MarcelIT

Hat noch jemand eine Idee... das Problem besteht immer noch :(

Niemand sonst eine Idee?

Hi testperson, an die Citrix Richtlinien habe ich auch schon gedacht und habe deswegen vor einigen Wochen alle Bandbreiten Einstellungen deaktiviert - ohne Erfolg. :-( Gruß Marcel

Ok, danke Sunny61. Die Lösung gefällt mir nicht so richtig, wir wollen eigentlich bei Computer-Sicherheitsgruppen bleiben - natürlich haben wir auch gepflegte OUs - aber dann bleiben wir lieber bei einem Kix-Skript, damit sind "komplexerer" Kombinationen möglich. Gruß Marcel.

Hallo Kollegen, es ist ein ziemlich "komplexes" Problem - ich bin mir leider nicht sicher, wo genau der Fehler liegt, daher weiß ich nicht, ob ich in die richtige Foren-Kategorie poste - aber ich denke das passt schon in "Windows Forum - Allgemein". Client: Windows XP SP3 Citrix-Client: Citrix Receiver 4.1 Citrix-Server: Windows Server 2008 64-Bit mit XenApp 6.5 Office: 2013 64-Bit Es arbeiten ca. 40 User mit dieser Konfiguration, hin und wieder ist die Hardware (Client) eine andere, oder irgendeine Software (Client) ist zusätzlich installiert, aber prinzipiell ist es die gleiche Konfiguration. Bei einem User werden teilweise E-Mails, im Posteingang von Outlook 2013, doppelt dargestellt. Wenn man die Maus bewegt oder spätestens über diese E-Mails mit der Maus "hinüberfährt", ist die doppelte E-Mail weg - also wirklich nur ein Darstellungs-Problem. :confused: Wo ist das Problem? (meine Analyse) Alle anderen User arbeiten mit der gleichen Office Version - daran sollte es nicht liegen. Alle anderen User arbeiten auf dem gleichen Citrix-Server - daran sollte es nicht liegen. Teilweise unterschiedliche Citrix-Clients, aber schon durchgetestet - daran sollte es nicht liegen. Also wäre der "Client" die einzig sinnvolle Fehlerquelle, aber was kann so ein Problem verursachen? Grafikkarten-Treiber? Was meint ihr? Hat jemand einen Tipp? Gruß Marcel

Hi Sunny, kannst du das genauer erklären?

@tesso @Sunny61 Es geht doch nur "Computer in Gruppe" (nicht "Clientname in Gruppe"), wenn es sich aber um TS-Clients handelt, nimmt er dann nicht den TS-Clientnamen sondern den TS-Servernamen. Daher muss ich in der Zielgruppenadressierung über "Terminalsitzung - Clientname" gehen und da gehen keine Gruppen.... Gruß Marcel

Ja leider missverstanden, weil es nur eine handvoll User mit bestimmten TS-Clients betreffen würde - die anderen User/Clients in der OU sollen halt diese bestimmten Einträge nicht bekommen. Daher würde ich es gerne über die Zielgruppenadressierung machen und nicht über eine extra GPO. Wir haben 5 AD-Computer-Gruppen wo die User, die an diesen TS-Clients sitzen, bestimmte Einstellungen bekommen sollen - unterschiedliche. Teilweise ist ein TS-Client auch in zwei von diesen 5 Gruppen - also müsste ich im schlimmsten Fall 25 GPOs anlegen - unschön. Gruß Marcel

Hmm, ne eigentlich nicht - außer, dass die Clients halt alle in der AD-Gruppe sind.

Hallo Kollegen, wir möchten in unserem Terminalserver-Gruppenrichtlinienobjekt bestimmte Registry-Einträge, Dateien und Ordner, in der Benutzerkonfiguration, setzen/kopieren/anlegen - aber nicht für bestimmte User, sondern für User die sich mit bestimmten TS-Clients anmelden. Für einen bestimmten Client ist das auch kein Problem - siehe Screenshot (Zielgruppenadressierungseditor). Kann man da auch, irgendwie, eine Computer-Sicherheitsgruppe mit mehreren Clients hinterlegen? Viele Grüße, Marcel

Gibt es eine Variable (in GPP) mit der ich "arbeiten" kann - die mir den Pfad zum TSProfile anzeigt? Ich habe nämlich keine gefunden. In einem KIX-Script ist das kein Problem, da kann ich mir diesen Pfad aus REGEDIT rausziehen: $TSPROFILEPATH = ReadValue("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\@SID", "CentralProfile") Gruß Marcel

Hallo, danke an euch beide - richtig, es ist eigentlich auch kein Problem. @Jan - genau, ich habe in der GPO die Einstellung "Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen" gesetzt. -- Gibt es eine Variable (in GPP) mit der ich "arbeiten" kann - die mir den Pfad zum TSProfile anzeigt? Ich habe nämlich keine gefunden. In einem KIX-Script ist das kein Problem, da kann ich mir diesen Pfad aus REGEDIT rausziehen: $TSPROFILEPATH = ReadValue("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\@SID", "CentralProfile") Gruß Marcel

Gesundes neues Jahr, euch allen! Kennt von euch keiner den Grund?

Servus Gleichgesinnte, ich dreh hier noch durch - ich verstehe es nicht. Mir ist klar, dass ab Vista/Win7 bzw. Server 2008 die Profilverzeichnisse (Lokal/Terminalserver) nicht mehr nur USERNAME heißen, sondern USERNAME.V2 - aber nun werden die Terminalserverprofile aber als USERNAME.DOMAIN.V2 erzeugt. Ich verstehe aber nicht warum, im Terminalserverprofilverzeichnis gibt es noch keinen Profilordner mit dem USERNAMEn. Wenn es einen USERNAME.V2 geben würde, da irgendwas mit den Rechten nicht passen würde und er dann USERNAME.DOMAIN.V2 erzeugt, verstehe ich auch noch - aber so nicht ... Hat jemand eine Idee? Systeminfo Active-Directory: Windows Server 2012 R2 TS-Server: Windows Server 2008 R2 64-Bit mit XenApp 6.5 inkl. Hotfix Rollup Pack 3. In der GPO habe ich, für die OU, in der sich der TS-Server befindet, die Richtlinie "Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen" auf den jeweiligen Pfad, ohne %USERNAME%, gesetzt) Gruß Marcel

:shock: :suspect: ? Also WPAD über DHCP und, ich schätze mal, WPAD-Eintrag oder direkte Proxyeinstellungen in den Gruppenrichtlinien? Danke! --- Um es "richtig" zu machen, müssten wir nun eine Zone anlegen, dort den WPAD-Eintrag anlegen und die Abfragensperrliste wieder aktivieren? Richtig? Gruß Marcel

Guten Morgen Community, wir haben, am Wochenende, unsere Domänencontroller von 2003 R2 auf 2012 R2 angehoben - damit verbunden auch die DHCP- und DNS-Server. Es hat alles super funktioniert! :thumb1: Unsere Proxy-Konfiguration wird über "wpad.contoso.com/wpad.dat" verteilt. Die neuen (ab 2008, glaube ich) DNS-Server von MS haben eine "Global Query Block List" und blocken damit die Auflösung von dem Alias "wpad". Abhilfe schaffte der Befehl ... dnscmd /config /enableglobalqueryblocklist 0 ... auf beiden DNS-Servern. Meine Fragen an euch: Warum macht das Microsoft? Ich würde gerne den tieferen Grund kennen. Welche Aliases werden noch geblockt? Verteilt ihr die Proxy-Einstellungen auch über eine WPAD Eintrag im DHCP? Gruß Marcel

Ok, dann mache ich es so - wie lautet der PS-Befehl damit ich den Wizard starten kann? Hi, hat wie oben beschrieben über die Powershell mit ... New-ExchangeCertificate -GenerateRequest -SubjectName "cn=xxx.xxx.xxx, c=XX, o=XXXXXXXXXXX, l=XXXXXX, s=XXXXXX, ou=XXXXXXXXXXXX" -IncludeAcceptedDomains -privatekeyexportable $true ... super funktioniert. Danke!!

Guten Morgen, ich find es strange, aber mit dem neuen, neuen (kostenloser Zertifikatsaustausch durch PSW) Zertifikat geht es jetzt - der private Schlüssel ist vorhanden. :cool: Mit welchen Optionen ich die neue, neue CSR (Certificate Signing Request) erstellt habe, möchte ich euch der Vollständigkeit halber nicht vorenthalten. "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen" Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10" "Eigenschaften" im Reiter "Allgemein" den FQDN als Anzeigename im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen im Reiter "Erweiterungen" habe ich bei "Schlüsselverwendung" "Datenverschlüsselung" und "Digitale Signatur" gewählt sowie bei "Erweiterte Schlüsselverwaltung" "Serverauthentifizierung" und "Clientauthentifizierung" im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Signatur" (nicht wie vorher "Austausch/Exchange") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exportierbar machen" OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt in der MMC unter "Zertifikatregistrierungsanfroderungen" die neu erstelle Anforderung inkl. privaten Schlüssel auf den Desktop, als Backup, exportiert CSR bei Thawte SSL123 eingereicht Zertifikat bekommen + eingespielt MS Forefront TMG > Toolbox > Weblistener > Zertifikat > … @NorbertFe Vielen Dank für deine Unterstützung! :jau: UPDATE: Jetzt steht im TMG beim Weblistener wo ich das Zertifikat auswählen will, falscher Schlüsseltyp. -.- Wäre bei "Schlüsseltyp" doch "Austausch" richtig? Gruß Marcel

Na dann, rufe ich mal bei PSW an. :p

Ja, der Request ist unter "Zertifikatregistrierungsanfroderungen" inkl. "privaten Schlüssel". Beim "alten" Zertifikat ist der "private Schlüssel" da, beim "Neuen" nicht. Warum nur? Gruß Marcel

"MMC" > "Zertifikate" > "lokaler Computer" > "Eigene Zertifikate" > "Zertifikate" > "Rechtsklick" > "Alle Aufgaben" > "Importieren" Wo genau? Screenshot?

Wo sehe ich den? Es fehlt beim neuen Zertifikat das "Schlüssel-Symbol". (TMG-Server) Ja auf dem TMG-Server. Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist. Hätte ich den CSR auf dem Exchange machen müssen? Wh0t? :p

"Houston, we have a problem." Mahlzeit ihr Gleichgesinnten, ich habe ein Problem. Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen. Ende Oktober läuft nun das SSL Zertifikat für die Domain aus - dieses will ich nun verlängern. Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel". Okay, erstmal zum Anfang. Vorgehensweise und Einstellungen es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen" Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10" "Eigenschaften" im Reiter "Allgemein" den gleichen Anzeigename wie das bestehende Zertifikat im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen im Reiter "Erweiterungen" habe ich "Datenverschlüsselung" und "Digitale Signatur" gewählt im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Austausch" [englisch "Exchange"] (nicht "Signatur") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exprtierbar machen" OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt CSR bei Thawte SSL123 eingereicht Zertifikat bekommen + eingespielt MS Forefront TMG > Toolbox > Weblistener > Zertifikat > … Fehler "Der private Schlüssel ist nicht installiert" mögliche Ursachen(?) Liegt der Fehler bei meiner Einstellungen unter "privater Schlüssel" > "Schlüsseltyp" > "Austausch" (nicht "Signatur")? Habe ich deswegen keinen privaten Schlüssel? Habe ich keinen "privaten Schlüssel" weil, dass alte Zertifikat ("privater Schlüssel" vorhanden) den gleichen Namen hat und deswegen kein neuer "privater Schlüssel" generiert wurde? (Bug?) Kann mir jemand helfen und sagen wo der Fehler ist bzw. wo ich den dazugehörigen "privaten Schlüssel" finde? Cheers Marcel