AMiGA

Hat jemand vielleicht eine Idee, wo man technische Informationen zum Ablauf der Benutzerzertifikat-Erneuerung bekommen kann? Ich finde im Netz nicht wirklich eine Erklärung des Mechanismus. Viele Grüße, AMiGA

Hallo, in einem AD mit interner CA haben wir eine (Benutzer-)Zertifikatvorlage, deren Zertifikate eine Gültigkeit von 6 Monaten haben. Als Erneuerungszeitraum haben wir 3 Monate konfiguriert. Mitglieder einer bestimmten AD-Sicherheitsgruppe haben die Berechtigungen Lesen, Registrieren und Automatisch registrieren. In einer GPO ist unter Benutzerkonfiguration / Richtlinien / Windows-Einstellungen / Sicherheitseinstellungen / Richtlinien für öffentliche Schlüssel / Zertifikatdienstclient - Automatische Registrierung aktiviert, so dass abgelaufene Zertifikate erneuert werden sollen. Das GPO greift auch, die Zertifikate werden automatisch bei der CA beantragt und registriert. Nun zum seltsamen Verhalten: ca. 4 Wochen vor Ablauf eines Benutzerzertifikats wird ein neues Zertifikat durch die CA ausgestellt und im AD-Konto des Benutzers hinterlegt. Zu diesem Zeitpunkt ist der Benutzer aber überhaupt nicht online, d.h. weder an einem AD-Computer angemeldet, noch per ActiveSync noch per VPN-Client verbunden. Benutzer, die zu genau diesem Zeitpunkt (längere Zeit) außer Haus sind, können daraufhin die Applikation, in der das Zertifikat genutzt wird nicht mehr benutzen, da sie auf ihrem Rechner das neue Zertifikat noch gar nicht haben. Kann man dieses Verhalten beeinflussen, so dass die Erneuerung von Zertifikaten nur stattfindet, wenn ein Benutzer auch im AD angemeldet ist? Viele Grüße, AMiGA

Das wäre definitiv ein Rückschritt. Die Personen müssten ständig den zusätzlichen Posteingang des Raumpostfaches im Blick haben... Mittlerweile CU19.

Nutzt niemand anders solch eine Funktionalität? Es ist für die Person, die mehrere Räume verwaltet sehr unpraktisch, dass die ganzen "Raum"-Termine auch in ihrem eigenen Kalender erscheinen...

Hallo, ich habe diverse Raumpostfächer als Ressource in Exchange 2013 eingerichtet. Bei diesen sind Stellvertreter eingerichtet (sowohl als "Senden als", "Senden im Auftrag von" und "Buchungsanfragen"). Soweit so gut. Wenn Buchungsanfragen eingehen, erhalten alle Stellvertreter eine Mail und können die Anfragen zusagen/ablehnen. Nun das Problem: Zugesagte Buchungen werden sowohl im Kalender des Raumes angezeigt, als auch im privaten Kalender des Stellvertreters (unabhängig vom Client, Outlook 2010-2016). Wie kann ich die Termine im Privatkalender deaktivieren? Ich finde weder in der Exchange Verwaltungskonsole, noch an der Mailbox (get-mailbox) noch am Kalender (get-calendarprocessing) eine Eigenschaft, um dieses Verhalten beeinflussen zu können. Gruß, AMiGA

Was nutzt man denn heutzutage am besten zur Analyse? gpresult setzt ja vermutlich auf rsop auf? Nur den GroupPolicy-Zweig in der Ereignisanzeige?

Ich denke schon. An dem GPO darf per Delegierung die Gruppe "Authentifizierte Benutzer" das Objekt lesen. Zu dieser Gruppe gehört ja auch der RDS Server. Auch ein explizites Hinzufügen einer Berechtigung des RDS-Servers verändert leider nichts... Edit: Ich vermute, die Ursache gefunden zu haben. Ich kann es leider nicht "mal eben" im Produktivsystem testen. An dem RDS-Server gibt es u.a. ein GPO, in welchem in der Computerkonfiguration der Loopbackverarbeitungsmodus aktiviert ist und sich im Modus "Ersetzen" befindet. Dadurch werden vermutlich die Benutzereinstellungen des Benutzers aus dem speziellen GPO an der Benutzer-OU ersetzt. Könnte das sein? Hintergrund des GPOs mit dem aktivierten Loopbackverarbeitungsmodus ist folgender: Mit diesem GPO soll die Default Domain Policy von Benutzern einer vertrauten Domäne, welche den RDS-Server nutzen ersetzt werden, da diese verschiedene Einstellungen enthält, die in unserer Domäne nicht angewendet werden sollen. Auf dem GPO gibt es eine Filterung für Benutzer der vertrauten Domäne. So wurde dies damals durch unseren Berater eingerichtet. Da der Loopbackverarbeitungsmodus aber in den Computereinstellungen konfiguriert ist, vermute ich, dass die Filterung auf eine Benutzergruppe gar keinen Einfluss auf die Anwendung des Objekts hat. Sehe ich das richtig? Gruß, AMiGA

Habe ich gemacht, wird auch zügig repliziert. repadmin /showrepl zeigt, dass die Replizierungen erfolgreich waren. Ich habe nun eine neue OU angelegt. In dieser OU habe ich einen Testbenutzer angelegt. Mit dieser OU habe ich ein neu erzeugtes GP-Objekt verknüpft. Wenn ich mich mit diesem Benutzer auf dem RDS-Sitzungshost anmelde, zeigt gpresult /r, dass das GP-Objekt weder angewendet noch herausgefiltert wurde. Gibt es in Bezug auf RDS-Umgebungen eventuell noch irgendwelche Besonderheiten? Gruß, AMiGA

Hmm, es ist ein recht umfangreiches Objekt (zum starken Reduzieren des Windows Desktops). Das manuelle Neuanlegen wäre sehr aufwändig, mal schauen, ob ich diesen Weg gehe. 2 DCs, einen Server 2012 R2 und einen 2008 R2. Die Verzeichnisse C:\windows\sysvol sind auf beiden Rechnern inhaltlich absolut identisch. Gruß AMiGA

Leider nein, zumindest hatte ich weder unter Application, System noch unter Microsoft/Windows/GroupPolicy etwas entscheidendes gefunden. Die Liste der anzuwendenden Gruppenrichtlinienobjekte wird per LDAP angefragt und erhalten, die anzuwendenden und herausgefilterten Objekte entsprechen genau denen, die per gpresult ausgegeben werden. Das "Problem"-Objekt taucht nirgends auf.

Ich verstehe nicht wirklich, wieso das Objekt nicht angewendet wird. Bei der Anmeldung des Benutzers an einer Workstation wird es angewendet. Bei der Anmeldung des Benutzers an einem anderen Server wird es angewendet. Nur bei der Anmeldung des Benutzers an einem RDS-Sitzungshost wird es nicht angewendet (mit diesem habe ich bei der Problemrecherche gestartet). Wenn ich das genannte GP-Objekt deaktiviere, wird ein weiteres GP-Objekt, was mit der Benutzer-OU verknüpft ist ausgeführt. Wenn ich das genannte GP-Objekt aktiviere wird auch das weitere GP-Objekt, was mit der Benutzer-OU verknüpft ist, nicht ausgeführt. Sehr seltsam.

Aber wo könnte ich da noch etwas falsch gemacht haben? Ich habe die OU, sehe das verknüpfte Gruppenrichtlinienobjekt, die Verknüpfung ist aktiv, das Objekt ist aktiviert, das Objekt enthält Benutzerkonfigurationseinstellungen. Der Benutzer ist definitiv in der OU, trotzdem wird das Gruppenrichtlinienobjekt nicht angewendet...

Leider taucht mein Objekt überhaupt nicht auf, weder bei den angewendeten noch bei den abgelehnten Objekten. Ja, es gibt ein Objekt mit aktiviertem Loopbackverarbeitungsmodus, was auf dem Client angewendet wird, es wird aber für den Benutzer nicht angewendet (aufgrund der Sicherheitsfilterung). Gruß, AMiGA

Ja genau. Eine OU, in der mehre Benutzerobjekte sind. Mit dieser (Benutzer-)OU ist ein Gruppenrichtlinienobjekt verknüpft. Dieses enthält verschiedene Benutzereinstellungen, keine Computereinstellungen. Mit einem Benutzer aus der OU melde ich mich an einem RDS-Broker an. Für diesen Computer gibt es einige direkt verknüpfte und einige geerbte Gruppenrichtlinienobjekte. Ich prüfe, ob mein gewünschtes Gruppenrichtlinienobjekt angewendet wurde, indem ich die angewendeten/herausgefilterten Objekte mit "gpresult /r" anzeige. Außerdem überprüfe ich zusätzlich mit "rsop.msc", ob die Einstellungen aus dem Objekt angewendet wurden. Leider wird das Objekt offenbar nicht angewendet. Gruß, AMiGA

In der OU stecken wie oben geschrieben Benutzer-Objekte. Der Loopback Modus wurde aktiviert, da seit 2016 meines Wissens zunächst das Computerobjekt, an dem sich der Benutzer anmeldet die Richtlinie liest und erst danach an den Benutzer übergibt. Daher auch die Delegierung an "Authentifizierte Benutzer", da das GP-Objekt sonst nie durch ein Computerobjekt ausgeführt würde.