[10.8 Mountain Lion] Mountain Lion Server

[micha1974]

Hallo,

ich habe mir zum spielen mal einen Mountain Lion mit der Server App auf einem MacBook Pro aufgesetzt und als Client habe ich einen MacBook Air. Der Server läuft eigentlich realtiv gut nur wundere ich mich über die Push Zeiten von Benutzer Einstellungen.

Kann es sein, dass der Push und die Umsetzung sehr lange > 1 Stunde dauern können ? Wenn ja kann man denn Push schneller absetzen ?

Muss ich jedem Benutzer ein Gerät zuweisen oder gibt es auch die Möglichkeit Benutzer ohne Geräte Zuordnung zu pushen.

Ich möchte gerne ein Mac installieren auf dem sich mehrer Leute anmelden können und die Einstellungen gepusht werden.

Hoffe mal das mir jemand ne Antwort zu meinen Fragen hat

Danke und Gruß
Michael

 

[Marcel Bresink]

Meinst Du das Pushen von geänderten Einstellungen des Profil-Managers?

Der Push findet normalerweise sofort statt, sobald die jeweilige "Zielpartei" (also Benutzer, Gruppe oder Gerät) online ist. Es kann allerdings schon mal vorkommen, dass Pushes "ewig" in der Anzeige "Aktive Vorgänge" hängen. Das sind die üblichen Kinderkrankheiten von Apples Software ...

Falls dies immer passieren sollte, wäre dies allerdings ein Konfigurationsfehler. Möglicherweise kann Apple's Push-Zertfikatserver Deinen Server nicht vom Internet aus erreichen, weil Ports gesperrt oder nicht weitergeleitet sind.

Einstellungen für Benutzer sind unabhängig von den Einstellungen für Geräte. Es ist also nicht nötig, dass ein Benutzer ein Gerät fest "besitzt". In professionellen Netzen ist es ja gerade gewünscht, dass Benutzer frei zwischen den Geräten "roamen" können.

 

[micha1974]

Ja genau das pushen von geänderten Einstellungen.

Ich habe auf der Fritzbox laut Doku die folgenden Ports freigegeben und einen DynDns eintrag gemacht

2195, 2196 TCP Used by Profile Manager to send push notifications
5223 TCP Used to maintain a persistent connection to APNs and receive push notifications
80/443 TCP Provides access to the web interface for Profile Manager admin
1640 TCP Enrollment access to the Certificate Authority,

Habe ich noch einen Port vergessen ?

Wird die Regel vom Benutzer beim Anmelden gezogen oder auch wenn er schon ne weile angemeldet ist ?

Danke und Gruß
Michael

 

[Marcel Bresink]

Die ersten drei Ports sind die richtigen. Die weiteren drei sind auch richtig, werden aber nur gebraucht, wenn auch vom Internet aus die Profil-Verwaltung und die Anmeldung eines neuen Geräts möglich sein soll.

Normalerweise werden Benutzereinstellungen beim nächsten Anmelden wirksam. Ich nehme an, es geht um einen "Netzwerk-Benutzer" mit Open Directory-Account?

 

[Marcel Bresink]

Wie ich gerade durch Zufall im Systemprotokoll gesehen haben, scheint es tatsächlich auch "zwischendurch" zu unvorhersagbaren Zeitpunkten Pushes von Benutzereinstellungen zu geben. Die entsprechende Meldung ist

"mdmclient[PID]: [Agent:UID] Processing server request: ProfileList for: <User: UID>"

 

[micha1974]

Hallo Marcel,

ich habe den Server jetzt noch mal auf einem neu installierten MAC mini mit Mountain Lion installiert.
Als Hostname habe ich diese mal einen anderen gewählt da ich die Installation bei einem Freund gemacht habe.
Die Ports habe ich auf seiner Fritzbox eingerichtet und die Zertifikate erstellt bzw. das Push Zertifikat angefordert.

Wenn ich jetzt bei einem Benutzer eine Änderung durchführe wird kein "Aktivität" angestossen
Kann es sein, das das Push Zertifikat erst nach einem Tag oder so funktioniert oder was kann hier der Grund sein ?

Gruß
Michael

 

[micha1974]

Hallo Marcel,

ein kleines Update und noch ne Frage
Der Push funktioniert jetzt nachdem ich mich mit einem Rechner / User an der Directory angemeldet habe und die Zertifikate installiert hab.
Kann es sein, dass der Push erst funktioniert nach der Installation der Zertifikate ?

Danke und Gruß
Michael

 

[Marcel Bresink]

Es ist eine ganze Reihe von Zertifikaten an diesem Prozess beteiligt. Es ist nicht ganz klar, welche der vielen Zertifikate Du meinst.

Selbstverständlich nehmen nur solche Geräte überhaupt am Profil-Management teil, die über signierte Zertifikate dem Verwaltungsserver vertrauen. Dazu muss üblicherweise erst das Vertrauensprofil für Zertifikate der jeweiligen Open Directory-Domäne und danach das Profil für "Entfernte Verwaltung" auf dem Client aktiviert werden.

Es reicht, wenn ein lokaler Administrator des jeweiligen Gerätes dieses Gerät im Profil-Manager registriert und dann die beiden Profile entgegennimmt.

 

[micha1974]

Hallo Marcel,

die Geräte ziehen sich die Profile ohne Probleme.

Der User auf dem einen Rechner auch, sollte der gleiche User auf einem anderen Rechner nicht auch sein Profil ziehen ? -> genau das macht er aber nicht.
Hast Du mir nen Tip funktioniert das bei Dir ?

Gruß
Michael

 

[Cruzer]

Hallo
Also ich habe auch das Problem das Push's vom ProfilManager im lokalen Netz funktionieren, doch sobald das iOS Gerät ausserhalb ist (3G) bleibt der Push unter "Active Anweisungen" stehen.

Ich habe bei mir auf dem Router auch mal die TCP-Ports: 2195, 2196 und 5223 geöffnet mit einem Forward auf mein MacMini Server.

Wie gesagt ich habe mal auf dem Server einen Push "LOCK" auf mein iPhone dass sich ausserhalb befinden gestartet, doch leider passiert nichts. Kann man vielleicht irgendwie prüfen ob der Server mein iPhone überhaupt als "Online" erkannt?

Die Anmeldung der iOS Geräte im ProfilManager hat mit meiner lokalen Domain (server.domain.private) wunderbar geklappt und somit sollte das Zertifikat von Apple für meine Domain eigentlich passen.

Vielleicht hat hier noch jemand einen Tip wo der Fehler liegen könnte.

Vielen Dank

Gruss

 

[Marcel Bresink]

Die Anmeldung der iOS Geräte im ProfilManager hat mit meiner lokalen Domain (server.domain.private) wunderbar geklappt und somit sollte das Zertifikat von Apple für meine Domain eigentlich passen.

Ja, aber da es sich um eine private Domain handelt, die vom Internet aus gar nicht erreichbar ist, kann die ganze Sache vom Internet aus nicht funktionieren.