Там же прямо в ответе мануал как разные серты сделать

Configuration Manager news: OSD Video Tutorial: Part 9 – Standalone USMT https://blogs.technet.microsoft.com/configurationmgr/2018/07/27/osd-video-tutorial-part-9-standalone-usmt/ Azure AD Activity Logs in Azure Monitor Diagnostics now in public preview https://cloudblogs.microsoft.com/enterprisemobility/2018/07/26/azure-ad-activity-logs-in-azure-monitor-diagnostics-now-in-public-preview/ How to get started with Conditional Access – Enable MFA on O365 web access https://osddeployment.dk/2018/07/26/how-to-get-started-with-conditional-access-enable-mfa-on-o365-web-access/ Happy System Admin Day https://www.anoopcnair.com/happy-system-admin-day/

Ну вайлдкардовые серты зло

wc там и не нужен, любой подойдёт, этож сертификат клиента, главное чтобы mp доверял

Лучше сгенерить отдельные руки не отвалятся

руками устану 100+ сертов запрашивать

ОК, если один и тот жде - он на кого выписан?

Там же прямо в ответе мануал как разные серты сделать

ну это они только половину работы показали

ОК, если один и тот жде - он на кого выписан?

да хоть на кого

ну и справедливо ругается, какого хера разные субъекты по одному паспорту?

тут даже fqdn совсем не верный, у DP домен другой

Ну то есть мы делаем неправильный серт а потом обижаемся :)

ну т.е. если я буду генерить серты fake1.labl.local / fake2.lab.local они будут правильные? :)

он ругается то не на непраивльность

самому DP этот серт не нужен

ну блин, еси одинаковый на клиентов - будет Duplicate GUID, тоже проблемы

Где написано что так можно?

так они и так будут на клиентов одинакоые

??? с какого?

Разный subject name, разный отпечаток

для авторизации дпшки на мп

Если fqdn dp будет Dp1.contora.ru А я выпишу серт на FakeDp.lab.local Примет ли mp этот серт?

моя неправда, мы его не проверяем особо

Должно работать да

для авторизации дпшки на мп

угу + pxe cleint получит этот серт для подключения к https-only MP. так?

да

When you check the Enable PXE support for clients box on the PXE Settings page, the certificate is sent to computers that perform a PXE boot so that they can connect to a management point during the deployment of the operating system.

ну и да, именно поэтому пофиг на имя и не проверяется

так а в чем беда там изначально?

стало быть на клиентах он один,

так они и так будут на клиентов одинакоые

??? с какого?

беда в том что командлетом Add-CMDistributionPoint - нельзя назначить сертификат на DP а руками можно

Да, именно для PXE-boot, я имел ввиду обычные client cert где нужны валидные

а ну это конечно...

надо посмотреть мож какой баг есть

ну тут явно не доделали, даже по работе команлета видно в вербоузе PS M02:\> Set-CMDistributionPoint -SiteSystemServerName $ComputerName -CertificatePath $CertificatePath -CertificatePassword $CertificatePassword -SiteCode $SiteCode.Name WARNING: The certificate you specified is already in use. Are you sure you want to use this certificate? Set-CMDistributionPoint : Validation of input parameters failed. Cannot continue. At line:1 char:1 + Set-CMDistributionPoint -SiteSystemServerName $ComputerName -Certific ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidArgument: (Microsoft.Confi...ionPointCommand:SetDistributionPointCommand) [Set-CMDistributionPoint], InvalidOperationException + FullyQualifiedErrorId : ValidationFailed,Microsoft.ConfigurationManagement.Cmdlets.HS.Commands.SetDistributionPointCommand

я полез на технет, а там пишут - мол нельзя, вот я и спрашивал, почему это нельзя, когда можно :)

да, именно для этого сценария, согласен, тут фэйк-серт, не задумывался раньше даже

мне почему нужен 1 серт на кучу ДП потому что будут ещё стендалон и бут онли медиа и будут эти флешки гулять между разными DP

как бы небыло потом проблем с этими медиа

я уже думаю может откатится с https-only на http+https

ща

чот есть такое

баг пофикшен в 1806

When configuring a Distribution Point with the PowerShell cmdlet Set-CMDistributionPoint with the the parameters -CertificatePath C:\temp\DPCert.pfx -CertificatePassword $SecurePassword it would work as long the certificate is not already in use. If done withing the console you'd be warned, but still able to continue. As documented it is not required to have a unique Cert per DP. https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements When doing it with the cmdlet, the command fails with:

дальше ошибка такая же

блин, странно он выглядит этот баг, вообщем надо проверять либо уже норм в 1806 либо на него забили

When configuring a Distribution Point with the PowerShell cmdlet Set-CMDistributionPoint with the the parameters -CertificatePath C:\temp\DPCert.pfx -CertificatePassword $SecurePassword it would work as long the certificate is not already in use. If done withing the console you'd be warned, but still able to continue. As documented it is not required to have a unique Cert per DP. https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements When doing it with the cmdlet, the command fails with:

О это хорошая новость, спасибо!

Всегда пожалуйста, @skorotkov

еще одной фичи не хватает мне в этом кейсе это Rate Limit и Schedule не задать командлетом... пока задаю через wmi Но не хватает, как с апликешнами, выбора - время по UTC либо по локальному времени DP.

коллеги, проголосуйте кому не сложно https://configurationmanager.uservoice.com/forums/300492-ideas/suggestions/8545090--schedule-and-rate-limits-consider-remote-time

коллеги, проголосуйте кому не сложно https://configurationmanager.uservoice.com/forums/300492-ideas/suggestions/8545090--schedule-and-rate-limits-consider-remote-time

+

@combot /help

/stat@combot

ERROR: S client not available

потеснил Пашу с пьедестала :)

пока Антон не видит :)

done

Андреевка

коллеги, проголосуйте кому не сложно https://configurationmanager.uservoice.com/forums/300492-ideas/suggestions/8545090--schedule-and-rate-limits-consider-remote-time

+

+

коллеги, проголосуйте кому не сложно https://configurationmanager.uservoice.com/forums/300492-ideas/suggestions/8545090--schedule-and-rate-limits-consider-remote-time

+

WHOA

Астрологи объявили неделю повышения репутации

?

?

+

Вот как это работает

Вот как это работает

+5

Вот как это работает

+

Вот как это работает

++

Вот как это работает

+

Research complete

? Connecting... ? login: Optimus Prime ? password: ************d| Initializing... ? ✅ Access Allowed Добро пожаловать на канал @ConfigMgr Все правила у бота @SystemCenter_Bot ➡Подписываемся - @MicrosoftRus Группа SCCM User Group Russia на Facebook Страница на Facebook ITpro RU Telegram группы: - ConfigMgrEN: English speakers only - SCOM: Operations Manager - IT Talks: разговоры об IT - IT Flood: флуд, конкурсы. Правил нет, будьте осторожны. ?Подписываемся.

Вот как это работает

-

-

+

+-+-+-+-+-+-

хочу репутации

могу недорого поднять

сколько заплатишь?

не так вопрос поставлен