DC-Zertifikat: und noch eins, und noch eins ...

[s1lversurv 10]

Hallo Zusammen,

 

Situation:

Wir haben auf dem ersten DC die Enterprise-CA installiert.

Autoenroll funktioniert, vielleicht fast zu gut?

 

Frage:

Da sich die Domänencontroller in den letzten 5 Tagen 10 mal ein

Zertifikat mit Template DC ausstellen lassen, frage ich mich wozu?

Gibt es einen konfigurierbaren interwall? Oder holen sich die DC nach

bestimmten Netzwerkumstellungen ein Neues? (wir hatten noch DHCP, bzw. DNS

Services verlegt.)

 

PS:

Zertifikat wäre jeweils ein Jahr gültig und hat den Typ DC-Cert ...

 

Danke & Gruss,

S1lversurv

[olc 18]

Hi,

 

Du hast Recht - das ist nicht normal. :)

 

Da Du die Gültigkeitsdauer schon ausgeschlossen hast - Scripts oder ähnliches, die neue Zertifikate beantragen, sind ebenfalls ausgeschlossen? Die alten Zertifikate sind nicht archiviert, sondern ganz normal - sagen wir "aktiv", ja?

 

Unter Umständen werden Änderungen an dem "Domain Controller Authentication" Template vorgenommen? Wenn die entsprechende Group Policy aktiviert ist, ziehen sich die Systeme bei Änderungen am Template neue Zertifikate, siehe die letzten Punkte unter Configure Certificate Autoenrollment .

 

Viele Grüße

olc

[s1lversurv 10]

Unter Umständen werden Änderungen an dem "Domain Controller Authentication" Template vorgenommen?

 

Durchaus möglich, dass es soetwas war. Nachdem wir ActiveDirectory verschoben haben, alle FSMO Rollen auf einen neuen Server gelegt haben und das ganze jetzt ein bisschen warm synchronisiert ist :-) - jetzt hat er immer

noch die Zertifikate, die er am 18. September geholt hat.

 

Danke ohnehin für den hinweis,

Gruss, s1lversurv

[olc 18]

Hi s1lversurv,

 

auch wenn die Ursache ungeklärt ist - danke für Deine Rückmeldung. :)

 

Viele Grüße

olc