leg 10 Geschrieben 21. Oktober 2009 Melden Teilen Geschrieben 21. Oktober 2009 Hallo zusammen, wir haben wir ein paar Geräte, die kein Zertifikat per AutoEnrollment ziehen wollen. Prinzipiell funktioniert es auf XP und Win7. CA ist auf Server 2003 und verteilt fleißig Zertifikate. Ein paar Laptops möchten sich aber kein Zertifikat holen. Starten sie mit Netzwerk taucht im Eventlog nichts auf, starten Sie ohne Netzwerk meckert das AutoEnrollment die nicht verfügbare Domäne an. Die Clients stammen soweit wir das bisher sehen alle aus der gleichen Generation (Lenovo T500) und haben damit mit hoher Wahrscheinlichkeit durch unser Image die gleiche Software, gleiche Einstellungen usw. Kennt jemand dieses Phänomen im Zusammenhang mit irgendeiner falschen Konfiguration oder inkompatiblen Hardware? Bin für jeden Hinweis dankbar. Gruß Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 21. Oktober 2009 Melden Teilen Geschrieben 21. Oktober 2009 Hi Stephan, vielleicht sind schlichtweg keine Zertifikattemplates vorhanden, auf die die Clients Lese- und Autoenrollment Berechtigungen haben? Prüf das doch noch einmal - oftmals liegt das Problem näher als man denkt. Geht es um Benutzer oder Computer Autoenrollment oder beides? Du könntest das erweiterte Autoenrollment Logging aktivieren, siehe dazu Troubleshooting (Certificate Autoenrollment in Windows Server 2003) User Autoenrollment HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment: Create a new DWORD value named AEEventLogLevel"; set value to 0. Machine Autoenrollment HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment: Create a new DWORD value named "AEEventLogLevel", set value to 0. Viele Grüße olc Zitieren Link zu diesem Kommentar
leg 10 Geschrieben 22. Oktober 2009 Autor Melden Teilen Geschrieben 22. Oktober 2009 Doch doch, prinzipiell funktioniert es sauber. Template wird auf fast allen Rechnern sauber installiert. Nur eben auf bestimmten Rechnern nicht, scheinbar alles Lenovo T500. Die Schlüssel zur erneuten Zertifikatsholung habe ich gelöscht, die Schlüssel zum erweiterten Logging eingefügt - keine Änderung. AutoEnrollment zeigt sich im EventLog nur, wenn ohne Netzwerk angemeldet wird. Es handelt sich um Benutzerzertifikate, die wir fürs WLAN brauchen. Noch Ideen? Zitieren Link zu diesem Kommentar
leg 10 Geschrieben 26. Oktober 2009 Autor Melden Teilen Geschrieben 26. Oktober 2009 So, habe eins der fraglichen Geräte neu installiert und nur LAN und WLAN Treiber installiert. Dann mit Domain Account angemeldet, 5min später war das Zertifikat da und ich sauber angemeldet. Es muss also eine Unverträglichkeit mit Software oder einer Einstellung geben. Ideen? Danke stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. Oktober 2009 Melden Teilen Geschrieben 26. Oktober 2009 Hi, wenn keine weiteren Meldungen im Eventlog stehen, dann wird es schwierig. Vielleicht ein Filtertreiber (AV, Firewall etc.) oder eine beliebige andere Applikation, die auf die Crypto Funktionen zugreift. Installiere doch schrittweise einmal die Applikationen und prüfe das Autoenrollment - irgendwann muß es ja stoppen. Viele Grüße olc Zitieren Link zu diesem Kommentar
leg 10 Geschrieben 27. Oktober 2009 Autor Melden Teilen Geschrieben 27. Oktober 2009 Genau, damit habe ich gestern schon begonnen. Heute bin ich dann bei der Lenovo Fingerprint Software angekommen - kaum war sie drauf gabs kein Zertifikat mehr. Wieder deinstalliert und siehe da: AutoEnrollment Successfull! So, dann werde ich mal bei Lenovo recherchieren... Zitieren Link zu diesem Kommentar
anzoro 10 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Genau, damit habe ich gestern schon begonnen.Heute bin ich dann bei der Lenovo Fingerprint Software angekommen - kaum war sie drauf gabs kein Zertifikat mehr. Wieder deinstalliert und siehe da: AutoEnrollment Successfull! So, dann werde ich mal bei Lenovo recherchieren... Exakt das gleiche Phänomen habe ich jetzt bei T400 und X200s von Lenovo. Beide haben den gleichen Fingerprint-Reader eingebaut und Lenovo bietet für beide den gleichen Treiber an vom 20.04.2009 in Version v3.2.0.341. Kaum ist der Treiber deinstalliert, läuft alles wie geschmiert. Installiere ich den Treiber, bekomme ich beim Start nicht mal mehr den Eintrag "Die automatische Zertifikatsregistrierung für lokaler Computer wurde gestartet". Es passiert einfach gar nichts. Manuelles Anfordern von Zertifikaten klappt. Certutil sagt alles sauber. Aber es läuft nicht automatisch. Sobald der Treiber deinstalliert ist, kommen die Zertifikate automatisch auf den Rechner. Als würde der Treiber diesen Vorgang blocken. Gibt es dazu schon eine Lösung von Lenovo? Gruß anzoro Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. März 2010 Melden Teilen Geschrieben 11. März 2010 Hi, der beste Weg, um eine Aussage dazu zu bekommen, ist wohl eine Anfrage bei Lenovo. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.