Профили роуминга в 2008 сервер
Мы обрабатываем HA LDAPS на Novell eDirectory, но проблема подобна. Нам удалось решить проблему с подчиненными альтернативными названиями на сертификатах. Подчиненными альтернативными названиями являются, просто, альтернативные Предметы, можно поставить сертификат, чтобы дать ему больше чем одно имя. Это - то, как Вы можете (в теории), имеют единственный сертификат, который действителен для pop3.organisation.org, imap.organisation.org и webmail.organisation.org. Они являются довольно новыми, но не столь новыми как Расширенные сертификаты Проверки.
Большинство современных клиентов LDAP достаточно умно для обработки SAN правильно. Кроме того, мы управляем центром сертификации, который чеканил сертификаты, настолько добирающийся SAN прост для нас. Это не настолько просто, если Вы собираетесь закончить тем, что платили за сертификат, CA быть бы Вы покупать несколько сертификатов. К сожалению для большого количества людей некоторые пакеты программного обеспечения могут только загрузить один сертификат. Это - то, где SAN вошел.
Мы используем аппаратную подсистему балансировки нагрузки (F5 BiP) и три сервера LDAPS. Когда мы сначала настраиваем его, мы создали сертификаты только с сетевым названием IP/DNS подсистемы балансировки нагрузки. Клиенты, соединяющиеся непосредственно с серверами LDAP, получили ошибки сертификата, которые оказались стимулом заставить людей использовать IP-адрес подсистемы балансировки нагрузки как, они должны были делать все время.
Мы с тех пор переместились в использование подчиненных альтернативных названий, поскольку оно имело некоторые отрицательные побочные эффекты с программным обеспечением Novell, работающим на тех серверах. Но мы действительно получали его работающий без SAN некоторое время. Каждый сертификат имеет три имени на нем:
- IP-адрес IP подсистемы балансировки нагрузки
- Название DNS IP подсистемы балансировки нагрузки
- Название DNS прямого хоста
Это действительно выставляет имя хоста бэкенда тем, кто шпионит, но мы не считаем это уязвимостью. Другие могли бы.
Это - то, что мы делаем, и это работает на нас.
Существует огромное количество причин, почему Вы могли бы получить "Временный Профиль" ошибка, но большинство из них сводится к "клиенту, не может достигнуть пути профиля".
Если Вы уверены, что учетная запись Active Directory, которую Вы используете, имеет Полный контроль над удаленным каталогом профиля (и в NTFS ACLs и в соответствующих полномочиях сетевого ресурса), то единственная вещь, оставленная сделать, состоит в том, чтобы диагностировать сетевое соединение. Я буду держать пари, что существует подробное руководство для такого поиска и устранения неисправностей в другом месте на ServerFault.