Normales Thema "Roaming Clients" und SSL (Gelesen: 1214 mal)
Frank63
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 10
Standort: 13088 Berlin
Mitglied seit: 08.01.07
Geschlecht: männlich
"Roaming Clients" und SSL
17.03.09 um 22:42:04
Beitrag drucken  
Hallo,

ich teste gerade unseren Updatepfad von WSUS 2 auf WSUS 3 komme aber mit der SSL-Konfiguration nicht richtig weiter.

Wir haben mehrere WSUS-Server, die nach der MS-Empfehlung "Appendix D: Configure WSUS for Roaming Clients" konfiguriert sind. ( (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).)

Kurz gefasst bedeutet das, dass die Server (2) mit dem gleichen DNS-Namen konfiguriert sind. Einer ist für interne Clients, der andere für den Clientzugriff über das Internet.
Natürlich muss (wg. Internet) das ganze per SSL abgesichert werden.

Hier beginnen nun aber die Probleme!

1. Mit der MMC kann nicht auf beide Server zugegriffen werden - da einer von beiden mit einem anderen Namen angesprochen werden muss - dieser aber nicht mit dem Zertifikat übereinstimmt.

2. Natürlich möchte ich den "Internet-WSUS" gern als Replikats-Server benutzen um die Freigaben nur einmal machen zu müssen. Auch hier kommt es an allen möglichen Stellen zu Fehlern (z.B. funktioniert das "Statusrollup von Replikat-Downstreamserver" nicht!)

Hat jemand so eine Konfiguration schonmal erfolgreich installiert oder muss ich tatsächlich beide Server einzeln betreiben und kann sie noch nichteinmal von einer gemeinsamen Konsole managen - obwohl MS ja wohl einer solche Konfiguration empfiehlt - aber scheinbar dabei das  SSL "vergessen" hat Griesgrämig?

Für Hinweise dankbar
Frank
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13146
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #1 - 17.03.09 um 23:48:26
Beitrag drucken  
Frank63 schrieb on 17.03.09 um 22:42:04:
Wir haben mehrere WSUS-Server, die nach der MS-Empfehlung "Appendix D: Configure WSUS for Roaming Clients" konfiguriert sind. ( (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).)

Kurz gefasst bedeutet das, dass die Server (2) mit dem gleichen DNS-Namen konfiguriert sind. Einer ist für interne Clients, der andere für den Clientzugriff über das Internet.
Natürlich muss (wg. Internet) das ganze per SSL abgesichert werden.


Gibts dafür einen bestimmten Grund? Verbinden sich die Clients nicht per VPN ins LAN?

Frank63 schrieb on 17.03.09 um 22:42:04:
1. Mit der MMC kann nicht auf beide Server zugegriffen werden - da einer von beiden mit einem anderen Namen angesprochen werden muss - dieser aber nicht mit dem Zertifikat übereinstimmt.


Hmm, mit der echten IP-Adresse geht es nicht?

Frank63 schrieb on 17.03.09 um 22:42:04:
2. Natürlich möchte ich den "Internet-WSUS" gern als Replikats-Server benutzen um die Freigaben nur einmal machen zu müssen. Auch hier kommt es an allen möglichen Stellen zu Fehlern (z.B. funktioniert das "Statusrollup von Replikat-Downstreamserver" nicht!)


Wenn der Downstream auch als solcher eingerichtet ist, reicht ein Haken in den Optionen: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Wenn Du den zweiten Haken setzt, wird alles in einer MMC angezeigt.
  
Zum Seitenanfang
 
Frank63
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 10
Standort: 13088 Berlin
Mitglied seit: 08.01.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #2 - 18.03.09 um 10:27:36
Beitrag drucken  
Sunny schrieb on 17.03.09 um 23:48:26:
Frank63 schrieb on 17.03.09 um 22:42:04:
Kurz gefasst bedeutet das, dass die Server (2) mit dem gleichen DNS-Namen konfiguriert sind. Einer ist für interne Clients, der andere für den Clientzugriff über das Internet.

Gibts dafür einen bestimmten Grund? Verbinden sich die Clients nicht per VPN ins LAN?

Der eine Server "versorgt" mehrere tausend interne PC's der andere mehrere hundert übers Internet.
Und nein, die InternetClients machen kein VPN sondern der Server steht direkt im Internet.

Sunny schrieb on 17.03.09 um 23:48:26:
Frank63 schrieb on 17.03.09 um 22:42:04:
1. Mit der MMC kann nicht auf beide Server zugegriffen werden - da einer von beiden mit einem anderen Namen angesprochen werden muss - dieser aber nicht mit dem Zertifikat übereinstimmt.

Hmm, mit der echten IP-Adresse geht es nicht?

Nein, die MMC lässt offensichtlich keine Verbindung zum WSUS zu, wenn der Name nicht mit dem Zertifikat übereinstimmt.
Bei WSUS 2 konnte man den "Zertifikatsfehler" im IE noch ignorieren und weiter gings. Das funktioniert aber nicht (mehr).

Sunny schrieb on 17.03.09 um 23:48:26:
Frank63 schrieb on 17.03.09 um 22:42:04:
(z.B. funktioniert das "Statusrollup von Replikat-Downstreamserver" nicht!)

Wenn der Downstream auch als solcher eingerichtet ist, reicht ein Haken in den Optionen: ...

Wie das konfigiriert wird ist schon klar. Funktionierte ohne SSL ja auch ganz wunderbar.
Nur leider nach der Einrichtung von SSL eben nicht mehr - deswegen meine Anfrage hier...

Gruss - Frank
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13146
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #3 - 18.03.09 um 10:59:02
Beitrag drucken  
Hmm, ich hab das so noch nie eingerichtet. Evtl. hat MS ja beim SP2 für den WSUS 3.0 da etwas nachgebessert. Das SP2 wird wohl im April 2009 kommen. Evtl. kannst Du ja noch so lange warten.
  
Zum Seitenanfang
 
Frank63
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 10
Standort: 13088 Berlin
Mitglied seit: 08.01.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #4 - 02.04.09 um 09:10:22
Beitrag drucken  
Ich hab's hinbekommen.
Bei Interesse an der Lösung: hier fragen.

Lösungsansatz ist: Einsatz eines "Wildcard-Zertifikates"
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13146
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #5 - 02.04.09 um 09:25:24
Beitrag drucken  
Frank63 schrieb on 02.04.09 um 09:10:22:
Ich hab's hinbekommen.
Bei Interesse an der Lösung: hier fragen.


Natürlich ist Interesse an der Lösung vorhanden. Ich hab ja auch genügend Zeit investiert.
  
Zum Seitenanfang
 
Frank63
WSUS Junior Member
*
Offline


I Love WSUS

Beiträge: 10
Standort: 13088 Berlin
Mitglied seit: 08.01.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #6 - 02.04.09 um 12:35:34
Beitrag drucken  
Gut.
Also folgendes Beispiel:
Server1: Name: aabc1.domain.de
Server2: Name: adef2.domain.de
Clients rufen von diesen Servern Updates unter der url: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). ab (beide Server sind im DNS unter diesem Namen erreichbar - je nach Clienstandort wird der eine oder der andere Server angesprochen)

Damit nun alles funktioniert muss
1. das Zertifikat ausgestellt werden auf "*.domain.de" (oder, da in diesem Beispiel alles mit "a" anfängt würde auch "a*.domain.de" gehen). Dieses Zertifikat ist auf beiden Servern zu installieren.
2. wsusutil configuressl muss auf die Servernamen konfiguriert werden ( (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). und (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).)

Mit dieser Konfiguration kann Server 2 als Downstreamserver betrieben werden, die Server stehen den Clients unter der gleichen URL zur Verfügung und die MMC kann beide Server mit Ihrem Servernamen auch mit ssl ansprechen.

HTH & Gruss
Frank
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13146
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Roaming Clients" und SSL
Antwort #7 - 02.04.09 um 12:59:32
Beitrag drucken  
Vielen Dank für Lösung. Smiley
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden