_Nemo 10 Geschrieben 23. April 2018 Melden Teilen Geschrieben 23. April 2018 Hallo, ich hab da mal ein Problem! Umgebung: 1xDC, 2xRDS, 1xExch > alles W2k12R2 aktueller Patchstand vom WE. Es wurde eine RDS-Farm eingerichtet. Bekannterweise bekommt man, wenn der Verbindungsbroker die Sitzungen verschiebt, bei selbstsignierten Zertifikaten einen Warnhinweis. Lösung, PKI einrichten und ein Farm-Zertifikat erstellen. Gemacht getan (Den ganzen Trouble bis zu diesem Status, lasse ich erstmal weg). Ich habe in den Eigenschaften der CA, unter Erweiterungen, auch http + file zur Verteilung der Sperrlisten aktiviert ( Sperrlisten an diesem Ort veröffentlichen + In CDP-Erweiterung des ausgestellten Zertifikates einbeziehen + Deltasperrlisten an diesem Ort veröffentlichen aktiviert). Die beiden habe ich aktiviert, da ich unterschiedliche Clients habe, innerhalb und außerhalb der Domäne, per VPN Homeoffice und Roadwarrior. Ich teste im Moment mit einem W2K12R2 Client, dieser ist nicht in der Domäne. An dem W2K12R2 habe ich die Host-Datei angepasst > IP Servername mit und ohne Domäne eingetragen. DNS funktioniert. Der Zugriff auf die Sperrlisten per http + file ist möglich. Per RDS bekomme ich die obige Meldung. Wird diese einfach bestätigt funktioniert alles einwandfrei. Da PKI Neuland für mich ist, fehlen mir jetzt weitere Ansätze und in google habe ich nichts passendes gefunden zu dieser Meldung. Vielen Danke für Eure Mühen. Manuel Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 23. April 2018 Melden Teilen Geschrieben 23. April 2018 Moin, zwei typische Ursachen: Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen. Die Sperrliste ist abgelaufen. Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert. Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus. Gruß, Nils Zitieren Link zu diesem Kommentar
_Nemo 10 Geschrieben 3. Mai 2018 Autor Melden Teilen Geschrieben 3. Mai 2018 Hallo Nils, vielen Dank für deine Antwort. Wenn ich folgenden Pfad im Browser eingebe, lädt er mit die Sperrliste herunter (nur intern, aus dem www nicht erreichbar). http://server.domain/CertEnroll/BKANZ2-CA-1.crl Diesen Pfad habe ich aus dem Zertifikat kopiert. Ist der Zugriff damit OK? Kann ich den Pfad noch anderweitig testen? Vielen Dank für die Hilfe. Manuel Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 Moin, sieht aus, als sei der eigentliche Zugriff OK. Nun könnte die Liste abgelaufen oder anderweitig ungültig sein. Oder der Dateiname ist nicht der, der im Zertifikat angegeben ist. Gruß, Nils Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 3. Mai 2018 Melden Teilen Geschrieben 3. Mai 2018 @_Nemo du solltest neben dem Namen der Sperrliste auch noch den Link hinter deinem Text maskieren. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.