locked
MDOP MBAM - Erweitertes Logging/Debugging auf dem Client (0x803d0006) RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,

    wir haben seit einiger Zeit bei uns eine MBAM Instanz laufen und hatten damit eigentlich auch weiter keine Probleme. Die Umgebung wurde bei uns von einem MS Consultant aufgebaut.

    Jetzt haben wir seit kurzem das Problem, dass Systeme die sich an anderen Standorten (vollständiges Routing / gleiche Domäne / Anbindung per MPLS / nicht ausgelastet) nicht verschlüsseln. Die Systeme bekommen per GPO den MBAM Agent installiert, bekommen scheinbar die Richtlinien angewendet, tauchen dann aber nicht in der MBAM Weboberfläche auf und beginnen auch nicht mit der Verschlüsselung.

    Im MBAM/Admin Eventlog auf den Client Maschinen tauchen folgende Meldungen auf:

    Unable to connect to the MBAM Recovery and Hardware service.
    Error code: 0x803d0006 
    Details: Der Vorgang wurde nicht innerhalb der vorgesehenen Zeit abgeschlossen.
    An error occurred while sending encryption status data.
    Error code: 0x803d0006 
    Details: Der Vorgang wurde nicht innerhalb der vorgesehenen Zeit abgeschlossen.

    Im MBAM/Operational Log hingegen tauchen auch folgende Meldungen auf:

    The MBAM policies were applied sucessfully. Volume ID:\\?\Volume{a7d9a5fa-d3f4-11e2-8eb0-806e6f6e6963}\

    Der Zugriff erfolgt per SSL und funktioniert am Standort (an dem der MBAM Server) steht auch reibungslos. Der Aufruf der Webseiten vom Client im Remote STandort funktioniert ebenfalls, nslookup, ping und Co. auch. Das Zertifikat ist (lt. IE) vertrauenswürdig.

    Im IIS Log des Webservers tauchen keine Anfragen aus den Remotestandorten auf.

    Gibt es eine Möglichkeit das Logging auf dem Client zu erweitern um sich mehr Details anzeigen zu lassen?

    Freitag, 13. September 2013 06:59

Alle Antworten

  • Ich habe das Problem mittlerweile weiter eingrenzen können. Für MBAM wird ein öffentliches SSL Zertifikat genutzt, da wir zahlreiche verschiedene Domänen haben aus denen ein Nutzer kommen kann und somit sichergestellt sein sollte das alle die Seiten als Vertrauenswürdig einstufen.

    Die Konsequenz daraus ist aber, dass der MBAMAgent eine Anfrage (OCSP) stellt um die Gültigkeit der Zertifikate zu überprüfen.

    In einem Teil der Domäne wird ein fester Proxyserver im IE eingetragen. Dort funktioniert der Zugriff auf die Webseiten bzw. die Verbindung des MBAMAgents zum Server.

    In einem anderen Teil der Domäne wird nur ein Proxyconfig Script hinterlegt. Dies reicht MBAM scheinbar nicht aus um die Verbindungen Richtung Internet über den Proxy zu schicken.

    Wenn der Proxy im IE fest konfiguriert wird und danach per netsh winhttp import proxy source=ie die Einstellungen übernommen werden funktioniert der MBAM Zugriff auf den MBAM Server reibungslos.

    Mittwoch, 18. September 2013 11:56