Merkwürdiges Verhalten bei Zertifikatsregistrierung

[lokalerhorst 10]

Guten morgen zusammen,

 

unser haupt DC zickt gerade ein wenig. Unser CA wurd neu isntalliert auf einem anderen Server. Nun will der DC alle COmputerzertifikate nicht mehr registrieren.

Im Eventlog erscheinen folgende Fehlermeldungen:

 

Ereignistyp: Warnung

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 7

Datum: 14.12.2006

Zeit: 08:33:52

Benutzer: Nicht zutreffend

Computer: NEB1

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte für Verzeichnis-E-Mail-Replikation Zertifikatvorlagen aus einem der folgenden Gründe nicht registrieren:

Registrierungszugriff ist für diese Vorlage nicht zulässig.

Anforderungen bezüglich Vorlagensubjektname, Signatur oder Hardware können nicht erfüllt werden.

Es kann keine gültige Zerfizierungsstelle zum Ausstellen dieser Vorlage gefunden werden.

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

 

Ereignistyp: Warnung

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 7

Datum: 14.12.2006

Zeit: 08:33:52

Benutzer: Nicht zutreffend

Computer: NEB1

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte für Domänencontrollerauthentifizierung Zertifikatvorlagen aus einem der folgenden Gründe nicht registrieren:

Registrierungszugriff ist für diese Vorlage nicht zulässig.

Anforderungen bezüglich Vorlagensubjektname, Signatur oder Hardware können nicht erfüllt werden.

Es kann keine gültige Zerfizierungsstelle zum Ausstellen dieser Vorlage gefunden werden.

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

Ereignistyp: Warnung

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 17

Datum: 14.12.2006

Zeit: 08:33:52

Benutzer: Nicht zutreffend

Computer: NEB1

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "neb2" auf neb2.bruneb.de (0x80070005) nicht registrieren. Zugriff verweigert

Eine andere Zertifizierungsstelle wird benachrichtigt.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

Ereignistyp: Fehler

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 13

Datum: 14.12.2006

Zeit: 08:33:52

Benutzer: Nicht zutreffend

Computer: NEB1

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert

 

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

 

Das merkwürdige an der ganzen Gaschichte ist, das User Zertifikate ohne Problem funktionieren. Schaue ich mir an welche Zertifikate unter "Eigene Zertifikate" des Computerkontos stehen, so steht dort nichts.

 

Alle anderen Server laufen ohne Probleme und registrieren auch sauber die benötigten Zertifikate.

Ach ja, wenn ich von Hand versuche ein Zertifikat zu registrieren erhalte ich folgende Meldung:

Die Zertifikatanforderung ist aus folgenden Gründen fehlgeschlagen:

- Die Zertifikatanforderung wurde an eine nicht gestartete Zertifizierungstelle gesendet.

- Sie verfügen über keine Berechtigung um anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen.

 

Zum 1. Punkt kann ich nur sagen: Schön wärs. Das wäre zu einfach.

Zum 2. Punkt: Ich bin als Domänenadmin angemeldt, was will man mehr.

 

Ich hoffe der Post ist jetzt nicht zu lange geworden...

[phoenixcp 10]

EventID 7: EventID.Net

 

EventID 13:

EventID.Net

 

Hmpf, für den 17er gibts nix bei EventID.net....

 

Das Computerkonto ist aber sauber in der Domäne? Das Computerkonto ist auch nicht abgelaufen?

[lokalerhorst 10]

Das bei Eventid habe ich alles schon abgearbeitet, zumindest das was mir lögisch erschien.

 

Und das mit der 17'er ID hat mich auch von Stuhl gehauen. So exotisch kann das doch garnicht sein.

 

Das Computerkonto ist sauber in der Domäne. Was meinst du mit abgelaufen?

 

Auf dem Server läuft auch noch ein Oracle Datenbank und er ist gleichzeitg auch Fileserver. Bisher gibts da keine Probleme...

[phoenixcp 10]

Naja, wenn ne Maschine sich über längere Zeit nicht an der Domäne anmeldet, dann kann es passieren, das das Computerkonto abläuft und die Maschine neu in die Domäne gejoint werden muss. Passiert meistens bei Aussendienstlern wie bei mir, die ständig nur auf Achse sind und das Büro nur 3 mal im Jahr sehen.

[lokalerhorst 10]

Ach so, nein das ist definitv nicht der Fall. Das ist wie gesagt der "Haupt DC". Der läuft andauernd.

[Christoph35 10]

Hat der DC denn auch die Rechte Enroll und ggf. AutoEnroll auf dem Template?

 

Christoph

[lokalerhorst 10]

An den Rechnte wurde nichts geändert. Alle Domänencontroller haben das Recht "Automatische registrieren" und Registrieren".

 

Idee war gut, da bin ich selber noch nciht drauf gekommen. Aber leider nicht den erwünschten Erfolg.

[grizzly999 11]

Was ist denn alles genau gemacht worden, beim Move der CA?

Der DC hatte vorher ja wohl kein Certificate wie es aussieht?

Was ist and er neuen CA bzw. dem CA-Server anders?

Ist das ein 2003 mit SP1? ==> Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1

Hat die CA Einträge in einem der Logs?

 

grizzly999

[lokalerhorst 10]

Was ist denn alles genau gemacht worden, beim Move der CA?

 

Na ja, einen Move würde ich das nicht wirklich nennen. Die CA ist damals zwangsläufig umgezogen, da der ehemalige Server böse mit einem Bluescreen abgestürzt ist und dabei natürlich freundlicherweise die CA mitgenommen hat. :(

 

Der DC hatte vorher ja wohl kein Certificate wie es aussieht?

 

So wie es aussieht nicht. Möchte das aber nicht beschwören.

 

 

Was ist and er neuen CA bzw. dem CA-Server anders?

 

Eigentlich alles und auch wieder nichts. Die CA läuft jetzt auf einem ganz anderen Server. Aktiv genutzt wird sie eigentlich nur fürs OWA Zertifikat.

Passiv natürlich noch für die ganzen standard Zertifikate die default mässig verteilt werden.

 

Ist das ein 2003 mit SP1? ==> Description of the changes to DCOM security settings after you install Windows Server 2003 Service Pack 1

 

Ja ist es. Werde mir den Link mal zu Gemüte führen.

 

Hat die CA Einträge in einem der Logs?

 

Im Eventlog des Servers steht nichts. Dumme Frage: Hat die CA ein extra Log?

[grizzly999 11]

Es steht noch die Frage nach dem Umzug im Raum. Also die CA wurde gemovt, alter Key, alte DB, neuer Server mit altem (CA-Server-)Namen?

 

Nein, die CA hat so gesehen keine eigenen Logs, aber schreibt auch ab und an Fehler bei Client-Requests ins Anwendungslog, oder bei eingeschalteter Überwachung (Anmeldung-Fehlversuche) auch ins Security-Log, wenn er da was Netzwerk-Anmeldetechnisch missversteht.

 

 

grizzly999

[lokalerhorst 10]

Also die CA wurde gemovt, alter Key, alte DB, neuer Server mit altem (CA-Server-)Namen?

 

Nö. Die CA wurde komplett neu installiert. Alte Einträge z.B. im DNS wurde händisch gelöscht.