antares 10 Geschrieben 22. Dezember 2006 Melden Teilen Geschrieben 22. Dezember 2006 Unsere Domäne wurde kürzlich von Windows 2000 Server auf Windows 2003 Server aktualisiert. Es gibt zwei Domaincontrollers, welche ihren Dienst eigentlich gut erledigen. Eine Grundsatzfrage stellt sich mir als Newbie im Bereich Zertifikate: Braucht mindenstens ein DC eine Certificate Authority (CA)? Momentan lässt sich nämlich nirgendswo das MMC Snap-In "Zertifizierungsstelle" ausführen, da Dienst nicht installiert. (Wurde sogar explizit auf einem DC deinstalliert, nachdem er auf W2k3 aktualisiert wurde.) Zusätzlich erscheint alle 10 Stunden folgende Warnung: (hier englische Version) ID: 20 Source: KDC Symbolic Name: KDCEVENT_INVALID_KDC_CERTIFICATE Message: The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found. Smartcard logon may not function correctly if this problem is not remedied. Have the system administrator check on the state of the domain's public key infrastructure. The chain status is in the error data. Als mögliche Erklärungen ergoogelte ich: - The KDC certificate has expired. - The KDC certificate is not trusted for smart card logons. - There is no CA Smart Card Logons sind bei uns nicht vorgesehen, und es entzieht sich meiner Kenntnis, ob man wirklich eine Certificate Authority braucht oder nicht. Dankbar für jede Hilfe antares P.S. Certutil -dcinfo meint auch, dass bei beiden DCs keine KDC Zertifikate existieren. (Falls es alte gab, wurden die mit "certutil -dcinfo deleteBad" bei meinen Versuchen gelöscht) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.