MarcelIT

Hat noch jemand eine Idee... das Problem besteht immer noch  :(

Niemand sonst eine Idee?

Hi testperson,

an die Citrix Richtlinien habe ich auch schon gedacht und habe deswegen vor einigen Wochen alle Bandbreiten Einstellungen deaktiviert - ohne Erfolg. :-(

Gruß Marcel

Ok, danke Sunny61.

Die Lösung gefällt mir nicht so richtig, wir wollen eigentlich bei Computer-Sicherheitsgruppen bleiben - natürlich haben wir auch gepflegte OUs - aber dann bleiben wir lieber bei einem Kix-Skript, damit sind "komplexerer" Kombinationen möglich.

Gruß Marcel.

Hallo Kollegen,

es ist ein ziemlich "komplexes" Problem - ich bin mir leider nicht sicher, wo genau der Fehler liegt, daher weiß ich nicht, ob ich in die richtige Foren-Kategorie poste - aber ich denke das passt schon in "Windows Forum - Allgemein".

Client: Windows XP SP3

Citrix-Client: Citrix Receiver 4.1

Citrix-Server: Windows Server 2008 64-Bit mit XenApp 6.5

Office: 2013 64-Bit

Es arbeiten ca. 40 User mit dieser Konfiguration, hin und wieder ist die Hardware (Client) eine andere, oder irgendeine Software (Client) ist zusätzlich installiert, aber prinzipiell ist es die gleiche Konfiguration.

Bei einem User werden teilweise E-Mails, im Posteingang von Outlook 2013, doppelt dargestellt. Wenn man die Maus bewegt oder spätestens über diese E-Mails mit der Maus "hinüberfährt", ist die doppelte E-Mail weg - also wirklich nur ein Darstellungs-Problem.  :confused:

Wo ist das Problem? (meine Analyse)

Alle anderen User arbeiten mit der gleichen Office Version - daran sollte es nicht liegen.

Alle anderen User arbeiten auf dem gleichen Citrix-Server - daran sollte es nicht liegen.

Teilweise unterschiedliche Citrix-Clients, aber schon durchgetestet - daran sollte es nicht liegen.

Also wäre der "Client" die einzig sinnvolle Fehlerquelle, aber was kann so ein Problem verursachen? Grafikkarten-Treiber?

Was meint ihr? Hat jemand einen Tipp?

Gruß Marcel

Hi Sunny, kannst du das genauer erklären?

@tesso @Sunny61

Es geht doch nur "Computer in Gruppe" (nicht "Clientname in Gruppe"), wenn es sich aber um TS-Clients handelt, nimmt er dann nicht den TS-Clientnamen sondern den TS-Servernamen. Daher muss ich in der Zielgruppenadressierung über "Terminalsitzung - Clientname" gehen und da gehen keine Gruppen....

Gruß Marcel

Klingt nach einer Aufgabe für Loopbackverarbeitung. Oder habe ich die Aufgbae missverstanden?

Ja leider missverstanden, weil es nur eine handvoll User mit bestimmten TS-Clients betreffen würde - die anderen User/Clients in der OU sollen halt diese bestimmten Einträge nicht bekommen. Daher würde ich es gerne über die Zielgruppenadressierung machen und nicht über eine extra GPO.

Wir haben 5 AD-Computer-Gruppen wo die User, die an diesen TS-Clients sitzen, bestimmte Einstellungen bekommen sollen - unterschiedliche. Teilweise ist ein TS-Client auch in zwei von diesen 5 Gruppen - also müsste ich im schlimmsten Fall 25 GPOs anlegen - unschön.

Gruß Marcel

Hmm, ne eigentlich nicht - außer, dass die Clients halt alle in der AD-Gruppe sind.

Hallo Kollegen,

wir möchten in unserem Terminalserver-Gruppenrichtlinienobjekt bestimmte Registry-Einträge, Dateien und Ordner, in der Benutzerkonfiguration, setzen/kopieren/anlegen - aber nicht für bestimmte User, sondern für User die sich mit bestimmten TS-Clients anmelden.

Für einen bestimmten Client ist das auch kein Problem - siehe Screenshot (Zielgruppenadressierungseditor).

Kann man da auch, irgendwie, eine Computer-Sicherheitsgruppe mit mehreren Clients hinterlegen?

Viele Grüße,

Marcel

Gibt es eine Variable (in GPP) mit der ich "arbeiten" kann - die mir den Pfad zum TSProfile anzeigt? Ich habe nämlich keine gefunden.

In einem KIX-Script ist das kein Problem, da kann ich mir diesen Pfad aus REGEDIT rausziehen:

$TSPROFILEPATH = ReadValue("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\@SID", "CentralProfile")

Gruß Marcel

Das kommt vor wenn Windows der Meinung ist das Benutzerprofil gibt/gab es schon mal bzw. wenn es ein gleiches lokales Konto gibt. Das geht dann mit Nummerierung hinten weiter, also .001, .002 etc. Kann dir nicht sagen warum das in deiner Umgebung vorkommt. Man sollte in GPO, falls irgendwie möglich, immer mit Variablen arbeiten und nicht mit festen Pfaden.

Hi,

 

mir ist es bisher nur aufgefallen, sobald du die RDS Profile mit der GPO definierst. Wenn du die im AD Objekt hinterlegst passiert das nicht. Da es in der Regel aber eigentlich nicht stört, sollte es egal sein.

 

Gruß

Jan 

Hallo, danke an euch beide - richtig, es ist eigentlich auch kein Problem. 

@Jan - genau, ich habe in der GPO die Einstellung "Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen" gesetzt.

--

Gibt es eine Variable (in GPP) mit der ich "arbeiten" kann - die mir den Pfad zum TSProfile anzeigt? Ich habe nämlich keine gefunden.

In einem KIX-Script ist das kein Problem, da kann ich mir diesen Pfad aus REGEDIT rausziehen:

$TSPROFILEPATH = ReadValue("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\ProfileList\@SID", "CentralProfile")

Gruß Marcel

Gesundes neues Jahr, euch allen!

Kennt von euch keiner den Grund?

Servus Gleichgesinnte,
ich dreh hier noch durch - ich verstehe es nicht.

Mir ist klar, dass ab Vista/Win7 bzw. Server 2008 die Profilverzeichnisse (Lokal/Terminalserver) nicht mehr nur USERNAME heißen, sondern USERNAME.V2 - aber nun werden die Terminalserverprofile aber als USERNAME.DOMAIN.V2 erzeugt.

Ich verstehe aber nicht warum, im Terminalserverprofilverzeichnis gibt es noch keinen Profilordner mit dem USERNAMEn. Wenn es einen USERNAME.V2 geben würde, da irgendwas mit den Rechten nicht passen würde und er dann USERNAME.DOMAIN.V2 erzeugt, verstehe ich auch noch - aber so nicht ...

Hat jemand eine Idee?

Systeminfo
Active-Directory: Windows Server 2012 R2 
TS-Server: Windows Server 2008 R2 64-Bit mit XenApp 6.5 inkl. Hotfix Rollup Pack 3.

In der GPO habe ich, für die OU, in der sich der TS-Server befindet, die Richtlinie "Pfad für servergespeichertes Remotedesktopdienste-Benutzerprofil festlegen" auf den jeweiligen Pfad, ohne %USERNAME%, gesetzt)

Gruß Marcel

Sowohl als auch, weil nicht alle Browser mit beiden Varianten klarkommen.

:shock:  :suspect: ? Also WPAD über DHCP und, ich schätze mal, WPAD-Eintrag oder direkte Proxyeinstellungen in den Gruppenrichtlinien?

Da du den Befehl gefunden hast, wundert es mich, dass du die anderen Infos nicht gelesen hast:

http://technet.microsoft.com/de-de/library/cc794902(v=ws.10).aspx

Danke!

---

Um es "richtig" zu machen, müssten wir nun eine Zone anlegen, dort den WPAD-Eintrag anlegen und die Abfragensperrliste wieder aktivieren? Richtig?

Gruß Marcel

Guten Morgen Community,

wir haben, am Wochenende, unsere Domänencontroller von 2003 R2 auf 2012 R2 angehoben - damit verbunden auch die DHCP- und DNS-Server. Es hat alles super funktioniert!  :thumb1:

Unsere Proxy-Konfiguration wird über "wpad.contoso.com/wpad.dat" verteilt.

Die neuen (ab 2008, glaube ich) DNS-Server von MS haben eine "Global Query Block List" und blocken damit die Auflösung von dem Alias "wpad". Abhilfe schaffte der Befehl ...

dnscmd /config /enableglobalqueryblocklist 0 

... auf beiden DNS-Servern.

Meine Fragen an euch:

Warum macht das Microsoft? Ich würde gerne den tieferen Grund kennen.

Welche Aliases werden noch geblockt?

Verteilt ihr die Proxy-Einstellungen auch über eine WPAD Eintrag im DHCP?

Gruß Marcel

Was war jetzt an meinem powershellbefehl so umständlich, dass du dir den krampf mit der Konsole antust?

Ok, dann mache ich es so - wie lautet der PS-Befehl damit ich den Wizard starten kann?

1. Zertifikatsrequest per Powershell auf dem Exchange erstellen (digicert bietet dir sogar nen schönen Wizard, der dir den Powershellbefehl zusammenbaut)

2. Zertifikatsrequest einreichen und warten.

3. Zertifikat welches man erhält auf dem Exchange installieren mittels der Exchange Managementkonsole (ausstehende Zertifikatsanforderung abschließen)

4. Zertifikat mit privatem Schlüssel exportieren

5. Zertifikat auf TMG importieren (privater Schlüssel als exportierbar markieren nicht anhaken).

6. Zertifikat im Weblistener konfigurieren

7. Fertig.

Hi, hat wie oben beschrieben über die Powershell mit ...

New-ExchangeCertificate -GenerateRequest -SubjectName "cn=xxx.xxx.xxx, c=XX, o=XXXXXXXXXXX, l=XXXXXX, s=XXXXXX, ou=XXXXXXXXXXXX" -IncludeAcceptedDomains -privatekeyexportable $true

... super funktioniert. Danke!!

Guten Morgen, ich find es strange, aber mit dem neuen, neuen (kostenloser Zertifikatsaustausch durch PSW) Zertifikat geht es jetzt - der private Schlüssel ist vorhanden.  :cool:

Mit welchen Optionen ich die neue, neue CSR (Certificate Signing Request) erstellt habe, möchte ich euch der Vollständigkeit halber nicht vorenthalten.

• "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen"
• Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10"
• "Eigenschaften"
• im Reiter "Allgemein" den FQDN als Anzeigename
• im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen
• im Reiter "Erweiterungen" habe ich bei "Schlüsselverwendung" "Datenverschlüsselung" und "Digitale Signatur" gewählt sowie bei "Erweiterte Schlüsselverwaltung" "Serverauthentifizierung" und "Clientauthentifizierung"
• im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Signatur" (nicht wie vorher "Austausch/Exchange") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exportierbar machen"
• OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt
• in der MMC unter "Zertifikatregistrierungsanfroderungen" die neu erstelle Anforderung inkl. privaten Schlüssel auf den Desktop, als Backup, exportiert
• CSR bei Thawte SSL123 eingereicht
• Zertifikat bekommen + eingespielt
• MS Forefront TMG > Toolbox > Weblistener > Zertifikat > …

@NorbertFe

Vielen Dank für deine Unterstützung!  :jau:

UPDATE: Jetzt steht im TMG beim Weblistener wo ich das Zertifikat auswählen will, falscher Schlüsseltyp. -.-

Wäre bei "Schlüsseltyp" doch "Austausch" richtig?

Gruß Marcel

Kann ich dir nicht sagen. ;) Frag doch mal beim Support der Ausstellungsstelle nach. Ist das direkt über Thawte oder über einen Reseller wie psw? Falls letzteres, klingel die kurz an, das funktioniert bei denen problemlos.

 

Bye

Norbert

Na dann, rufe ich mal bei PSW an.  :p

Da müßte ja eigentlich auch der Request noch rumgedümpelt sein, oder?

Ja, der Request ist unter "Zertifikatregistrierungsanfroderungen" inkl. "privaten Schlüssel".

Doppel-Klick aufs Zertifikat. Schau dir die Unterschiede zu deinem bisherigen an. Steht gleich auf der ersten Seite "Sie besitzen den privaten Schlüssel"

Beim "alten" Zertifikat ist der "private Schlüssel" da, beim "Neuen" nicht.

Warum nur?

Gruß Marcel

Wie hast du das Zertifikat denn im TMG eingespielt?

"MMC" > "Zertifikate" > "lokaler Computer" > "Eigene Zertifikate" > "Zertifikate" > "Rechtsklick" > "Alle Aufgaben" > "Importieren"

In der Zertifikats-MMC.

Wo genau? Screenshot?

PS: Wird dir denn in deiner Zertifikats-MMC auch kein privater Schlüssel angezeigt?

Wo sehe ich den?

Es fehlt beim neuen Zertifikat das "Schlüssel-Symbol". (TMG-Server)

Wo ist das installiert? Auf dem TMG?

Ja auf dem TMG-Server.

Den CSR-Request habe ich auch auch auf dem TMG-Server erstellt, daher wundert es mich, dass der private Schlüssel nicht da ist.

Hätte ich den CSR auf dem Exchange machen müssen?

PS: Alternativ, wenn du

Wh0t?  :p

"Houston, we have a problem."

Mahlzeit ihr Gleichgesinnten, ich habe ein Problem.

Wir haben seit längerem einen MS Exchange 2010 Server, letztes Jahr haben wir einen zustsätzlichen Server für MS Forefront TMG installiert und eingerichtet - damit Mitarbeiter ihre Mails, auf ihre mobilen Geräte, gepusht bekommen.

Ende Oktober läuft nun das SSL Zertifikat für die Domain aus - dieses will ich nun verlängern.
Eigentlich war ich auch schon fast fertig, aber mir fehlt der "private Schlüssel".

Okay, erstmal zum Anfang.

Vorgehensweise und Einstellungen
 

• es ist bereits eine SSL Zertifikat installiert, welche Ende Oktober ausläuft
• "MMC" > "Zertifikate" > "lokaler Computer" > "Alle Aufgaben" > "Erweiterte Vorgänge" > "Benutzerdefinierte Anforderung erstellen"
• Vorlage "Legacyschlüssel" und Anfroderungsformat "PKCS #10"
• "Eigenschaften"
• im Reiter "Allgemein" den gleichen Anzeigename wie das bestehende Zertifikat
• im Reiter "Antragsteller" halt "CN", "L", "S", "C", "OU" und "O" + bei Anternativer Name "DNS" eingetragen
• im Reiter "Erweiterungen" habe ich "Datenverschlüsselung" und "Digitale Signatur" gewählt
• im Reiter "privater Schlüssel" habe ich als "Schlüsseltyp" > "Austausch" [englisch "Exchange"] (nicht "Signatur") gewählt und bei "Schlüsseloptionen" "2048" und "Privaten Schlüssel exprtierbar machen"
• OK > Pfad für CSR (Certificate Signing Request) + Base 64 gewählt
• CSR bei Thawte SSL123 eingereicht
• Zertifikat bekommen + eingespielt
• MS Forefront TMG > Toolbox > Weblistener > Zertifikat > …

Fehler
 

mögliche Ursachen(?)
 

• Liegt der Fehler bei meiner Einstellungen unter "privater Schlüssel" > "Schlüsseltyp" > "Austausch" (nicht "Signatur")? Habe ich deswegen keinen privaten Schlüssel?
• Habe ich keinen "privaten Schlüssel" weil, dass alte Zertifikat ("privater Schlüssel" vorhanden) den gleichen Namen hat und deswegen kein neuer "privater Schlüssel" generiert wurde? (Bug?)

Kann mir jemand helfen und sagen wo der Fehler ist bzw. wo ich den dazugehörigen "privaten Schlüssel" finde?

Cheers Marcel