Business Active Backup for Business --> Agent stellt Dienst wegen geändertem Zertifikat ein.

story

Benutzer
Mitglied seit
09. Jun 2020
Beiträge
1
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich nutze Active Backup for Business und habe ein Zertifikat auf meiner Diskstation von Lets Encrypt zertifiziert. Dies funktioniert auch wunderbar wenn ich die Adresse meiner Diskstation in Browser eingebe.

Seit einigen Monaten nutze ich nun den Active Backup for Business Agent auf 3 Clients. Jedesmal wenn sich nun das Zertifikat erneut, stellen die Agents auf den Clients den Dienst ein weil sie das Zertifikat für unsicher halten weil es sich geändert hat. Ich muss dann immer in jedem Agent erst wieder sagen das er dem Zertifikat vertrauen kann und dann funktioniert es wieder bis sich das Zertifikat erneuert.

Dazu muss ich sagen ich habe nicht die öffentliche Adresse in den Agent eingegeben (z.B. xxxxxxx.synology.me bei der das Zertifikat funktioniert) sondern den Hostname oder auch schon die LAN IP der Diskstation. Da die Internet Leitung Performance mäßig einfach zu schwach für so viele Backup Daten.

Ich habe es auch schon versucht mit einem selbst zertifizierten Zertifikat das ich auf den Hostnamen ausgestellt habe. Und als Dienst den Actrive Backup zugewiesen.

Funktioniert leider alles nicht und so langsam gehen mir die Ideen aus.

Weiß hier jemand die Lösung?
Kann man den Active Backup etwa nur über die öffentliche Adresse verwenden?
Wie sichert man dann PCs die Offline sind mit dem Agent?

Vielen Dank jetzt schon für euere Hilfe.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ein Zertifikat beglaubigt lediglich den FQDN ("host.domain.tld") und "nichts" anderes (weder IP-Adressen, noch interne Namen). Spricht man das ganze über den regulären FQDN an, welcher im Zertifikat angegeben wurde, wird neuen Zertifikaten auch automatisch vertraut (nicht, weil dem Zertifikat vertraut wird, sondern der darüberstehenden Zertifizierungsstelle).

Nimmt man nun selbstsignierte Zertifikate, werden diesen erstmal nicht vertraut (das muss man normalerweise händisch anstossen). Selbiges gilt dann auch für ein FQDN-LE-Zertifikat, wenn man den Host rein "intern" anspricht (ohne passende interne DNS-Records):

Interner Name wird angesprochen, FQDN-LE-Zertifikat wird angezeigt, passt nicht zum Namen, somit "unsicher" -> muss man manuell bestätigen. Das mag dann eine Weile halten, weil man gesagt hat: "Jou, ist ok, merk Dir das und jut ist", sicher. Allerdings nur genau SO lange, bis das Zertifikat erneuert wird, denn dann ist es ein "anderes" Zertifikat und muss wieder händisch bestätigt werden.

Alternativ nimmt man ein selbstgebasteltes mit einer entsprechend langen Laufzeit (1 Jahr oder länger), damit man sich das ständige bestätigen erspart.
 

derek

Benutzer
Mitglied seit
14. Aug 2011
Beiträge
37
Punkte für Reaktionen
4
Punkte
8
Hi,

ich nutze und kenne Active Backup for Business nicht, aber evtl. wäre das ein Ansatz:
Sind es Windows Clients?
Benötigen diese Zugriff auf xxxxxxx.synology.me, weil diese evtl. auch außerhalb des LANs verwendet werden und auf Dienste die unter xxxxxxx.synology.me laufen zugreifen?
Wenn nein, dann wäre evtl. es für euch eine Möglichkeit in der hosts Datei (https://de.wikipedia.org/wiki/Hosts_(Datei)) dafür einen Eintrag anzulegen und xxxxxxx.synology.me auf die interne IP des NAS einzustellen.

VG
Derek
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Passiert hier leider auch.
10 WIN Arbeitsstationen und 3 Server.
Immer mal wieder Vertrauen und wenn man es übersieht, wird ohne Warnung nicht mehr gesichert......
Kann es echt nicht sein.
 

niklas

Benutzer
Mitglied seit
10. Mrz 2015
Beiträge
260
Punkte für Reaktionen
43
Punkte
34
Warum nehmt ihr für das Active Backup nicht das Zertifikat von Synology?
Wenn das eh nur im internen Netz verwendet wird, und es ist bis 2037 gültig.

Grüße
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
@blurrrr

Nutze kein Active Backup, aber bei mir wars genau das gleiche Thema mit Drive (oder wie das damals auch hieß) und ich hatte von extern mit Domainnamen gesichert. Alle drei Monate nach einem Zertifikatswechsel stiegen mir alle PCs aus und ich musste zu jedem hingehen und das gültige Zertifikat bestätigen und den Sync wieder starten. War mir auf Dauer dann aber auch zu dumm.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@SoniX : Die LE-Zertifikate? Denen sollte doch sowieso automatisch vertraut werden, wenn der Host korrekt angesprochen wird (lt. Hostname/Alt-Name im Zertifikat)?
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Das schon, aber am Anfang haben sie entweder noch den Hash oder was anderes mit kontrolliert, dass der zyklische Wechsel auch moniert / bestätigt werden musste.
Das hatte ich jetzt aber schon ne ganze Weile nicht mehr. Kann mich jedenfalls nicht erinnern, dass ich 2020 jemals was an der Drive Verbindung ändern musste.
 

SoniX

Benutzer
Mitglied seit
14. Okt 2010
Beiträge
772
Punkte für Reaktionen
58
Punkte
48
Gibts hier schon eine Lösung?

Inzwischen nutze ich auch Active Backup. Natürlich intern und habe keine Lust dass extern freizugeben. Das Zertifikat läuft aber klarerweise auf die Domain und nicht auf die IP. Und alle drei Monate stellen dann alle Clienten einfach still und heimlich das Backup ein.

Das muss man doch lösen können!?

Zumindest eine Fehlermeldung wenn der Client nicht sichert weil etwas nicht passt?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Das gleiche passiert übrigens auch bei der App DS FILE. Fehlermeldung: Ist ungültig da selbstsigniert oder kompromittiert.
Nach kostenpflichtiger Verlängerung des Zertifikats musste DS FILE überall deinstalliert werden und nach der Neuinstallation lief es wieder.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Geil... da simma wieder... Premium-Produkt und so... Schön, dass man bei Firmen einfach eine MDM nutzen kann, App runterschmeissen und wieder installieren, was aber vermutlich nicht dabei helfen wird, dass die gespeicherten Userdaten wieder weg sind und man mitunter noch zig Anrufe bekommt, weil die User ihre Zugangsdaten nicht mehr kennen? Verhalten sich schon wie Microsoft, sorgen auch immer für Arbeitsbeschaffungsmaßnahmen damit den Admins nicht langweilig wird ?
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.235
Punkte für Reaktionen
324
Punkte
109
Ist nur eine abgewandelte Form von "Wer schreibt der bleibt" . :)
 
  • Haha
Reaktionen: blurrrr

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Bei uns war es heute auch wieder so weit. 10 PCs und 3 Server wurden nicht mehr gesichert, da angeblich das Zertifikat geändert hat.
Also an 13 Orten das Zertifikat VOR Ort neu bestätigen und alles wieder gut bis zum nächsten Mal.
Kann es eigentlich nicht sein dass das alle paar Wochen gemacht werden muss und man es vor Allem nicht einmal merkt, da keinerlei Fehlermeldung.
Wenigsten weiss ich jetzt dass kein Benutzer im Corona Zwangs Urlaub ist :rolleyes:
 

zweibein

Benutzer
Mitglied seit
28. Jan 2014
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Warum nehmt ihr für das Active Backup nicht das Zertifikat von Synology?
Wenn das eh nur im internen Netz verwendet wird, und es ist bis 2037 gültig.
Geht das denn irgendwie, dass man mehrere Zertifikate benutzt - eine für den Zugriff von aussen über den eigenen Domainnamen und ein Synology-Zertifikat für den internen Zugriff?
 

Heidi

Benutzer
Mitglied seit
05. Aug 2019
Beiträge
300
Punkte für Reaktionen
51
Punkte
34
NICE. nette Idee. @zweibein ja das geht. Habe ich selbst zwar noch nie versucht, werde ich aber hiermit mal machen (und in 3 Monaten sehen wir weiter :cool:)

Geh in der Systemsteuerung auf Sicherheit - Zertifikat. Dort auf Konfigurieren, da kannst du den einzelnen APPs die unterschiedlichen Zertifikate zuweisen:
1615796747244.png
 

zweibein

Benutzer
Mitglied seit
28. Jan 2014
Beiträge
16
Punkte für Reaktionen
0
Punkte
1
Ja genau das habe ich gestern auch geschafft, aber wir sehen wohl erst in paar Monaten, ob Active Backup wirklich das selbst signierte Zertifikat für die lokale Adresse genommen hat... bin noch nicht sicher, ob ich richtig erstellt habe, da ja die lokale Adresse eigentlich keine Domain-Adresse ist (hier habe ich nur den NAS-Namen (ohne private domain-Endung) angegeben. Die Zertifikate machen mich noch wahnsinnig...
 

Graydens251084

Benutzer
Mitglied seit
27. Aug 2020
Beiträge
23
Punkte für Reaktionen
2
Punkte
3
Hi Leute

Wenn ich das jetzt richtig verfolgt habe, versuchen wir unter Konfigurieren bei "Active Backup for Business" das normale synology.com Zertifikat einzustellen?

Wie habt ihr bei euren Geräten eigentlich die IP eingegeben > lokale IP oder DDNS?

lg Gray
 

Catwiesel71

Benutzer
Mitglied seit
31. Mrz 2021
Beiträge
4
Punkte für Reaktionen
1
Punkte
3
warum richtet ihr dann nicht Split-DNS ein. Einfach eine neue Domain im DNS anlegen und die nötigen Einträge anlegen, alle anderen davon dann raus ins Internet. Funktioniert einwandfrei. Dann einfach die offiziell Adresse im Client verwenden und gut ist, selbst nach einer Erneuerung des Zertifikates funktioniert es. Selbst nutze ich das schon lange und läuft einwandfrei.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat