Sign In

Felhasználói tanúsítvány Subject Alternative Name lekérdezése PowerShell -ből

Egysoros, hogyan lehet lekérdezni az aktuális felhasználó az adott "ENTERPRISE CA" által kiadott "User" tanúsítványából a Subject Alternaive Name tulajdonságot:

($(gci Cert:\CurrentUser\My|?{$_.Issuer -like "*ENTERPRISE CA*"}).Extensions|?{$_.Oid.FriendlyName -eq "subject alternative name"}).Format(1)

Arra jó, hogy ellenőrizzük van-e a felhasználónak tanúsítványa és milyen accountra lett kiállítva. Az "ENTERPRISE CA" értéket át kell állítani a saját CA-nk nevére.

Ha hibaüzenetet kapunk, mint alább, akkor vagy nem jó a CA neve vagy nincs kliens tanúsítvány.

You cannot call a method on a null-valued expression.

Always On VPN problémák

For English readers: You can find the English version under the Hungarian one.

Követve a dokumentációt, két pofonba lehet rögtön beleszaladni.

Az első:  VPNUserAuthentication template could not find specified CSPs
Ha beállítjuk a fenti dokumentáció szerint a CA template-t és egy olyan gépen futtatjuk, ahol nincs TPM chip (például virtuális gép), akkor nem fog létrejönni a felhasználó tanúsítványa. A CertificateServicesClient-CertEnroll kliens sajnos alapból nem loggol semmit, úgyhogy még hibaüzenet sem lesz.
Az első teendő, hogy kapcsoljuk be a loggolást.
A registryben a HKLM\Software\Microsoft\Cryptography\Autoenrollment kulcs alatt hozzunk létre egy AEEventLogLevel DWORD bejegyzést, aminek 0 az értéke.
Ezután adjuk ki a gpupdate /force /target:user parancsot. (Nem szükséges újraindítás)
Az Event Viewer-ben nyissuk meg az Application Log-ot és megtaláljuk a következő hibaüzenetet:

Log Name: Application
Source: CertificateServicesClient-CertEnroll
Event ID: 55
Level: Warning
Certificate enrollment for DOMAIN\user for the VPNUserAuthentication template could not find specified CSPs on the local machine. Enrollment will not be performed.

Beszédes, nem?
(A CSP a Cryptographic Service Provider rövidítése)

Szerencsére van egy kis támpont, a dokumentációban, ez szerepel:

Microsoft Platform Crypto Provider lets you use the Trusted Platform Module (TPM) on client computers to secure the certificate.

On the Cryptography tab, complete the following steps:
In Provider Category, click Key Storage Provider.
Click Requests must use one of the following providers.
Select the Microsoft Platform Crypto Provider check box


Tehát csak akkor jön létre a cert, ha van TPM chip a gépben. A megoldás az, hogy megszerkesztjük a VPN User Authentication Template-t:
A certificate szerver kezelőjében jobb gomb a Certificate Templates mappán és Manage. Szerkeszük meg a VPN User Authentication template-t úgy, hogy a Cryptograpy alatt így nézzen ki:

A másik probléma, hogy a VPN Szerver tanúsítványának kérésekor az alábbi hibaüzenetet kapjuk: CERTSRV_E_TEMPLATE_DENIED

The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Denied by Policy Module
The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED)
The request ID is 21.

Az ok: Azért fordul elő ez a hiba, mert tényleg nincs jogosultságunk. Ugyan hozzáadtuk a szervert a VPN Servers csoporthoz, de ahhoz, hogy a csoporttagságot felvegye a gép, újra kell indítani, ugyanis a windowsban a csoporttagságok bejelentkezéskor rendelődnek hozzá a tokenhez. Nincs ez máshogy a számítógép fióknál sem, azonban a gép csak induláskor jelentkezik be.

A megoldás: Újraindítjuk a VPN szervert és újrakéjük a certificatet.

________________________________________________________

English version

When you follow the Always On VPN documentation, you can run into the following issues.

ISSUE1: VPNUserAuthentication template could not find specified CSPs

If you set the User CA template according to the documentation and your computer doesn't have a TPM chip (running on VM for example), then the user certificate will not be created. Unfortunately, the CertificateServicesClient-CertEnroll doesn't log anything. First, set  new registry key to turn on more detailed autoenrollment auditing: In HKCU\Software\Microsoft\Cryptography\Autoenrollment, create a new DWORD value named AEEventLogLevel and set its value to 0.

Open up Application Log in Event Viewer (eventvwr.exe).

Force Autoenrollment:

gpupdate /force

In the Application event log, refresh the log to see what happens during autoenrollment.

Log Name: Application
Source: CertificateServicesClient-CertEnroll
Event ID: 55
Level: Warning
Certificate enrollment for DOMAIN\user for the VPNUserAuthentication template could not find specified CSPs on the local machine. Enrollment will not be performed.

CSP means: Cryptographic Service Provider

Luckily in the documentation we can find the following:

Microsoft Platform Crypto Provider lets you use the Trusted Platform Module (TPM) on client computers to secure the certificate.

On the Cryptography tab, complete the following steps:
In Provider Category, click Key Storage Provider.
Click Requests must use one of the following providers.
Select the Microsoft Plaform Crypto Provider check box

So the certificate is only created if the computer has a TPM. The solution is to edit the VPN User Authentication Template.

On the CA, open Certification Authority.
In the navigation pane, right-click Certificate Templates, and click Manage, edit VPN User Authentication and select the Cryptography tab:

Add the Microsoft Software Key Storage Provider.

ISSUE2: CERTSRV_E_TEMPLATE_DENIED
The VPN Server certificate when you try to enroll, you get the following message:

The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
Denied by Policy Module
The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 ( -2146877422 CERTSRV_E_TEMPLATE_DENIED )
The request ID is 21.

The solution: This is happens, because we added the computer to VPN Servers group – and set the permissions on the template to it -, but we didn't restarted the server. Restart the VPN server and try to Enroll again.

Sign In kliens hibakeresés

A Sign In kliens egy szükséges rossz. Vagy másik szemszögből nézve megold egy kellemetlen problémát. A lényeg az, hogy az Microsoft Online-ban van egy Active Directory, de a gépnek ahonnan csatlakozunk, nincs semmilyen kapcsolata ezzel az AD-val. Ez minden esetben így van, akár van már AD-nk vagy éppen csak munkacsoportnak tagja a gép. Emiatt rengetegszer kellene megadnia a felhasználóknak a felhasználónevet és jelszót, ami kb. az első nap az idegeikre menne, utána meg a a rendszergazdák idegeire. 
bpos sign in active directory microsoft online
 A megoldásként ezt a klienst találta ki a Microsoft, automatikusa beállítja az alkalmazásokat (Outlook, Office Communicator, Live Meeting, Internet Explorer megbízható helyek), innen elindíthatjuk őket valamint telepíti a kliens certificateket. Akár automatikusan is elindulhat és bejelentkezik, a felhasználó a jogosultságainak megfelelően elér mindent.

A Sign In kliens általában jól működik, de előfordul, hogy nem tud csatlakozni.
A leggyakoribb problémák:

  • PC órája: Ez fordul elő a legtöbbször, mivel a BPOS kliens Kerberos hitelesítést használ ezért a PC ideje, max. 5 percel lehet különböző a szerver idejétől. Ilyenkor kapunk egy hibaüzenetet:

 BPOS Sign In idő

Sokat nem mond, de jogos, nem tudta felépíteni a biztonságos kapcsolatot. Annyit még közölhetne velünk, hogy azért mert az idő nem egyezik.

  • Proxy beállítások: A Sign In kliens az internet explorer beállításait használja, ha ezek rosszul vannak beállítva, akkor nem tud bejelentkezni: "The service is currently unavailable" vagy "Unable to connect to Microsoft Online Services". Ilyenkor érdemes bekapcsolni a naplózást:

bpos enable data logging for troubleshooting

Ilyenkor a kliens létrehoz egy naplófájlt az alábbi helyen: %userprofile%\Local Settings\Application Data\Microsoft\Sign In\logs

Itt már meg is találjuk a hiba okát:

Exception  Endpoint.DiscoverDatacenter              WebException: A távoli kiszolgáló a következő hibát küldte vissza: (407) Proxyhitelesítés szükséges.

Exception  SSOSignIn.SignIn                         A(z) https://signinservice.microsoftonline.com/ssoservice/UID nem rendelkezett figyelő végponttal, amely tudta volna fogadni az üzenetet. Ezt gyakran téves cím vagy SOAP-művelet okozza. További részletek az InnerException adatai között (ha létezik).

Van jó hír is: a következő BPOS verzióhoz ( Wave 14 ) már nem kell a Sign In alkalmazás. Lesz egy windows szolgáltatás (service) ami ezt elintézi és a teljesen webes környezethez - amikor csak web böngészőből használjuk -  egyátalán nem is fog kelleni.

Sign In program új verzió

A Microsoft Download Center-ben van fenn egy új Sign In program változat. Ez a 1.0.1423.65 verzió hibáit javítja ki, amit január 24.-én adtak ki. Akinek ez van fenn, mindenképpen érdemes frissíteni, mert van benne olyan hiba ami minket is érinthet:

  • Outlookot futtató gépeken az alap mappák angolra válthatnak (pl. Inbox - Beérkezett üzenetek helyett). A patch felrakása utána /ResetFolderNames paraméterrel indítva a Magyar nyelvű Outlookot, a hiba javítható
  • XP-s gépeken az alábbi hibaüzeneteket kaphatjuk:
    “Unable to connect to Microsoft Online Services. You must be connected to the Internet to use the services.”
    Tehát aki az About fülön azt a verziót látja, hogy: 1.0.1423.65, mindenképpen frissítsen a legújabb változatra.

BPOS kérdések és válaszok

Kaptam pár kérdést a BPOS-el kapcsolatban az előadás után, amelyet megosztok veletek.

  • Sharepointban hogyan lehet visszaállítani dokumentumokat? 2010 onlineba benne lesz-e?

 30 napig lehet visszaállítani a dokumentumokat az Onlineban. Bővebben itt

BPOS lomtár Mappa
 

  • Spam szűrőnél be lehet-e állítani black-white listát? (sokszor spam-be érkezik egy levél) testreszabható-e?

Igen. A felügyeleti központban a szolgáltatás beállításai/Áttekintés/Új biztonságos feladó/Új blokkolt feladó –nál lehet beállítani, lehet egy címet és tartományt is:

BPOS biztonságos feladó

  •  
  • XP Home-on mért nem megy? ( a Microsoft Online )

Azért nem megy mert nincs az XP Home-ban Credential Manager.  Erről itt írtak.
 

  • Win7 verzió mindegyikén megy-e a Microsoft Online, Starteren megy-e?

 Starteren nem megy. Win7 home premium-on igen és Vista alatt is. 
„Support for Windows Vista Home Basic and Windows Vista Home Premium”

Bővebben erről ezen a linken van információ.

  • Activesyncnel melyik mobil tiltható le(elvesztésénél) lehet-e ilyan szolgáltatást megvásárolni?

 Azok a mobilok, amelyek képesek ezt kezelni. Nem az Exchange Online-tól függ. Az OWA-ban lehet letiltani:

BPOS OWA Mobile

  • Jelszóváltoztatás esetén OWA jelez-e? Miért nem kap email-t (a végfelhasználó) ?

Nem, nem jelez az OWA. A Sign In kliens jelez, 15 nappal előtte.

Itt egy megoldás a problémára, ha szeretnéd, hogy kapjon e-mailt a végfelhasználó. A Get-MsOnlineUser powershell parancsot használva lehet készíteni egy scriptet, ami ezt megoldja.

 

Ha még van kérdésetek küldjétek el akár a commentekben és megpróbálom megválaszolni.

Tartalom átvétel