wznutzer 35 Geschrieben 26. Februar 2010 Melden Teilen Geschrieben 26. Februar 2010 Hallo, ich habe einen W2K8R2 als DC und aktiver Zertifizierungsstelle im AD. Wenn ich nun http://dcserver.xxx.local/certsrv aufrufe wird ein Zugriffsfehler (403 Zugriff verboten) angezeigt. Wenn ich über die MMC ein Computer-Zertifikat anfordern will ist auch das nicht möglich. Es erscheint der Fehler 0x800706ba (WIN32: 1722)) Der RPC-Server ist nicht verfügbar. Dienste sind alle gestartet. Lt. Sicherheitseinstellungen im IIS sollte ich berechtigt sein. Die Rechte habe ich wie in Certificate Services AutoEnrollment Error on Windows 2003 and Windows 2008 Domain Controllers beschrieben kontrolliert, Firewall ist deaktiviert, hat allerdings nicht geholfen. Würde evtl. das Rücksetzten der Standards mittels Defltdc.inf etwas bringen. Da habe ich ein paar Bedenken, dass mir das eher etwas kaput macht. Das AD ist von SBS2003 auf W2K8R2 migriert. Dabei scheint irgendein Recht abhanden gekommen zu sein, das ist aber spekuliert. Hat jemand noch eine Idee woran das liegen könnte bzw. so ein Problem schon mal gehabt und gelöst? Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Hi, Zertifizierungsstelle und DC auf einer Maschine ist sicherheitstechnisch nicht optimal. Aber davon abgesehen: Was hältst Du von einer Sicherung der CA (Datenbank und Logs, private Schlüssel plus Zertifikate der CA selbst und Sicherung der Dienst-Registry Keys), danach einer Deinstallation der CA + erneuter Installation (bestenfalls auf einer anderen Maschine)? Geht vielleicht "schneller" als jetzt zu versuchen, den Fehler _irgendwie_ einzugrenzen. Ansonsten sind Deine Ausführungen zur "Migration" recht gering, daher läßt sich schwer einschätzen, was genau nicht in Ordnung gegangen ist. Viele Grüße olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 27. Februar 2010 Melden Teilen Geschrieben 27. Februar 2010 Hallo, ich habe den Fehler auch gehabt. In Google findet man zahlreiche Beiträge dazu. Ich habe in den 100-ten Hints dann gelesen, dass die Kombination 2-mal w2k8r2-DCs, wovon einer noch die CA-Rolle trägt, dieses Verhalten produziert. Ich habe die CA dann auf einen Memberserver umgezogen und das Problem war weg, bzw. in einer weiteren Testumgebung nur noch einen DC+CA installiert. cu blub Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 1. März 2010 Autor Melden Teilen Geschrieben 1. März 2010 Hallo, @olc Ich habe die Migration nicht durchgeführt, deshalb weiß ich nicht genau wie was gemacht worden ist. @blub Leider hat mir Google nicht geholfen, zwei DCs habe ich auch nicht somit ist bei mir irgendwas anderes kaputt. Ich werde mal den Vorschlag von olc angehen, die CA-Rolle neu zu installieren. Da noch gar keine Zertifikate ausgestellt wurden, werde ich auf Sicherung und Rücksicherung verzichten und einfach mal alles neu machen. Grüße wznutzer Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.