Windows10 - Zertifikate

[Heckflosse 10]

Hallo,

wir haben uns jetzt für den unternehmensweiten Einsatz von Win10 Enterprise LTSB mit SA entschieden. Die ersten Installation zeigen, dass im Bereich der Zertifikate für Stammzertifizierungsstellen nur wenige enthalten sind. Dies führt zwangsläufig zu gehäuften Fehlermeldungen beim Einsatz des Internet Explorers und anderer Anwendungen.

Wie geht Ihr damit um?

Gruß
Markus

 

[zahni 566]

Die Root-CA-Liste  Wird eigentlich automatisch aktualisiert. Einfach eine  Webseite  mit SSL aufrufen. Dann im Evenlog Meldungen der Quelle "CAPI2" beachten.

Falls es nicht  geht, ist irgendetwas falsch  konfiguriert oder  am proxy wird  etwas blockiert.

[Heckflosse 10]

Super, danke. Ich schaue mal nach. Wenn wir mit eingeschaltetem Proxy surfen ist das Problem nicht vorhanden, da der Proxy mit seinem eigenen Root-Zertifikat surft. Melde mich wieder.

Du hast Recht, hier habe ich vier Einträge vom Freitag (hier wurde Win10 frisch installiert), Beispiel:

 

Die automatische Aktualisierung des Drittanbieterstammzertifikats wurde erfolgreich ausgeführt: Antragsteller: <CN=QuoVadis Root Certification Authority, OU=Root Certification Authority, O=QuoVadis Limited, C=BM> Sha1-Fingerabdruck: <DE3F40BD5093D39B6C60F6DABC076201008976C9>.

 

D. h. wird eine Seite angesurft, ladet sich automatisch das Root-Zert in den passenden Speicher?

 

Da werden sich die Benutzer freuen wenn wir ausrollen. Geht das nicht eleganter?

 

Gruß

Markus

 

 

[zahni 566]

Anders verteilt MS diese Updates nicht mehr. War übrigens schon unter Windows XP so. 

Hier sind  weitere  Varianten aufgeführt:

 

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn265983(v=ws.11)

 

Generell kann man natürlich auch nur  ganz bestimmte Root-CAs erlauben und die  per  GPO verteilen.

[StefanWe 14]

Am 16.4.2018 um 12:26 schrieb Heckflosse:

 

Hallo,

wir haben uns jetzt für den unternehmensweiten Einsatz von Win10 Enterprise LTSB mit SA entschieden. Die ersten Installation zeigen, dass im Bereich der Zertifikate für Stammzertifizierungsstellen nur wenige enthalten sind. Dies führt zwangsläufig zu gehäuften Fehlermeldungen beim Einsatz des Internet Explorers und anderer Anwendungen.

Wie geht Ihr damit um?

Gruß
Markus

 

Nur so am Rande. Die LTSB Version ist nicht für Arbeitsplätze gedacht. Nur für Maschinen. 

[Heckflosse 10]

Hallo. Hast du einen Beleg für die Aussage? Die Version wurde uns von Microsoft empfohlen. Hier steht auch nix: https://www.zdnet.de/88274856/windows-10-fuer-den-unternehmenseinsatz-optimal-einrichten/

 

[NorbertFe 2.155]

Enterprise und ltsb sind nicht synonym. Oder hab ich deinen link falsch verstanden?

[Heckflosse 10]

Bitte den Artikel lesen. 

 

[NorbertFe 2.155]

Ja genau, da steht auch nix, außer dass es ltsb an sich gibt und man sie einsetzen kann. Ms selbst schreibt dazu u.a.

https://www.microsoft.com/de-de/Licensing/produktlizenzierung/windows-10.aspx

Long Term Servicing Branch (LTSB) für Geschäftskunden: LTSB wurde primär für geschäftskritische Systeme (z. B. Luftfahrtkontrolle) konzipiert.

 

 

ob man jetzt alles pauschal als geschäftskritisch deklariert lasse ich mal jedem selbst zu entscheiden. ;)

[Heckflosse 10]

Hier ein ausführlicherer Artikel zu dem Thema:

https://www.borncity.com/blog/2017/03/06/windows-10-enterprise-ltsb-bedingt-geschftstauglich/

 

LTSB passt somit für uns ideal im Gesundheitswesen. Jeder PC ist als Medizinprodukt anzusehen und somit geschäftskritisch.

 

Danke für den Hinweis!

[NorbertFe 2.155]

Naja dann hast du ja auch den gesamten Artikel gelesen, was ein pc mit installiertem Office für ms eben nicht darstellt. Aber wie gesagt, solange sich daraus noch keine negativen Effekte ergeben, kann das jeder halten wie ein Dachdecker.

[Heckflosse 10]

Wir werden sowieso den MS-Wahnsinn nicht mehr mitfinanzieren und die Struktur auf Terminalserver/Citrix wechseln. Die Einbindung von Win10 war ein elendiger Kraftakt der seinesgleichen sucht. Ein Betriebssystem für den Heim-Bereich in eine Unternehmensstruktur einzubinden ist so gut es geht gelungen. Die Verars***e mit Professional ist nicht mehr datenschutzkonform war gigantisch. Seit Win2000 Prof. wird erzählt, dass dieses OS für den unternehmensweiten Einsatz gedacht ist. Dann ist es plötzlich nicht mehr so und man benötigt Enterprise. Kosten für uns eine viertel Mille.

Die Update-Schiene ohne LTSB ist der vollständige Super-Gau mit dem Ergebnis einer nie homogenen Umgebung und ständiger Updaterei. 

Dann investieren wir lieber in die 3PAR, Vmware, IGEL, etc. Hält länger, weniger Ärger und Administration, etc.

[NorbertFe 2.155]

vor 2 Minuten schrieb Heckflosse:

Dann investieren wir lieber in die 3PAR, Vmware, IGEL, etc. Hält länger, weniger Ärger und Administration, etc.

Naja da wäret ihr die ersten. ;) aber kannst gern berichten. Meiner Erfahrung nach bleibt der Aufwand gleich er verlagert sich halt.

[Heckflosse 10]

Werde ich machen. 

Vorteile:

-längere Haltbarkeit ThinClients als PCs

-schnellere Einbindung ThinClients als FatClients mit Matrix/Empirum

-keine Software-Paketierung mehr notwendig mit Matrix/Empirum (riesengroßer Vorteil und Zeitersparnis!)

-die Kosten für einen ThinClient betragen nur 50% eines FatClient

-mit Veeam ist die Erstellung von Citrix-Worker schnell und einfach

-kein Patchmanagment für Windows FatClients mehr

 

Das sind nur die Spitzen des Eisbergs!

 

Wir haben seit 2013 eine Citrix-Farm (jetzt "Site" genannt) mit ca. 250 gleichzeitigen Usern OHNE Probleme. Läuft und läuft und läuft.