Hallo zusammen,

ich hoffe hier auf etwas Schwarmintelligenz, da wir gerade nicht weiter kommen.

Ziel ist es einen MacMini mit der ServerApp zum MDM und zur Konfiguration zu verwenden. Im Test mit Sierra in einer VM klappte das hervorragend. Nun wollten wir live gehen, jetzt ist ja HighSierra aktuell. Also hat mir der Chef einen Mini hingestellt.

1. DomainJoin in die AD
2. Einrichten der Dienste

Jedoch können sich User nicht auf die Seite des ProfileManagers einloggen.
In der Serverapp fehlt bei den Usern der Haken "Benutzer kann: Sich anmelden".
Beim alten Sierra Server ist bei allen Usern dieser Haken vorhanden, von Anfang an.

Will man den Haken setzen, bekommt man ein RollDown Windows mit der Aufforderung ein Passwort für den User zu vergeben. Das funktioniert zum einen nicht (Fehlermeldung), zum anderen kann man das ja nun nicht für 300 User machen...

Hat hier jemand eine Ahnung was da schief gelaufen sein könnte?

Vielen Dank und viele Grüße

So sieht es auf dem Sierra Server aus, auf dem High Sierra fehlt bei jedem User dieser Haken.

Das heißt, dass eure 300 User BYOM machen und sich zum Enrollen selbst an dem MDM anmelden sollen. Richtig soweit?

Wie habt ihr den AD Join gemacht?
Was ist das für eine AD? AD 2008 oder 2012 oder noch mal anders?
Können sich User am Server anmelden, zum Beispiel über Dateifreigaben?
(Ich teste das auch gern mal im Terminal mit meinem eigenen AD-User: login <username>)


Eine persönlich Anmerkung zum Profilmanager: Ich finde den äußerst instabil. Ein macOS oder Security Update hat mir den desöfteren kaputt gemacht. Einmal auch so sehr, dass ich alle Profile neu anlegen musste.
Wenn du noch die Wahl hast für eine MDM Lösung, nehme lieber Jamf Pro in der Cloud. Da brauchst du auch keine extra Hardware. Es gibt da noch Alternativen: AirWatch, MobileIron, XenMobile, bei denen ich mich aber nicht auskenne.

Konkret geht es erstmal nur um iPhones, nicht um Macs. Unsere Smartphone-Flotte wird von Samsung auf Apple umgestellt. In dem Zuge wollen wir per DEP ein automatisches Enrollment zum MDM.

AD Ausführungsebene 2008 R2, es gibt aber auch gejointe 2012 R2er Server.

Ein Kollege hat diverse MDM-Lösungen getestet, da ich früher bei einem AASP gearbeitet habe, hab ich mal Apple mit ins Spiel gebracht. Das hat er auch getestet und war zufrieden Es wurde vom Chef entschieden auf einen Mac Server zu gehen.

Join: Wie man einen Mac halt zu einer Domäne joined. Bordmittel, Systemeinstellungen Benutzer & Gruppen Netzwerkaccountserver

Es funktioniert mit der Einrichtung erstmal alles genau wie im Test meines Kollegen. Nur dass der Haken "kann sich anmelden" beim AD User fehlt. Ohne den ist keine Anmeldung möglich.

Ok, also macht ihr personalisiertes DEP. Die Anwender packen ihre iPhones aus und müssen sich dann am MDM anmelden, bevor das Device enrolled und mit Profilen und Apps betankt wird.

Ich rate mal drauf los, weil Ferndiagnose bei soetwas extrem schwierig ist:
- Wenn bei mir sowas auftrat, war meistens etwas mit dem DNS falsch. Das habt ihr aber bestimmt schon kontrolliert.
- Habt ihr zufällig den gleichen Rechnernamen für den MDM verwendet wie im PoC und müsst den Rechner erst aus der AD löschen?
- Müsst ihr den Server evtl. erst in die richtige OU verschieben? Das geht ja über den Bordmittel Weg "Systemeinstellungen Benutzer & Gruppen Netzwerkaccountserver" nicht so gut. Ich mache das immer über die Verzeichnisdienste, da kann ich die OU und Attribute Mappings angeben, wenn ich das möchte.
- Habt ihr die OD bzw. den ProfileManager vor oder nach dem AD Bind eingerichtet? Da war mal was, dass das in einer Reihenfolge passieren muss; kann aber auch noch unter 10.6 so gewesen sein und mein Wissen dazu ist obsolet.

Das ist immer noch so. Der AD muss zuerst eingetragen werden. Da sind wir auch daran hängen geblieben.

Andere Möglichkeiten, die geprüft werden können:
- Ist der Eintrag für den Server im AD korrekt (Computername bei Windows max 16 Zeichen, ...)
- Ist die Zeit auf beiden Geräten identisch?
- Ist das Stammzertifikat des AD hinterlegt?
- Sind die UID, user GID und group GID korrekt gemappt?

PS: Aus eigener Erfahrung ist der ProfileManager für 300 Benutzer nicht unbedingt das richtige Tool. Insbesondere Updates werden dir das Leben schwer machen (aber das wurde ja bereits erwähnt). Für alle Anwendungen >20 Benutzer würde ich dringend zu einem "professionellen" Tool raten. Wir sind mittlerweile bei JAMF Pro und sehr glücklich damit.

Ich lese gerade in einer Apple Release Note:
Genau das Problem hast du doch oder?

@padlock962
Habe bei uns auch einen HighSierra Server frisch aufgesetzt und den OD vorgängig eingerichtet.
Jedoch habe ich im Nachgang festgestellt, das der OD ab HighSierra eben nicht mehr notwendig wäre: https://www.imore.com/changes-macos-server-54-high-sierra
Diese Infos gibts auch auf der Seite von Apple, habe ich aber auf die Schnelle nicht gefunden.

Danke. Wusste ich nicht.

Korrekt. Das geht mittlerweile.
Danke

Mein Kollege hat noch etwas herumexperimentiert kurz vor Weihnachten, als ich schon unter Palmen im Urlaub lag...

Wir haben ein weiteres Problem, das aber wohl nur Apple fixen kann. Dafür existiert auch ein Ticket

Vielen Dank und viele Grüße an alle die sich eingebracht haben!

Guten Rutsch!