Aktivierung schlägt fehl

Hallo Forum,

ich habe heute an einem Problem gearbeitet welches ich nicht lösen konnte. Ich hoffe Ihr könnt mir weiter helfen.

Folgender Sachverhalt:

Wir haben in der Schule auf allen Windows-Rechnern MS-Visio und Projekt installiert. Die Software ist mit einem MAK-Key installiert. Das bedeutet, dass sie nach dem clonen aktiviert werden will. Da die Rechner einmal pro Woche geklont werden und die Software selten benutzt wird habe ich das in Kauf genommen.

Jetzt zum Problem:

Seit einiger Zeit funktioniert das Aktivieren nicht mehr. Angeblich gibt es ein Problem den Aktivierungsserver zu erreichen.

Ich habe - um auszuschließen, dass die Aktivierung generell nicht mehr funktioniert - einen Rechner direkt an eine Fritz-Box gehängt. Die Aktivierung funktionierte. Auch direkt hinter dem IPFIRE angeschlossen funktioniert die Aktivierung.

Mit IPFIRE kann ich machen was ich will

URL-Filter komplett aus
Regel von allen Netzen in alle Netze alle Protokolle erlaubt.

Die Aktivierung funktioniert nicht.

Hat wer eine Idee was die Ursache für dieses Verhalten sein könnte? Als ich die Software installierte funktionierte die Aktivierung.

Gruß

Alois

Hallo ALois,

Ich habe - um auszuschließen, dass die Aktivierung generell nicht mehr
funktioniert - einen Rechner direkt an eine Fritz-Box gehängt. Die
Aktivierung funktionierte. Auch direkt hinter dem IPFIRE angeschlossen
funktioniert die Aktivierung.

mach das mal bitte mit zwei Rechnern und nicht nur mit einem.
Vielleicht nimmt der Server pro Tag nur einen an…

LG

Holger

Hallo Holger,

ich bin etwas weiter bei der Fehlersuche. Der Client versucht folgende Seite aufzurufen

http://go.microsoft.com/fwlink/?LinkID=120750

Er kommt aber nicht weiter.

Zu Hause bei mir gehts dann weiter auf diese Seite:

https://activation.sls.microsoft.com/slrac/SLCertify.asmx?configextension=o14

Vorher musste ich eine Zertifikatswarnung abnicken. Ich denke, das ist das Problem. Die Seite wird aufgerufen und das Zertifikat wird aus irgend einem Grund nicht akzeptiert.

Deshalb geht es nicht weiter.

Gruß

Alois

Hallo Holger,

nein, das ist nicht der Fall. Wir haben alle betroffenen Rechner vorübergehend an den DSL-Anschluss gehängt und alle wurden aktiviert.

Die Frage ist, warum funktioniert der erste Link nicht.

Gruß

Alois

Hallo Holger,

hier steht eine Liste von Rechnern die man dem Proxy mitteilen soll, damit er keine Zertifikatsprüfung macht.

Wo finde ich die Stelle im Proxy? Die Whitelist ist offenbar nicht der richtige Ort.

Gruß

Alois

Hallo Alois,

hier steht eine Liste von Rechnern die man dem Proxy mitteilen soll,
damit er keine Zertifikatsprüfung macht.

wer: „er“?
Der Proxy?
Seit wann macht der Zertifikatsprüfungen?
Wieso sollte er das?

Ich nehme eher an, dass die für dieses „hin und her“ nichtstandardports
verwenden und du diese Ports rausfinden mußt und die in die https Ports
im Proxy eintragen mußt.
Der Proxy erlaubt nur auf den dort angegebenen Ports eine Ende zu Ende
Verbindungen.
Wenn er sich dazwischen schaltet, dann fragt er auch nach dem
Zertifikat: vor allem „das andere Ende“ fragt nach eben diesem: also
dein Cleint der sich aktiviren wil, und wenn der IPFire statt des MS
Servers der Partner ist, dann paßt das Zertifikat nicht.

Also: Port rausfinden und im IPFire auf der Proxyseite etwa in der Mitte
in den Kasten „https Ports“ (oder so) eintragen.

… und dann bei MS anfragen, weswegen sie das geändert haben …

LG

Holger

Hallo Holger,

ich habs mal mit wget probiert. Das ist die Rückmeldung:

wget http://go.microsoft.com/fwlink/?LinkID=120750
–2018-03-14 10:14:32-- http://go.microsoft.com/fwlink/?LinkID=120750
Auflösen des Hostnamen »go.microsoft.com (go.microsoft.com)«… 184.25.216.99, 2a02:26f0:122:393::2c1a, 2a02:26f0:122:384::2c1a
Verbindungsaufbau zu go.microsoft.com (go.microsoft.com)|184.25.216.99|:80… verbunden.
HTTP-Anforderung gesendet, warte auf Antwort… 302 Found
Platz: https://activation.sls.microsoft.com/slrac/SLCertify.asmx?configextension=o14 [folge]
–2018-03-14 10:14:32-- https://activation.sls.microsoft.com/slrac/SLCertify.asmx?configextension=o14
Auflösen des Hostnamen »activation.sls.microsoft.com (activation.sls.microsoft.com)«… 0.0.0.0
Verbindungsaufbau zu activation.sls.microsoft.com (activation.sls.microsoft.com)|0.0.0.0|:443… verbunden.
FEHLER: Kann das Zertifikat von »activation.sls.microsoft.com« nicht prüfen, ausgestellt von »»/C=DE/ST=HE/L=Darmstadt/O=Heinrich-Emanuel-Merck-Schule/OU=linuxmuster.net/CN=aserver.linuxmuster-net.lokal/emailAddress=administrator@linuxmuster-net.lokal««:.
Ein selbst-signiertes Zertifikat gefunden.
FEHLER: Der Common Name »»aserver.linuxmuster-net.lokal«« des Zertifikates entspricht nicht dem angeforderten Hostname »»activation.sls.microsoft.com««.
Verwenden Sie »–no-check-certificate«, um zu dem Server »activation.sls.microsoft.com« eine nicht gesicherte Verbindung aufzubauen.

Sieht so aus, als würde das Zertifikat des Servers unserer Schule geprüft. Das ist natürlich selbst signiert.

Ein dig activation.sls.microsoft.com bringt diese Info.

10:14/5 aserver ~ # dig activation.sls.microsoft.com

; <<>> DiG 9.8.1-P1 <<>> activation.sls.microsoft.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57499
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;activation.sls.microsoft.com. IN A

;; ANSWER SECTION:
activation.sls.microsoft.com. 3263 IN A 0.0.0.0

;; AUTHORITY SECTION:
microsoft.com. 16993 IN NS ns3.msft.net.
microsoft.com. 16993 IN NS ns4.msft.net.
microsoft.com. 16993 IN NS ns2.msft.net.
microsoft.com. 16993 IN NS ns1.msft.net.

;; ADDITIONAL SECTION:
ns2.msft.net. 79381 IN A 208.84.2.53
ns2.msft.net. 79381 IN AAAA 2620:0:32::53
ns4.msft.net. 79381 IN A 208.76.45.53
ns4.msft.net. 79381 IN AAAA 2620:0:37::53

;; Query time: 5 msec
;; SERVER: 10.16.1.1#53(10.16.1.1)
;; WHEN: Wed Mar 14 10:25:26 2018
;; MSG SIZE rcvd: 230

Woher kommt

“;; ANSWER SECTION:
activation.sls.microsoft.com. 3263 IN A 0.0.0.0”

Gruß

Alois

Hallo Alois,

… ich kann da nichts rauslesen.
Am Anfang steht noch Port 80, dann 443, was ja OK ist: ich weiß ncht,
welchen Port er am Ende nimmt.

Steht den 443 bei dir in den SSL Ports im Webproxy drin?
(siehe Bild)

LG

Holger

ssl-ports.png736×212 17.7 KB

Hallo Holger,

ja, das war schon von Anfang an so.

Gruß

Alois

Hallo Holger,

bei mir war das

installiert (hab ich selbst gemacht). In der Liste der zu blockenden Seiten stand auch die Microsoft-Seite drin. Jetzt wird Project und Visio wieder aktiviert.

Gruß

Alois