Jump to content

Certificate Authority


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich habe mal folgende Frage:

Ich habe neu in einem Unternehmen begonnen und bin gerade dabei die Weiten der AD zu entwirren.

Eines der Probleme ist das die DC's folgende Fehler untereinander initiieren:Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar.

Nach tagelangem suchen und recherchieren bin ich nun der Meinung das die Problematik darin liegt das von einem/mehreren meiner Vorgänger immer wieder auf unterschiedlichen Servern (Sowohl auf einem DC als auch auf Applikationservern) CAs installiert und irgendwann mal wieder deinstalliert wurden (Fragt mich nicht warum...:confused:)

Suche ich per SNAP-In "Zertifizierungsstelle" in der AD nach einem CA wird mir automatisch ein Server angezeigt den es nicht mehr gibt.

Derzeit gibt es gar keine CA in der AD.

 

So nun zu meinen Fragen:

- Sehe ich es richtig das ich per "certutil -dcinfo deleteBad" nicht mehr benötigte/überflüssige Zertifikate von den DC's wegbekomme ?

Werden bei diesem Befehl wirklich nur die "Bad" deregistriert oder kann da mehr schiefgehen ?

- Wie bekomme ich den in der AD registrierten falschen / nicht mehr bestehenden CA aus der AD ?

- Gibt es von eurer Seite aus Hinweise zur oben genannten Fehlermeldung ? (Evtl. DNS,...) ?

 

Danke im voraus für eure Mühe

Gruss

Link zu diesem Kommentar

Hallo und willkommen im Forum,

 

vermutlich wurden die "wilden" CAs als Enterprise CAs installiert. Dabei tragen Sie sich in der Active Directory unterhalb des Containers "CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld" in verschiedene Subcontainer ein (so etwa "Certification Authorities", "Enrollment Services" etc.).

 

Hier liegt Dein Problem - während des Autoenrollments suchen Deine Systeme in diesen Containern nach CAs, von denen sie Zertifikate anfordern können. Da diese jedoch nicht mehr vorhanden sind, kommt es zu dem Fehler.

 

Schau einmal in den folgenden Artikel hinein: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows 2000 Server .

 

Natürlich solltest Du nicht das gesamte Vorgehen umsetzen, da ansonsten gar keine CA mehr verfügbar ist ;) - jedoch sind die Stores und Container aufgeführt und deren Inhalte kurz beschrieben. Dort löschst Du die nicht mehr vorhandenen CA-Einträge und solltest danach "Ruhe" haben.

 

Vorher ein Backup des SYSTEMSTATE eines DCs nicht vergessen, so daß Du im Notfall die Objekte autorativ wiederherstellen kannst.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi OLC, Hi @LL,

 

vielen Dank fürs Willkommenheissen, schön hier zu sein .Tolles Forum....

Vielen Dank für die schnelle Antwort.

Ich werde nach diesem Dokument vorgehen, dann sollte zumidest diese FM unter den DC's verschwunden sein.

Sehe ich es richtig das ich im Prinzip die Schritte 1-5 komplett überspringen kann, da die CA ja nicht mehr vorhanden ?

Die PKI's kann ich ja nicht mehr entfernen, da der Server der Sie herausgab ja nicht mehr vorhanden...

Im Punkt 6 der Doku wird beschrieben wie man unter Active Directory Standort und Dienste die CA'S entfernt hier nun ein paar Fragen dazu.

Ich möchte noch einmal betonen, es gibt derzeit keine CA im Netz / AD

1) IM AIA stehen 2 CA's drin, diese beide löschen.

2) Im CDP stehen 3 Server drin, von denen 2 nicht mehr existieren und der dritte 100%ig kein CA mehr ist, also die 3 so wie sie sind, Löschen !

3) So, nun zu Certification Authorities, hier stehen 2 drin, auch löschen

4) Enrollment Services, den INhalt löschen

 

So, jetzt wird es sportlich, und ich denke auch kritisch...

5)Certificate Template Ordner--> Es stehen 31 Certificate Templates drin, diese tatsächlich wie in Punkt i der Doku ALLE Löschen ???

HIer stehen unter anderem auch Templates wie z.B. ClientAuth, EmailReplication, Workstation,... drin. diese werden tatsächlich nicht mehr benötigt ????

 

Hier kommt ja noch der Hinweis von MS welcher lautet:

ZITAT:

Important If the templates are accidentally deleted, make sure that you are logged on to a server that is running Certificate Services as Enterprise administrator. At a command prompt, type cd %windir%\system32, press ENTER, type regsvr32 /i:i /n /s certcli.dll, and then press ENTER. This will re-create the certificate templates in Active Directory. /ZITAT

Da ich keine CA am laufen habe, werde ich diese templates auch nicht mehr herstellen können...

Sehe ich es richtig das diese Templates bei Bedarf einer CA mit deren Installation automatisch wieder angelegt werden ?

Oder muss ich auf jeden Fall, nachdem ich diese gelöscht habe, wieder durch "frische" mittel des Befehl ersetzen/wiederherstellen ?

 

6) So und nun noch als letztes das NTAuthCertificates direkt in der Root der PublicKeyServices löschen

7) Jetzt noch den "certutil -dcinfo deleteBad"

8) Abschliessen "gpupdate /force"

Und natürlich, vielen Dank für den TIP, vorher SYSTEMSTATE sichern, man weiss ja nie :shock:

 

Mann mann mann , habe da ja nen halben Roman geschrieben, hoffe es ist nicht zuviel...

Wenn Du/Ihr mir einfach kurz bestätigen könntet das die Schritte so wie aufgeführt OK sind ?!

 

Danke erneut im voraus für die Antworten

 

Gruss

AL

 

p.S. Die Clients haben in Ihrem Schlüsselspeicher ein automatisch bei Domainaufnamhe mitgeliefertes Zertifikat eines CA's der wie eben aufgeführt nicht mehr vorhanden, aber das Zertifikat besitzt noch en paar Jahre gültigkeit.

Werden diese weiterhin arbeiten können oder muss dieses vor reinigen der AD mittels GPO oder Script von allen entfernen ?

Link zu diesem Kommentar

Hi Al,

 

schon, daß Du hier bist. ;)

 

Ich möchte noch einmal betonen, es gibt derzeit keine CA im Netz / AD

 

Ok, das klingt für Dein Vorhaben sehr gut. Dann kannst Du mit der Motorsäge vorgehen... :D

 

1) IM AIA stehen 2 CA's drin, diese beide löschen.

 

Genau.

 

2) Im CDP stehen 3 Server drin, von denen 2 nicht mehr existieren und der dritte 100%ig kein CA mehr ist, also die 3 so wie sie sind, Löschen !

 

Korrekt, es gibt keine CAs mehr, daher sind auch keine CRLs mehr notwendig. Dabei ist jedoch wie auch bei den "Certification Authorities" und "AIA" wichtig, daß Du sicher sein mußt, daß derzeit keine Zertifikate in Deiner Umgebung genutzt werden. Wenn Zertifikate aktiv genutzt werden, die über eine der CAs ausgestellt wurden, kannst Du in Probleme laufen. Daher noch einmal die Empfehlung, ein Systemstate Backup eines DCs zur Verfügung zu haben - nur für den Notfall.

 

Grundsätzlich wird das Thema auch in dem Microsoft KB Artikel besprochen.

 

3) So, nun zu Certification Authorities, hier stehen 2 drin, auch löschen

 

Jepp, siehe einen Punkt nach oben. :)

 

4) Enrollment Services, den INhalt löschen

 

Genau, das ist der Container, der die Events auf den DCs hervor ruft.

 

So, jetzt wird es sportlich, und ich denke auch kritisch...

5)Certificate Template Ordner--> Es stehen 31 Certificate Templates drin, diese tatsächlich wie in Punkt i der Doku ALLE Löschen ???

 

Kannst Du tun, wenn Du eine neue Enterprise CA installierst, würden diese wieder neu angelegt werden. Rein theoretisch mußt Du diese aber auch nicht löschen. Sauber wäre es...

Link zu diesem Kommentar
HIer stehen unter anderem auch Templates wie z.B. ClientAuth, EmailReplication, Workstation,... drin. diese werden tatsächlich nicht mehr benötigt ????

 

Wenn Du keine Enterprise CA mehr hast, können keine Zertifikate mit diesen Templates ausgestellt werden. Von daher kein Problem. Wie oben schon geschrieben - "Certificate Authorities", "CDP" und "AIA" sind eher das Problem, sollten ausgestellte Zertifikate genutzt werden. Das mußt Du unbedingt vorher prüfen.

 

Sehe ich es richtig das diese Templates bei Bedarf einer CA mit deren Installation automatisch wieder angelegt werden ?

 

Genau, bei der Installation einer Enterprise CA.

 

Oder muss ich auf jeden Fall, nachdem ich diese gelöscht habe, wieder durch "frische" mittel des Befehl ersetzen/wiederherstellen ?

 

Nein, im Normalfall nicht. Aber Du hättest zusätzlich ja auch noch das Systemstate Backup des DCs (zumindest innerhalb der Tombstone Lifetime).

 

6) So und nun noch als letztes das NTAuthCertificates direkt in der Root der PublicKeyServices löschen

7) Jetzt noch den "certutil -dcinfo deleteBad"

8) Abschliessen "gpupdate /force"

 

Absolut richtig. ;)

 

Und natürlich, vielen Dank für den TIP, vorher SYSTEMSTATE sichern, man weiss ja nie :shock:

 

:)

 

Mann mann mann , habe da ja nen halben Roman geschrieben, hoffe es ist nicht zuviel...

Wenn Du/Ihr mir einfach kurz bestätigen könntet das die Schritte so wie aufgeführt OK sind ?!

 

Ganz im Gegenteil - besser so als nur ungenügende Angaben.

 

Wie immer gilt hier jedoch - alle Angaben ohne Gewähr. Wir sind ein Forum und kein Dienstleister. ;)

Aber das soll nicht heißen, daß das nicht klappt. Für den Notfall hast Du noch das Systemstate Backup.

 

Werden diese weiterhin arbeiten können oder muss dieses vor reinigen der AD mittels GPO oder Script von allen entfernen ?

 

Ob die Zertifikate vorhanden sind oder nicht ist "egal" - zumindest solange derzeit keine Zertifikatfunktionen mit diesen CAs genutzt werden (oder Zertifikate über die CA ausgestellt wurden). Wenn Du die AD Container bereinigt hast, sollten die CA Zertifikate auch aus den lokalen Client Stores verschwinden.

 

Viel Erfolg. ;)

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi Al,

 

ja, wäre klasse, wenn Du Dich einmal meldest. :)

 

Wie gesagt - prüfe in jedem Fall vorher, ob unter Umständen Zertifikate von den "temporären" CAs ausgestellt wurden und ob diese ggf. derzeit in Benutzung sind. Falls ja bekommst Du Probleme, wenn die CRLs bzw. AIA / Certificate Authorties nicht mehr vorhanden sind. Obwohl ich vermute, daß Du dann schon vorher in Probleme gelaufen wärst - besonders in Bezug auf die CRLs.

 

Viele Grüße

olc

Link zu diesem Kommentar

Soooooooo, dann möchte ich mal über die Bereinigung der AD berichten....

Habe nun die Bereingung der CA'S und deren Reste in der AD erfolgreich durchgeführt. Hatte gestern Abend (Freitag) ein Zeitfenster bekommen um die Fallback-Lösung mit der System State AD wiederherstellung evtl. über mehrere Stunden erfolgeich hinzubekommen-> Zum Glück habe ich diesen Vorgang nicht gebraucht :D:D;)

Keine Probleme wärend der Ausführung gehabt. Die Sache ist absolut Reibungslos über die Bühne gegangen und die DC's haben nun eine FM weniger (Sind noch ein paar übrig zu denen ich vielleicht noch den ein oder anderen Thread öffnen werde) ;)

 

Ein rieesengrosses Dankeschön an "OLC" der mir hier sehr geholfen hat, das Forum ist spitze, die Lösungen sind toll. Selbst wenn mal doch das ein oder andere nicht auf alle Netzwerkle pauschal anwenden lässt wird man immerhin auf "eine Spur" gebracht.

Danke allen , insbesondere OLC.

 

Gruß

AL

Link zu diesem Kommentar

Hi Al,

 

na das klingt doch gut. :)

 

In jedem Fall solltet Ihr im Auge behalten, ob es nun vielleicht in Folge der Aktionen zu Problemen kommt. So, wie Du die Ausgangssituation beschrieben hast, passiert wahrscheinlich nichts. Aber es macht Sinn, die Aktionen im Hinterkopf zu behalten. ;)

 

Vielen Dank für Deine Rückmeldung und Gruß

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...