Mirastarix

Jaein...wenn ich das richtig verstanden hab, haste jetzt auf D:\ das roaming profile liegen, welches beim Login auf c:\users synchronisiert wird. Löscht Du das auf c:\ resetteste nur das lokale Profil, welches beim nächsten Login wieder neu erstellt wird von D:\

Update die iPhones mal auf 10.2.1. Apple hat offensichtlich zurückgerudert und akzeptiert wieder sämtliche Zertifikate. Zumindest hab ich gestern bei nem weiteren Test wieder die Option bekommen, einem internen Zertifikat zu vertrauen.

Welchen Fehler geben denn die iPhones aus? Können die Accountinfos nicht überprüft werden oder ist die Verbindung fehlgeschlagen oder, oder...

Wenn es um die Erreichbarkeit von CDP und AIA geht, gibt es scheinbar eine Designschwäche bei der internen PKI.

Sind die Sperrlisten und ggf. der Online Responder von extern zu erreichen?

Moin,

nein, die CRL ist nur von intern zu erreichen und Online Responder ist imho gar nicht installiert. Hm, auf den Gedanken bin ich noch gar nicht gekommen, dass es evtl. nur an der nicht erreichbaren CRL liegen könnte. Könnte man bei Gelegenheit mal testen - leider haben wir kein MDM, sodass unser internes root cert nicht automatisch ausgerollt wird. Damit und mit der von außen erreichbaren CRL könnten evtl auch die iPhones bei der Konstellation funktionieren.

Ich mache nun aber erstmal mit SplitDNS weiter. Muss nur noch entsprechend die DNS Zonen basteln, weil die AD domain schon älter und noch ne .local ist. Heute würd ich auch gleich die TLD intern nutzen...hinterher is man immer schlauer :D

Moin,

ja, es ist zurzeit ein öffentliches SHA1 gebunden und iPhones können normal verbinden - wird aber noch auf SHA256 gewechselt. Wichtig war den iPhones nur, dass sie eine öffentliche root CA erreichen können, um die chain bis dahin zu prüfen. Selbst beim Importieren des internen root Zertifikats konnte keine Verbindung hergestellt werden.

Heyho Mirastarix.

 

Das Fett gedruckte hat mir geholfen :)

 

Printserver = Server

Printserver auf meinem PC dürfte ja nur die lokalen Drucker anzeigen, da dieser ja nicht als Printserver agiert. Naja etwas verwirrend ich gebe es zu :)

Super!

Achsoo...ok, da wird er dicker^^

Hi zusammen,

wie die meisten haben auch wir eine gewachsene Struktur und öffentliche Zertifikate waren meist nur für Websites interessant - kostet halt^^ Ich kann das Ganze nun auch leider nicht in einer Testumgebung nachstellen sondern muss am lebenden Patienten operieren. Bevor ich alles kaputt mache und hektisch backups einspielen muss, frag ich lieber nochmal nach^^

Folgendes Szenario:

An Exchange war ein internes Zertifikat von der internen CA gebunden.

Alles lief wunderbar bis die ersten Kunden mit iPhones auf iOS 10.1 upgedatet haben. Ab iOS 10.1 war ActiveSync mit dem internen Zertifikat nicht mehr möglich und es musste zwangsläufig ein Zertifikat von einer öffentlichen CA gekauft und gebunden werden. Soweit so gut...iPhones können wieder connecten aber jetzt bekommen interne Clients natürlich die Fehlermeldung, dass der interne Name nicht als SAN mit angegeben ist.

Leider geht aus keinem Guide wirklich eindeutig hervor, wie Exchange genau für diesen Fall konfiguriert werden muss. Ich vermute, dass für die virtual directorys nun jeweils statt des internen FQDN bei interner URL die externe URL eingetragen werden muss, damit auch intern das öffentliche Zertifikat genutzt wird. So würde intern meinetwegen über https://mail.meinedomain.de und extern ebenfalls über https://mail.meinedomain.de verbunden werden wie z.B. hier beschrieben.

Geh ich recht in der Annahme, dass nach dem Ändern der internen URL auf die externe URL auch von intern die Zertifikatsfehler verschwinden? 

Danke für´s Feedback

Wie gesagt, nimm die uralten rundll32 Befehle mit nem Batch-File oder die gleichen mit nem VBS. Solange man keine anderen Scrips und GPO's rumpfuschen lässt, funktionierts auch. Ich habe die Probleme in keiner einzigen Umgebung und sind auch ein paar davon mit aktuellem 2012R2.

Ob die Dinger nun in der Geräteliste auftauchen oder nicht ist doch total egal solange sie in den Programmen sowie der effektiven Druckerliste erscheinen (auch wenn diese nur über einen Umweg - siehe unten - erreichbar ist)

Diese Geräte-Liste ist dermassen Buggy, dass man darauf eh keinen Cent geben sollte. Wenns nur um die geht, verstehe ich das Problem daher eh nicht =) Kenne bist jetzt jedenfalls kein Programm, dass sich die Liste darüber holt.

 

Wenn du eine funktionierende Liste willst, die "richtige" Auflistung hernehmen:

Ordner erstellen mit: "Druckerliste.{2227A280-3AEA-1069-A2DE-08002B30309D}" Darauf dann ne Verknüpfung und diese ab ins Starmenü oder Desktop. Der Name vor der GUID ist irrelevant.

 

Ist erst noch viel bequemer um Einstellungen zu erreichen oder Drucker zu löschen.