringen. Dat kan je onnodig punten kosten.

zondag 24 februari 2013 22:14

Acties:

Verwijderd

Topicstarter

Snap ik wel,maar ik wil juist graag de stof begrijpen. Niet dat ik ergens bij een werkgever een keer kom,en ik het op papier zou moeten kunnen en het dus eigenlijk niet begrijp.

ps. plus dat de volgende opdrachten uit het boek verder borduren met deze Servers. Dus die kan ik niet maken. En die hoofdstukken gaan over Rights Management en Federation Services.

Ik vind het boek trouwens ook wel slecht. de hoofdstukken tot 15 gingen wel, ook wel foutjes erin,maar die kon ik wel fixen. Maar nu werken dingen gewoon niet,en ben je er zo druk mee dat het leren echt tegenzit.

dit is het boek: MCTS Self-Paced Training Kit (Exam 70-640): Configuring Windows Server® 2008 Active Directory

[ Voor 59% gewijzigd door Verwijderd op 24-02-2013 22:22 ]

zondag 24 februari 2013 22:23

Acties:

Turdie

Ik vind de test lab guides altijd wel goed om de stof te begrijpen:

Windows Server 2012
Test Lab Guide: Deploying an AD CS Two-Tier PKI Hierarchy

Windows Server 2008 R2
Step by Step Guide - Single Tier PKI Hierarchy Deployment:

Wel in het Engels, en als je geen Engels kan heb je geen carriereperspectief in de Microsoft wereld, omdat alle goede documentatie in het Engels is.

[ Voor 64% gewijzigd door Turdie op 24-02-2013 22:26 ]

zondag 24 februari 2013 22:28

Acties:

Verwijderd

Topicstarter

ik kan wel engels,alleen omdat ik dit gedeelte niet begrijp,wat ik dus nu al merk dat er meerdere mensen moeite mee hebben,dacht ik van als ik het in het NL lees,het misschien wat beter te begrijpen is.

zondag 24 februari 2013 22:31

Acties:

CH4OS

It's a kind of magic

Overigens: mocht je iets van MS in het Nederlands vinden, hou er dan rekening mee dat het dan veelal met Bing Translate is vertaald naar NL en de grammatica dus in veel gevallen, op zijn zachtst gezegd, brak is.
Waarschijnlijk ben je dan dus beter af met de originele Engelse artikels.

[ Voor 15% gewijzigd door CH4OS op 24-02-2013 22:31 ]

zondag 24 februari 2013 22:32

Acties:

Verwijderd

Topicstarter

Had ik idd al gezien. Maarruh... jullie begrijpen het AD CS gedeelte dus volledig? En heeft het jullie ook zoveel moeite gekost?

zondag 24 februari 2013 22:55

Acties:

CMD-Snake

Verwijderd schreef op zondag 24 februari 2013 @ 22:32:
Had ik idd al gezien. Maarruh... jullie begrijpen het AD CS gedeelte dus volledig? En heeft het jullie ook zoveel moeite gekost?

Het is een tijd terug dat ik het gelezen heb.

Overigens verzint MS wel meer lastige constructies. Neem nou OCS. De reverse proxies die je daarvoor nodig hebt zijn ook een leuke.

Maar wat ik al zei. Vreet je niet op hierover. Straks fixeer je zo hard hierop dat je de rest al lang niet meer meekrijgt. Ga gewoon verder met de rest en kijk dan weer eens naar het PKI hoofdstuk.

zondag 24 februari 2013 23:04

Acties:

Verwijderd

Topicstarter

ik wil ook verder maar volgens mij las ik dat het Rights Management Services gedeelte verder gaat met de servers uit chapter 15 AD CS en hierop verder gaat. Dus kan ik die "exercises" niet doen.

het boek is het MCITP Self training kit 70-640,wel raar trouwens want in de exercise wordt niet eens gesproken bijv over CRL. Daarom kan ik dus ook de AD CS niet starten,en krijg ik een revocation error. Waardoor ik dus niet verder kan. En dus ook niet met die volgende chapters.

zondag 24 februari 2013 23:51

Acties:

wagenveld

Dus, je service start niet. Staat je tijd/datum wel goed? Wat staat er in de eventvwr?
Welke stap werkt niet?
Simpel door de wizard een Enterprise PKI opzetten in een schone omgeving kan erg weinig fout gaan.

maandag 25 februari 2013 09:43

Acties:

Verwijderd

Topicstarter

De tijd is op de 3 servers in sync.
Inmiddels heb ik de virtuele servers verwijderd,omdat ik overnieuw wil beginnen vanaf 0.

Dit is de opdracht:
Before you begin:
Server01 = named SERVER01 and should be a domain controller in the contuse.com domain.
Server03 = named SERVER03 and should be a member server within the contoso.com domain.
Server04 = named SERVER04 and should be a member server within the contoso.com domain.

Exercise 1:

1.Log on server03 with the domain administrator account
2.launch server manager
3.right click roles...add roles
4.review before you begin and click next
5.on the select server roles page click AD Certificate Services and click next
6.on the introduction page click next
7.on the select role services page,select certification authority and click next
8.on the specify setup type page, select standalone and click next.
9.on the CA Type page,select Root CA and click next.
10.on the setup private key page, select create a new private key and click next
11.on the configure cryptography for CA page, select the suggested CSP.
12.click next
13.on the configure CA Name page, type Contoso-Root-CA, click next
14.on the set validity period page change the year value to 20 and click next
15.on the configure certificate data base page click next
16.review and click install

exercise 2:
1.log on to server04
2.launch server manager
3.right click roles node and select add roles
on the select server roles page,select AD Certificate Services and click next
4.on the introduction page click next
5.on the select role services page select Certificate authority and online responder click next
6.on the specify setup type page select enterprise
7.on the specify CA Type page select subordinate CA and click next
8.on the setup private key page select create a new private key and select next.
9.on the configure cryptography for CA page accept the defaults and click next.
10.on the configure CA Name page type Contoso-Issuing-CA01 click next
11.on the request certificatte from a parent CA page select save a certificate request to file and manually send it later to a parent CA
12.select certificate request name from the file name field and copy it to the clipboard,using ctrl+c and then click browse and navigate to your documents folder. Paste the name in the file name field using ctrl+v.click save and then click next.
13.on the configure certificate database page click next.
14.review the installation of IIS, and click next
15.on the web server roles page click next.
16.review information and click install

exercise 3:

1.on server04 launch windows explorer and navigate to c drive. Create a new folder and name it "temp".
2.right click the "temp folder" and select share.
3.in the file sharing dialog box ,select everyone and click add
4.in the permission level column assign contributor and click share.
5.copy the certificate request generated from your documents folder to the temp folder.
6.on server03,launch the certificate authority console from the adminstrative tools program group.
7.in the certification authority console right clock the root CA name in the tree pane, select all tasks ,and then choose submit new request.
8.in the open request file dialog box,move to the address bar and type \\server04\temp. when the folder opens ,select the request and then click open.
9.move to the pending request node in the tree pane,right click the pending request in the details pane to choose all tasks and then choose issue.
10.move to the issued certificates in the tree pane, right click the issued certificate in the details pane and choose open.
11.in the certificate dialog box ,choose the details tab and click copy the file at the bottom of the dialog box
12.click next.
13.select the cryptographic message syntax standard - PKCS#7, select include all certificates in the certification path if possible, and click next.
14.in the file to export dialog box ,click browse and save the certificate in the \\server04\temp folder. Name it issuing-CA01.p7b and click save.
15.click next when you return to the wizard.
16.review your settings and click finish
17.click ok when the wizard tells you that the export was successful.
18.return to server04
19.go to server mananger and select Contoso-Issuing-CA01 in the tree pane (Server Manager\Roles\Active Directory Certificate Services\contoso-issuing-ca01)
20.right click contoso-issuing-ca01,select all tasks,and the choose install CA Certificate
21.move to C:\temp folder, select the certificate and click open.
22.this imports the certificate and enables the server.
23.right click the server name,select all tasks and then choose start service.

Na punt 23,krijg ik dan deze error:
THE REVOCATION FUNCTION WAS UNABLE TO CHECK REVOCATION BECAUSE THE REVOCATION SERVER WAS OFFLINE. 0x80092013(-2146885613)

maandag 25 februari 2013 10:00

Acties:

Semt-x

Certificate Revocation List, is een lijst die vernoemd staat in certificaat zelf (open certificaat, details tab, "CRL Distribution Point") de URI die daar vermeld staat moet bereikbaar zijn. kan file:// http:// of ldap:// zijn)
Dat is blijkbaar bij jou niet het geval.

h2h
Sem

maandag 25 februari 2013 10:02

Acties:

Verwijderd

Topicstarter

Ok,maar daardoor kan ik dus de service niet starten. Maar zoals je kunt zien staan er in de "exercises" nergens beschreven hoe ik dat moet gaan doen. Vind ik dus wel vreemd van het boek.

Maar ik zal de servers eens opnieuw installeren,en kijken of ik het dan voor elkaar krijgen kan.

Poging 4

[ Voor 33% gewijzigd door Verwijderd op 25-02-2013 10:03 ]

maandag 25 februari 2013 10:46

Acties:

wagenveld

Dan heb je waarschijnlijk een DNS of permissions probleem. Zorg ten eerste dat je AD/DNS etc goed opgezet zijn!

maandag 25 februari 2013 19:22

Acties:

akimosan

Zie ook even:

http://technet.microsoft....ry/cc786344(v=ws.10).aspx
http://technet.microsoft....ry/cc776904(v=ws.10).aspx

Controleer aan de informatie daarin waar de CRL (Certificate Revocation List) is opgeslagen en controleer of deze locatie juist in AD staat en beschikbaar is.

Heb je de CRL opgeslagen op je "offline" RootCA en deze is daadwerkelijk offline, dan ga je al nat. SubCA's die je dan wilt starten kunnen dan niet de CRL controleren

maandag 25 februari 2013 20:25

Acties:

Oid

ik had ook geen ervaring met AD CS dus ben er helemaal in gedoken, getest, gedaan, weer opnieuw om te begrijpen wat het nou precies is en inhoudt binnen een eigen domein structuur. Uiteindelijk was het mijn hoogste score op het 70-640 examen.

gewoon blijven lezen en proberen. genoeg informatie te vinden, en een paar keer op je bek gaan is niet erg, anders zou iedereen wel dit examen kunnen halen zonder ervaring.

Succes!