yabbax 11 Geschrieben 25. August 2009 Melden Teilen Geschrieben 25. August 2009 Hallo, habe gerade ein Problem: vorhanden ist ein SBS2003 R2. Zusätzlich existiert ein DC 2003 Standard. 1. Problem: der zweite DC bekommt ein Domänencontrollerzertifikat Autoenrollment Event-ID 13Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert Bei einem XP Client erhalte ich beim anfordern ein Computerzertis: Autoenrollment Event-ID 13Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Computer" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar. Ich habe schon alle Artikel im Inet durchgearbeitet, ohne Erfolg. CERTSVC_DCOM_ACCESS group: Domänen Benutzer, Domänencontroller, Domänencomputer cert_dcom_access: gleiche Gruppen wie oben. Zertifikatsvorlagen: Berechtigungen überprüft und gesetzt. Die Benutzerzertifikate funktionieren einwandfrei. Was kann ich tun? Zertifizierungsstelle neu installieren? Was ist dabei zu beachten? Danke und gruß Thomas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. August 2009 Melden Teilen Geschrieben 25. August 2009 Hi, was sagt denn ein "certutil -ping", ausgeführt als Benutzer und als System? In den System Kontext kommst Du beispielsweise mit C:\> PsExec \\localhost -i -s cmd Gibt es Fehlermeldungen im Eventlog des SBS oder des Clients? Download: http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx Wie sind die Berechtigungen auf dem Computer Template (bitte genau angeben, die Aussage "habe ich geprüft" ist nicht unbedingt objektiv ;) ). Viele Grüße olc Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 26. August 2009 Autor Melden Teilen Geschrieben 26. August 2009 (bearbeitet) @OLC Certutil mit admin und mit system, gleiche Meldung: Verbindung mit mail.testdomaene.local\Interne Zertifizierungsstelle wird hergestellt... Server "Interne Zertifizierungsstelle": Die Schnittstelle ICertRequest2 ist aktiv. CertUtil: -ping-Befehl wurde erfolgreich ausgeführt. Berechtigungen template computer: Auth. Benutzer: Lesen (L) Dom. Admins: L /Schreiben (S) /R (Registrieren) Dom. Computer: R Organisation-Admins: L / S / R Berechtigungen template Domänencontroller: Auth. Benutzer: L Dom. Admins:L/S/R Dom. Controller: R Dom. Controller der Organisation: R Organisation-Admins: L / S / R Es erscheint keine Fehlermeldung in der Eireignisanzeige des SBS! Beim Client (Vista): Ereignis 13; CertificateServicesClient-CertEnroll Die Zertifikatsregistrierung für Lokales System konnte sich nicht für ein Zertifikat Machine von mail.testdomaene.local\Interne Zertifizierungsstelle (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren. Was kann ich noch tun? danke und gruß Thomas Was auch interessant ist: Ist habe eben einen Testserver SBS mit SP2 aufgesetzt. dort klappt es mit den Computerzertis bei den clients. Was aber merkwürdig ist: Es gibt die beiden gruppen CERTSVC_DCOM_ACCESS und cert_dcom_access nicht. Ist das normal? bearbeitet 26. August 2009 von yabbax Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 26. August 2009 Autor Melden Teilen Geschrieben 26. August 2009 OK, das Problem mit den nicht erhaltenden Computerzertifikaten habe ich gelöst. Es lag/liegt am ISA 2004 und dessen RPC Filter. Diesen deaktiviert funktioniert die Zertifikatsanforderung. Warum - keine Ahnung. Bleibt nun noch das Problem mit dem Domänencontrollerzertifikat für den zweiten DC. Das funktioniert nämlich immer noch nicht. Hilfe ist erwünscht. Danke im Voraus. Thomas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. August 2009 Melden Teilen Geschrieben 26. August 2009 Hi, entweder, ich habe das zweite Problem überlesen, oder Du hast es gar nicht geschrieben. ;) Bestenfalls einen neuen Thread (ggf. mit Verweis auf den alten Thread hier) dafür aufmachen. Dann ist das übersichtlicher. Viele Grüße olc Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. August 2009 Melden Teilen Geschrieben 27. August 2009 (bearbeitet) OK, das Problem mit den nicht erhaltenden Computerzertifikaten habe ich gelöst.Es lag/liegt am ISA 2004 und dessen RPC Filter. Diesen deaktiviert funktioniert die Zertifikatsanforderung. Warum - keine Ahnung. Deswegen wohl: Forefront TMG (ISA Server) Product Team Blog : RPC Filter and "Enable strict RPC compliance" Problem: When you request a certificate using the Certificate MMC snap-in, the request fails. This occurs even if the CA is started and you have sufficient permissions to request a certificate.Workaround: This issue occurs because DCOM is required to acquire a certificate (this issue also occurs if you are using CA Web enrollment) By the way: es wäre nett gewesen, wenn du das Vorhandensein des ISA mal erwähnt hättest ;) Zu dem anderen Problem: @olc: doch doch, hat er, im 1. Post der 1. Punkt. 1. Problem: der zweite DC bekommt ein Domänencontrollerzertifikat Soll wohl heißen "bekommt KEIN DC-Zertifikat". Für das Problem mit dem XP fehlt dann das "2." ;) @yabbax: Haben deine DCs denn auch die Berechtigung "Autoenroll" auf dem Template? Wohl nicht, wenn ich mir die Fehlerbeschreibung ansehe.... /edit: schau auch mal hier in diesen Technet Forums Thread rein: http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/ab4ddc37-c0cf-4ff7-b42b-afa617b21eb0 Christoph bearbeitet 27. August 2009 von Christoph35 Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. August 2009 Melden Teilen Geschrieben 27. August 2009 Off-Topic:Zu dem anderen Problem:@olc: doch doch, hat er, im 1. Post der 1. Punkt. Ok, ok - mein Fehler. :)Und Du heißt jetzt bei mir ab sofort nur noch "Adlerauge". :DDanke und Gruß olc Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 27. August 2009 Melden Teilen Geschrieben 27. August 2009 Off-Topic:Dabei trag ich ne Brille :D Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 10. September 2009 Autor Melden Teilen Geschrieben 10. September 2009 @christoph35 hier mal die Mitglieder meiner Gruppen: CERT_DCOM_ACCESS -->Domänen-Benutzer,Domänencompuiter,Domänencontroller CERTSVC_DCOM_ACCESS -->Domänen-Benutzer,Domänencompuiter,Domänencontroller Zertifikatvorlagen->Domänencontrollerauthentifizierung -->Auth. Benutzer: lesen -->Dom. Admins: lesen, schreiben, registrieren, automatisch registrieren -->Domänencontroller: lesen, registrieren, autom. regist. -->Domänencontroller der Organisation: lesen, registrieren, autom. regist. -->Organisations-Admins: lesen, schreiben, registrieren Wenn ich auf dem Domänencontroller (Server 2003 Standard) versuche über die mmc ein Domänencontrollerzertifikat vom SBS anzufordern erhalte ich als Fehlermeldung: Die Zertifikatsanforderung kann aus einem der foglenden Gründe nicht erstellt werden: -Die Anforderung erfordert ein Exchange-Zertifikat von einer Zertifizierungsstelle, die nicht gestartet wurde. -Sie verfügen über keine Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen. Beim Neustart des Servers: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert Noch irgendwelche Ideen? Danke und Gruß Thomas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. September 2009 Melden Teilen Geschrieben 10. September 2009 Hi, Christoph hat Dir oben schon die richtige Fragen gestellt: https://www.mcseboard.de/post6-957558.html ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 11. September 2009 Autor Melden Teilen Geschrieben 11. September 2009 @olc nun ja, die habe ich gelesen und deswegen ja auch meine Einstellungen geschrieben. Meiner Meinung nach sind die Berechtigungen für die Domänencontroller gesetzt. Es kann ja sein das ich welche vergessen habe - nur weiss ich dann nicht welche? Soll wohl heißen "bekommt KEIN DC-Zertifikat". Ja. Haben deine DCs denn auch die Berechtigung "Autoenroll" auf dem Template? Wohl nicht, wenn ich mir die Fehlerbeschreibung ansehe.... Meiner Meinung nach, s. Post oben. Für Hinweise auf fehlende Einstellungen danke im Voraus. Gruß Thomas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. September 2009 Melden Teilen Geschrieben 11. September 2009 Hi, die Berechtigungen habe ich bei meinem letzten Post übersehen, bitte entschuldige. ;) Es fehlen den DCs die Autoenrollment-Rechte. Deine derzeitige Konfiguration sieht laut Deinem zweiten Post so aus: Auth. Benutzer: L Dom. Admins:L/S/R Dom. Controller: R Dom. Controller der Organisation: R Du brauchst aber für das automatische Enrollment auch die entsprechenden Rechte. Insgesamt benötigt also zum Beispiel die Gruppe der "Domänen Controller": Dom. Controller: Lesen, Registrieren, Auto-Registrieren Ich hoffe die Übersetzungen sind korrekt, im Englischen ist es "read, enroll, autoenroll". Alternativ kannst Du die CertServ Webseite nutzen oder den CertMgr.msc und das ganze manuell durchführen. Autoenrollment macht jedoch in vielen Fällen mehr Sinn. Viele Grüße olc Zitieren Link zu diesem Kommentar
yabbax 11 Geschrieben 14. September 2009 Autor Melden Teilen Geschrieben 14. September 2009 Das Problem ist aber, dass es auch über die certsrv bzw. über die mmc nicht geht. es hat anscheinend nichts mit autoenrollment zu tun, sondern mit dem registrieren im allgemeinen. Über die mmc erhalte ich folgende Fehlermeldung: Die Zertifikatanforderung kann aus einem der folgenden Gründe ncht ertellt werden: -Die anforderung erfordert ein Exchange-Zertifikat von einer Zertifizierungsstelle, die nicht gestartet wurde - Sie verfügen über keine Berechtigungen zum Anfordern von Zertifikaten von den verfügbaren Zertifizierungsstellen. Über die Webseite wird mir Domänencontrollerzertifikat nicht in der Auswahl angezeigt. Sollte dies dort auch auswählbar sien? Danke und Gruß Thomas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. September 2009 Melden Teilen Geschrieben 17. September 2009 Hi Thomas, welche Berechtigungen hast Du denn = welcher Benutzer ist beim Webenrollment angemeldet? Wenn Du die MMC nutzt, müßtest Du das Computerzertifikate SnapIn verwenden, nicht "certmgr.msc", denn das ist standardmäßig im Benutzerkontext. Testweise könntest Du noch einmal versuchen, auf dem Template den Domänen-Admins als auch Domänen-Controllern Read, Enroll und Autoenroll Berechtigungen direkt zu geben. Nur um zu schauen, ob sich etwas an dem Verhalten ändert. Funktioniert das Enrollment anderer Zertifikate / Templates? Sind irgend welche Fehlermeldungen auf der CA oder den anfragenden Systemen in Bezug zu finden - z.B. zum secure channel, NETLOGON etc.? Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.