Autoenrollment deaktivieren

[antares 10]

Im Rahmen von Anpassungen unserer Serverstruktur wurde die Zertizierungstelle vom einen Domain Controller zum Anderen gewechselt.

 

Auf dem neuen DC ist eine "Eigenständige Root-CA" installiert, die IMHO ohne Autoenrollment funktioniert. (Das weiss ich erst seit ein paar Minuten )

Auf dem älteren DC wurde IIS samt der Zertifizierungsstelle komplett deinstalliert.

Dennoch versucht dieser ältere DC immer noch alle 8 Stunden ein Autoentrollment durchzuführen und meldet im Eventlog:

---------------------------------------------------------------------------------------------------

Ereignistyp: Fehler

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 13

Datum: 04.01.2007

Zeit: 19:20:02

Benutzer: Nicht zutreffend

Computer: FIREBIRD1

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert

----------------------------------------------------------------------------------------------------

 

Wo deaktiviere ich dieses Autoenrollment?

 

 

 

Und da ich schon beim Thema bin:

Auf dem neuen DC, auf dem certsvc läuft sehe ich ab und zu diese Warnung:

 

Ereignistyp: Warnung

Ereignisquelle: CertSvc

Ereigniskategorie: Keine

Ereigniskennung: 77

Datum: 09.02.2007

Zeit: 07:55:27

Benutzer: Nicht zutreffend

Computer: HANNIBAL

Beschreibung:

Der Richtlinienmodul "Windows-Standard" hat folgende Warnung protokolliert: Die Active Directory-Verbindung mit HANNIBAL wurde wiederhergestellt mit HANNIBAL.

 

Falls grad jemand was darüber weiss...

 

Vielen Dank

antares (Ein Cert Neuling)

[grizzly999 11]

Gruppenrichtlinie im AD Computerkonfiguration\Windows Einstellungen\Sicherheitseinstellungen\Richtlinien öffentlicher Schlüssel\Einstellungen der automatischen Zertifikatsregistrierung.

Dasselbe nochmals in der Benutzerkonfiguation

 

 

 

grizzly999

[antares 10]

Vielen Dank! Probiere es gleich aus :) .

[antares 10]

Kleine Nachfrage:

 

Es hat im Ordner "Richtlinien öffentlicher Schlüssel" ein Objekt "Einstellungen für die automatische Registrierung" und parallel dazu diverse Unterordner. Einer davon heisst "Einstellung der automatischen Zertifikatsanforderung". Dieser ist leer für Benutzer/Computer Settings der "Default Domain Policy", - und auch für den Benutzerteil der Default Domain Controllers Policy". In deren Computerteil findet man allerdings in diesem Order ein Objekt mit Namen "Computer".

 

Betreffend des Objekts "Einstellungen für die automatische Registrierung" , ist in beidem GPOs sowohl im User als auch im Computer Branch die Einstellung "Zertifikate automatisch registrieren" aktiv.

 

Ich möchte nichts ändern, was ich noch brauche, sondern nur dem Ex-CertSvr DC das Autoenrollment abgewöhnen. Muss ich für das nur das eine "Computer" Objekt in der DDCP löschen, oder eben noch alle vier anderen Einstellungen auf "Zertifikate nicht automatisch registrieren" stellen?

 

antares

[grizzly999 11]

Die "automatische zertifikatsanforderung" geht nur mit Version 1 Vorlagen und dabei nur für Computerzertifikate. Dabei muss die Vorlage extra ausgewählt werden, standardmäßig ist kein eingetragen. Sie dient eigentlich hauptsächlich für Windows 2000 Computer, da diese keine Version 2 Vorlagen requesten können.

Die eingetragene Vorlage kannst du daher rauslöschen.

 

Die "automatische Zertifikatsregistrierung" geht nur mit Version 2 Vorlagen (Computer und Benuter), und damit erst ab XP und höher. Das ist auch die Richtlinie, die beimComputer und bei Benutzer standardmäßig per Häkchen aktiviert ist. Wenn du diese Häkchen alle auf deaktivert setzt, solte das Problem mit den Log-Einträgen erledigt sein.

 

Die Richtlinien kann man jederzeit wieder einschalten.

 

grizzly999

[antares 10]

Danke vielmals. Ich habe die entsprechenden Änderungen vorgenommen. ;-)