Profile Manager online erreichbar machen

[thomas-w]

Hallo liebe Community,

nach tagelangen Versuchen und endloser Recherche und kontakt mit dem Apple Support habe ich es nicht zusammengebracht, einen Server aufzusetzen und den Profilmanager so einzurichten, dass die Geräte diesen aus dem Internet erreich können.

Derzeit sieht es so aus:
Netzwerk mit 172.*.*.* Adressen und einem Windows Server (DHCP, DNS und AD)
Firewall: 172.*.*.254
Windows-Server: 172.*.*.2
Mac OS X Server: 172.*.*.5

unsere interne AD Domain lautet (verändert ); DOM
Computername des OS X Servers: DOMSRV03
unsere externe Domain lautet (verändert ): xyz.at
Hier ist eine Subdomain domsrv03.xyz.at eingerichtet, die per DNS-Eintrag auf unsere feste externe IP verweist

Der Server ist mit dem Active Directory verbunden (Verzeichnisdienste), jedoch ist kein AD Benutzer darauf angemeldet (hatten wir aber auch schon probiert). Das Open Directory läuft und ich habe am Server (und im Profilmanager) alle AD Benutzer und Gruppen aufgelistet.
Hier funktioniert es nur nicht, Daten einzelner Benutzer zu ändern. Er will einen Directory-Admin. Hier funktioniert weder der Administrator des AD, noch der extra für das Open Directory angelegte diradmin. Dies ist jedoch eher das geringere Problem.

Alle lt. Apple für den Profilmanager notwendigen Ports sind auf der Firewall intern an die 172.*.*.5 weitergeleitet
Der Server läuft, die Dienste OpenDirectory und Profile Manager laufen, auch Websites läuft.
Der Server hat als Hostnamen DOMSRV03.xyz.at (mit DOMSRV03.DOM bzw. DOMSRV03.DOM.local hatten wir es ebenfalls schon probiert)
als computername hat der Server ebenfalls DOMSRV03.xyz.at (Auch hier haben wir verschiedene Probiert)
Der DNS am Windows Server ist so konfiguriert, dass er intern die DOMSRV03.xyz.at an die 172.*.*.5 umleitet. Auch der lokale Hostnamen ist eingetragen. D.h. sowohl interne IP und auch die Hostnamen können aufgelöst werden.
Intern scheinen auch alle Dienste zu funktionieren.

Der Server schreibt jetzt allerdings in der Übersicht folgendes:
Interne: erreichbar unter domsrv03.xyz.at, kein Dienst verfügbar.
Unter Profilmanager steht bei Status:
Verfügbar unter domsrv03.xyz.at/profilemanager

Wie schaffe ich es jetzt, dass der dienst Profilmanager erreichbar ist?

Der Apple Support ist hier auch etwas überfordert, möchte aber den DNS-Dienst am OS X Server aktivieren. Dies hatten wir ebenfalls schon probiert - ohne Ergebnis. Ich würde diesen gerne aus lassen. DNS soll weiter der Windows Server übernehmen. Zwei DNS Server möchte ich nicht im Netzwerk haben

ich hoffe ihr könnt mir hier weiterhelfen

Weitere Informationen kann ich gerne bereitstellen.

 

[thomas-w]

Hat echt niemand eine Ahnung, warum zwar mein Server aber kein einziger Dienst online erreichbar ist?

habe es ebenfalls mit dem Wiki-Dienst probiert. Die Ports freigeschaltet etc. ebenfalls erfolglos...

 

[u0679]

Hallo und herzlich Willkommen bei Apfeltalk. .

kannst Du den Server denn von außerhalb überhaupt irgendwie ansprechen? Über IP und/oder DNS?
Ist der Profile Dienst mit seiner Webseite denn im Intranet erreichbar?

 

[thomas-w]

Der Server ist über eine Subdomain (bsp domsrv03.xyz.at) erreichbar. Diese ist via DNS Eintrag auf unsere externe IP umgeleitet.

Unsere Firewall hat folgende Weiterleitungen an die interne IP des Servers (172.*.*.5):
2195, 2196, 5223, 80, 443, 1640, 8085, 8086, 8087

Wobei bis auf die letzten beiden alle für den Profile Manager sind, die letzten beiden für den Wiki-Dienst.

die Seite domsrv03.xyz.at/mydevices bzw. domsrv03.xyz.at/profilemanager funktionieren jedoch von extern nicht.

Der Server schreibt, dass er aus dem Internet erreichbar ist, jedoch kein Dienst verfügbar ist.
Die Dienste laufen und sind intern verfügbar

 

[u0679]

Kann das an der Umleitung mit den Subdomains liegen? Habt ihr mal testweise die eigentliche Domäne genommen?

 

[thomas-w]

An und für sich sollte mit der Umleitung der Subdomain alles in Ordnung sein.

Diese wird von extern auch mit der richtigen Adresse aufgelöst. ISt ein A_Name Eintrag direkt beim Provider.

Habe die Übersicht vom Server einmal angehängt

Eine Umstellung der DNS-Einträge der Hauptdomain kann ich leider nicht machen, da diese komplett für unseren Internet-Auftritt und auch noch andere Dienste konfiguriert ist.

 

[u0679]

Was sagt er denn auf dem Screenshot unter "Details zur Erreichbarkeit"?

Edit: ganz simple Sachen wie Serverneustart und Dienste aus/wieder an habt ihr schon gemacht?

 

[thomas-w]

Hier wird auch die richtige externe Adresse erkannt

 

[u0679]

Das ist speziell....

Google spuckte das hier eben noch aus.: https://support.apple.com/de-de/HT202285

Ansonsten weiß ich leider auch nicht mehr weiter.

 

[thomas-w]

Ich habe mich schon zu Tode gegoogelt. Ich denke das das Problem nicht an der Verbindung zum AD liegen kann, da dies ja nicht zur Erreichbarkeit beiträgt.

Der Server ist im internen Netz erreichbar. Auch der Profilmanager und das WIKI funktionieren intern. Auch wird die externe Adresse korrekt aufgelöst und die Ports sind alle weitergeleitet. Ich denke, dass der Server diese Dienst anscheinend irgendwie nicht online bereitstellen will.

Unter Zugriff ist der Standardbenutzerzugriff auf "alle Benutzer" und der Standard-Netzwerkzugrif auf "Alle Netzwerke" eingestellt. Ein Angepasster Zugriff wäre ja nur für Dienste notwendig, die von dieser Konfiguration abweichen. Hier sind nur folgende Dienste eingetragen: Bildschirmfreigabe, Caching, FTP und SSH

Seltsam finde ich die Differenz bei der Anzeige des Status bei Websites und bei Profilmanager

Bei Websites steht, dass diese nur im lokalen Netzwerk verfügbar sind
bei Profilmanager steht, dass diese unter der Adresse "domsrv03.xyz.at" verfügbar sind. Trotzdem sind laut Serverstatus keine Dienste im Internet verfügbar.
Habe diese zwei Seiten noch angefügt

 

[thomas-w]

Endlich haben wir es geschafft, dass die Server-Dienste (inklusive dem Profile Manager) von extern erreichbar sind - dürfte doch noch an der Firewall gelegen haben

Ich musste, um Open Directory aktivieren zu können, den Hostnamen DOMSRV03.xyz.at über den Windows DNS-Server auf die interne IP 172.*.*.5 des OS X Servers umleiten, sowie auch dir Reverse Loopup Zone eintragen, da er sonst nicht wollte.

Nun läuft der Profile Manager und ich wollte mit dem Apple Configurator ein betreutes Gerät hinzufügen:

Der Profile Manager zeigt alle AD Benutzer an
Habe eine neue Gerätegruppe erstellt, welche auf iOS Devices einen Passcode vorraussetzt sowie Siri deaktiviert
Zusätzlich habe ich bei einem Benutzer, von dem ich das Kennwort kenne, einsgestellt, dass die Kamera deaktiviert ist
Weiters habe ich einen Platzhalter für ein Gerät mit der IMEI angelegt, welchen ich zu der Gruppe und zu dem Benutzer hinzugefügt habe.
Das Trust- sowie das Registrierungsprofil habe ich ebenfalls schon heruntergeladen.

Im Configurator habe ich nun das Unternehmen und den MDM-Server angelegt
Beim anlegen des Servers kommt eine kleine Meldung, dass die URL ungültig sei (domsrv03.xyz.at) - anlegen funktioniert jedoch trotzdem.

Nach dem vorbereiten des Gerätes soll ich mich auf dem Server autentifizieren, dies klappt jedoch nicht. Weder mit dem Benutzer des Gerätes, noch mit meinem Benutzer, noch mit dem Administrator.
Die Ladeanzeige verschwindet nach kurzer Zeit wieder und das Gerät bleibt bei der Loginmaske...

Edit:
Das hinzufügen von Geräten über mydevices (nicht betreute Geräte) funktioniert problemlos. diese kann ich komplett verwalten - auch online pusht er Änderungen sofort auf das Gerät

 

[bechti]

Hallo zusammen,
stehe jetzt auch vor diesem Problem.

Was genau meinst du mit "dürfte doch noch an der Firewall gelegen haben"
DNS Eintrag ist gesetzt und die Reverse-Lookupzone ist eingeragen.

intern funktioniert auch alles perfekt
-Geräte können hinzugefügt werden, sperren aktualieseren usw

Gruß Alex

 

[Marcel Bresink]

DNS Eintrag ist gesetzt und die Reverse-Lookupzone ist eingeragen.

Wirklich in einem offiziellen DNS-Server des Internets, z.B. beim Provider oder Hosting-Anbieter?

 

[bechti]

- ja ein nslookup auf die externe ip zeigt mir meinen MAC Server
- checke noch die Firewall ab ob da soweit alles passt
- zeigt mir aber auch nicht den öffentlichen Hostnamen

 

[bechti]

Nach dem ich jetzt die Firewall angepasst habe
-> wird untere Verfügbare Dienste Profilmanager angezeigt

ein Test das Gerät zu sperren usw. funktioniert leider noch nicht

 

[bechti]

Danke für den Hinweis Marcel.

DNS Eintrag bei unserem Provider war gesetzt.

Die Meldung "Der Hostname dieses Servers (Anhang letzter Eintrag)" -> bei unserem Webhoster waren alte Einträge vom Mail Exchange fürs OWA hinterlegt der nicht mehr genutzt wurde.
Diese alle gelöscht und siehe da der öffentliche Hostnamen wird angezeigt.

Jetzt macht der Profilmanager das was er soll !!!