weed – Seite 15 – ugg.li Schnelle Hilfe für schnelle Admins

Windows CA: SAN (oder DN) fehlt in Zertifikaten aus dem Template „Webserver“

Veröffentlicht am März 20, 2024 von weed — Keine Kommentare ↓

Google unterstützt in Chrome seit Version 58 (von 2017!) Feld „Common Name“ in SSL/TLS-Zertifikaten nicht mehr. Gleiche gilt für Firefox seit Version 98 und mittlerweile auch alle anderen Browser.

Firefox und Chrome melden: SSL_ERROR_BAD_CERT_DOMAIN

Die Windows Zertifizierungsstelle (Windows CA) mit dem Template „Webserver“ füllt dieses Feld allerdings nicht automatisch. Daher muss man bei Zertifikatsanforderungen das Attribut manuell hinzufügen und die CA dafür konfiguriert haben.

Warum? Das CN-Feld wird verwendet, um den Domänennamen anzuzeigen, für den das Zertifikat gültig ist. Der reine CN als Identifikationsmerkmal wurde allerdings vor fast zwei Jahrzehnten per RFC abgeschafft, das Feld ist viel zu unflexibel (keine Wildcards, keine Multidomains …). Die heute genutzten Felder sind „DN=“ und „SAN=“ (DNS-Domain) – warum die noch immer nicht in Microsoft’s Standard-Templates enthalten sind ist ein Geheimnis.

Lösung

Man muss der CA zuerst beibringen, den „Subject Alternate Name“ (SAN) überhaupt nachträglich zur Anforderung hinzuzufügen. An einer Administrator-CMD-Shell geht das so:

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Ab dann kann (=muss) man den Anforderungen den SAN als „san:“ Attribute bei der Beantragung mitgeben.

Lösung (Web Zertifizierungsstelle)

Im Feld „Zusätzliche Attribute“ können einer oder mehrere SANs mit „&“ getrennt angegeben werden:

san:dns=SERVERNAME.EXAMPLE.COM&dns=SERVERNAME2.EXAMPLE.COM

Lösung (Kommandozeile)

An der Kommandozeile sollte im Auftrag (*.inf) das Attribut einfach bereits unter „[RequestAttributes]“ enthalten sein:

[RequestAttributes]
CertificateTemplate = Webserver
SAN="dns=SERVERNAME.EXAMPLE.COM"

Dann kann man das Zertifikat ganz normale Requeste werden:

certreq -submit -attrib "CertificateTemplate:Webserver" CSRDATEINAME.req ZERTIFIKATAUSGABEDATEI.cer

Überprüfung der Active Directory-Replikation und -Integrität mit „Repadmin“

Veröffentlicht am März 19, 2024 von weed — Keine Kommentare ↓

Repadmin ist das zentrale Diagnosetool für die Active Directory-Replikation. Das Tool ist auf allen Domänencontrollern vorinstalliert oder via Remote Server Administration Tools (RSAT) nachinstallierbar.

Das hier sind häufig genutzten Parameter, damit man die nicht immer wieder einzeln googlen muss. Es gibt auch einen ganzen KB-Abschnitt darüber, aber die wichtigen Parameter gibt es dort auch nicht auf einer Seite.

Die wichtigsten Parameter von repadmin

repadmin /replsummary Zusammenfassung der ein- und ausgehenden Verbindungen (auch fehlgeschlagene)
repadmin /showrepl Status zwischen Domänencontrollern, pro Namenskontext
repadmin /queue Listet die eingehende Replikationswarteschlange auf
repadmin /syncall DOMAINCONTROLLER dc=EXAMPLE,dc=COM Synchronisiert den angegebenen Domänencontroller sofort
repadmin /syncall /AdeP Änderungen nach außen an alle Domänencontroller weiterleiten
- A = Alle Partitionen
- e = Enterprise (Meint: Cross Site Replikation eingeschlossen)
- D = Server nach DN auflösen
- P = Push (-Replikation)
repadmin /replicate Zeigt die eingehende Replikationswarteschlange an

PowerShell Skripts als geplante Tasks in der Aufgabenplanung starten

Veröffentlicht am März 6, 2024 von weed — 1 Kommentar ↓

Es gibt ein Update zu diesem Artikel: https://www.ugg.li/powershell-scripts-starten-in-der-aufgabenplanung-nicht-ergebnis-0x1/

Powershell-Script lassen sich an der (Powershell-) Kommandozeile komfortabel starten, jedoch nicht ohne weiteres in geplanten Tasks.

Das geht schnell, einfach und Fehlertolerant so:
Feld Programm/Script:

%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe

Argumente:

-noninteractive -file "C:\PF AD\SCRIPT.ps1" -ExecutionPolicy Bypass

Mehr Details dazu hat das MSDN in diesem Artikel, aber im Prinzip ist es das schon.

HP Office Connect v1950 Switches „Advanced CLI“ password („xtd-cli-mode“)

Veröffentlicht am März 6, 2024 von weed — Keine Kommentare ↓

Für den supergeheimen „xtd-cli-mode“, den man braucht um einen OfficeConnect 1950 vernünftig am CLI (via SSH) zu verwalten, gibt es ein noch viel geheimeres Kennwort. Wir haben keine Ahnung warum.

Das Kennwort für xtd-cli-mode lautet:

foes-bent-pile-atom-ship

PowerShell: Liste alle Dienste auf allen Servern auf, die als Benutzer (oder Administrator) starten

Veröffentlicht am Februar 21, 2024 von weed — Keine Kommentare ↓

Bei einer Kennwortänderung in kleinen Domänen, also wenn das „Administrator“ Kennwort nach laaaanger Laufzeit geändert wird, müssen einige Dienste, die im Laufe der Zeit als solcher eingerichtet wurden, ebenfalls geändert werden. In den meisten Fällen ist im Laufe der Zeit auch die Anzahl der Server gewachsen.

Wie kommt der faule Administrator als nun an eine Liste der Server, wo die Anmeldedaten von Diensten angepasst werden müssen?

Lösung

Unter der Voraussetzung, dass PowerShell Remoting eingerichtet und funktionsfähig ist, hilft dieses kleine aber feine Script.

Zuerst wird eine Liste aller Server aus dem AD geholt und dann via WMIC eine gefilterte Liste der Dienste geholt, die nicht als „LocalSystem“ oder „NT Author%“ gestartet werden. Letzteres ist ein Trick, um sowohl „NT Authorität“ als auch „NT Authority“ auf Deutsch und Englisch zu erwischen.

Import-Module ActiveDirectory

$Servers = ( (Get-ADComputer -Filter 'operatingsystem -like "*server*" -and enabled -eq "true"').dnshostname )
$ServiceName =  @{ Name = 'ServiceName'; Expression = {$_.Name}}
$ServiceDisplayname = @{ Name = 'Service DisplayName';  Expression = {$_.Caption}}

foreach ($server in $servers) {
    Invoke-Command $server -ScriptBlock {
        Get-CimInstance -Class Win32_Service -filter "StartName != 'LocalSystem' AND NOT StartName LIKE 'NT Author%' " } | 
            Select-Object SystemName, $ServiceName, $ServiceDisplayname, StartMode, StartName, State | format-table -autosize
}