_Nemo 10 Geschrieben 23. April 2018 Melden Geschrieben 23. April 2018 Hallo, ich hab da mal ein Problem! Umgebung: 1xDC, 2xRDS, 1xExch > alles W2k12R2 aktueller Patchstand vom WE. Es wurde eine RDS-Farm eingerichtet. Bekannterweise bekommt man, wenn der Verbindungsbroker die Sitzungen verschiebt, bei selbstsignierten Zertifikaten einen Warnhinweis. Lösung, PKI einrichten und ein Farm-Zertifikat erstellen. Gemacht getan (Den ganzen Trouble bis zu diesem Status, lasse ich erstmal weg). Ich habe in den Eigenschaften der CA, unter Erweiterungen, auch http + file zur Verteilung der Sperrlisten aktiviert ( Sperrlisten an diesem Ort veröffentlichen + In CDP-Erweiterung des ausgestellten Zertifikates einbeziehen + Deltasperrlisten an diesem Ort veröffentlichen aktiviert). Die beiden habe ich aktiviert, da ich unterschiedliche Clients habe, innerhalb und außerhalb der Domäne, per VPN Homeoffice und Roadwarrior. Ich teste im Moment mit einem W2K12R2 Client, dieser ist nicht in der Domäne. An dem W2K12R2 habe ich die Host-Datei angepasst > IP Servername mit und ohne Domäne eingetragen. DNS funktioniert. Der Zugriff auf die Sperrlisten per http + file ist möglich. Per RDS bekomme ich die obige Meldung. Wird diese einfach bestätigt funktioniert alles einwandfrei. Da PKI Neuland für mich ist, fehlen mir jetzt weitere Ansätze und in google habe ich nichts passendes gefunden zu dieser Meldung. Vielen Danke für Eure Mühen. Manuel
NilsK 3.046 Geschrieben 23. April 2018 Melden Geschrieben 23. April 2018 Moin, zwei typische Ursachen: Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen. Die Sperrliste ist abgelaufen. Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert. Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus. Gruß, Nils
_Nemo 10 Geschrieben 3. Mai 2018 Autor Melden Geschrieben 3. Mai 2018 Hallo Nils, vielen Dank für deine Antwort. Wenn ich folgenden Pfad im Browser eingebe, lädt er mit die Sperrliste herunter (nur intern, aus dem www nicht erreichbar). http://server.domain/CertEnroll/BKANZ2-CA-1.crl Diesen Pfad habe ich aus dem Zertifikat kopiert. Ist der Zugriff damit OK? Kann ich den Pfad noch anderweitig testen? Vielen Dank für die Hilfe. Manuel
NilsK 3.046 Geschrieben 3. Mai 2018 Melden Geschrieben 3. Mai 2018 Moin, sieht aus, als sei der eigentliche Zugriff OK. Nun könnte die Liste abgelaufen oder anderweitig ungültig sein. Oder der Dateiname ist nicht der, der im Zertifikat angegeben ist. Gruß, Nils
testperson 1.860 Geschrieben 3. Mai 2018 Melden Geschrieben 3. Mai 2018 @_Nemo du solltest neben dem Namen der Sperrliste auch noch den Link hinter deinem Text maskieren. ;)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden