Jump to content

Fehler mit Zertifikat: "CertificateServicesClient-AutoEnrollment"


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Kurzbeschreibung der Umgebung:

1. DC: Windows Server 2003 R2, SP2

2. DC: Windows Server 2008 R2 Std.

 

 

da sich einige Benutzer beschwert haben, dass diverse Netzwerkzugriffe nicht mehr funktionieren, habe ich mir das Ereignisprotokoll der beiden DCs näher angeguckt. Auf einem der DCs (Windows Server 2008 R2) wird seit ca. 2 Monaten protokolliert:

 

Warnung

Quelle: CertificateServicesClient-AutoEnrollment

Ereignis-ID: 64

Beschreibung: Zertifikat für lokales System mit Fingerabdruck cd 2a 0f 32 be 44 c1 5d 10 f2 39 1a 75 e4 47 2a 12 1a 19 bf wird bald ungültig oder ist bereits ungültig.

 

Wenn ich nun auf besagtem DC via "mmc" das Zertifikate Snap-In in eine Konsole hinzufüge, wird mir das obige Zertifikat mit angegebenem Fingerabdruck (unter "Eigene Zertifikate") auch angezeigt.

 

Das Zertifikat ist offenbar seit dem 10.09.2010 abgelaufen und wurde von einem Server ausgestellt, der nicht mehr in der Domäne existiert.

 

Frage ist nun, wie ich ein neues Zertifikat für die Domäne, bzw. für den Domaincontroller erstellen kann und ob das abgelaufene Zertifikat für die Netzwerkprobleme ursächlich sein könnte? Wenn das abgelaufene Zertifikat die Ursache der Netzwerkprobleme ist, wieso melden sich die User erst heute?

 

 

Danke für euren Support!

 

Gruß

Martin

Link zu diesem Kommentar
Das Zertifikat ist offenbar seit dem 10.09.2010 abgelaufen und wurde von einem Server ausgestellt, der nicht mehr in der Domäne existiert.

 

Interessant. Heisst das, jemand hat die Zertifizierungsstelle Eurer Domäne einfach so entfernt?

 

Falls dem so ist, müsste eine neue eingerichtet werden.

 

Funktioniert denn die Replikation zwischen den beiden Domänencontrollern noch? ("repadmin /replsum * /bysrc /bydest /sort:delta")

Link zu diesem Kommentar

Der angesprochene Zertifikatsserver wurde wegen eines Defekts entfernt.

 

Der Replikationsprozess gab folgendes Ergebnis:

------

Startzeit der Replikationszusammenfassung: 2010-11-03 23:48:29

 

Datensammlung für Replikationszusammenfassung wird gestartet.

Dieser Vorgang kann einige Zeit dauern.

......

 

 

Quell-DSA Größtes Delta Fehler/gesamt %% Fehler

SRV2008-lokal 32m:41s 0 / 10 0

SRV2003-extern 28m:52s 5 / 5 100 (1908) Der Domänencontroller

für diese Domäne wurde nicht gefunden.

SRV2003-lokal 09m:55s 0 / 5 0

 

 

Ziel-DSA Größtes Delta Fehler/gesamt %% Fehler

SRV2003-extern 32m:42s 0 / 5 0

SRV2008 28m:53s 5 / 10 50 (1908) Der Domänencontroller

für diese Domäne wurde nicht gefunden.

SRV2003-lokal 03m:11s 0 / 5 0

------

 

Zur Ergänzung:

Es kommt noch ein 3. DC an einem entfernten Standort (verbunden per Lan2Lan) hinzu (Windows Server 2003 R2):

 

 

Lokal

1. Windows Server 2003 R2 = SRV2003-lokal

2. Windows Server 2008 R2 = SRV2008-lokal

 

 

entfernter Standort

3. Windows Server 2003 R2 = SRV2003-extern

 

 

 

Die Zertifizierungsstelle kann ich ohne Probleme am DC Windows Server 2008 R2 einrichten? Gibt es etwas, was ich dabei beachten muss / sollte?

Link zu diesem Kommentar

Ich sehe Replikationsfehler in der Zusammenfassung.

 

Mit den vorhandenen Informationen fällt es mir schwer, ein Bild von Deiner Umgebung zu bekommen, insbesondere woher die Replikationsfehler kommen und zu welchem Zweck in der Domäne Zertifikate ausgestellt wurden. Je nachdem kannst Du die abgelaufenen Zertifikate von den Computern entfernen und ohne interne CA leben, oder Du musst eine neue installieren und die Verteilung von Zertifikaten konfigurieren.

 

Es sprichts nichts dagegen, eine Stammzertifikatsstelle in einer kleineren Umgebung auf einem Domänencontroller zu installieren. In einer grösseren würde ich zweistufig mit Offline RootCA (Standalone) und AD-integrierter IssuingCA arbeiten. Ich meine aus Deinen Informationen jedoch zu lesen, dass Zertifikate von untergeordneter Bedeutung sind.

 

Die zwei wichtigsten Fragen im Moment sind somit:

 

- woher kommen die Replikationsfehler (-> dcdiag.exe)?;

- wozu wurde die Zertifikatsstelle ursprünglich eingerichtet, welche Dienste sind davon abhängig, warum wurde die CA später entfernt?

Link zu diesem Kommentar

Die Replikaton läuft jetzt fehlerfrei durch.

 

Ich habe noch folgendes geändert:

 

1. AD DS: This domain controller must have "Access this Computer from the Network" granted to the appropriate security principals

( Berechtigungen in der "Default Domain Policy" für Domaincontroller, Auth. Benutzer und Administratoren erstellt => "Auf diesen Computer vom Netzwerk aus zugreifen".)

 

2. NTP-Zeitdienst auf dem 2008er DC konfiguriert

 

 

DCDIAG ergibt folgendes:

 

 

Verzeichnisserverdiagnose

 

Anfangssetup wird ausgefhrt:

Der Homeserver wird gesucht...

Homeserver = SRV2008-LOKAL

* Identifizierte AD-Gesamtstruktur.

Sammeln der Ausgangsinformationen abgeschlossen.

 

Erforderliche Anfangstests werden ausgefhrt.

 

Server wird getestet: Standort1\SRV2008-LOKAL

Starting test: Connectivity

......................... SRV2008-LOKAL hat den Test Connectivity

bestanden.

 

Prim„rtests werden ausgefhrt.

 

Server wird getestet: Standort1\SRV2008-LOKAL

Starting test: Advertising

......................... SRV2008-LOKAL hat den Test Advertising bestanden.

Starting test: FrsEvent

......................... SRV2008-LOKAL hat den Test FrsEvent bestanden.

Starting test: DFSREvent

......................... SRV2008-LOKAL hat den Test DFSREvent bestanden.

Starting test: SysVolCheck

......................... SRV2008-LOKAL hat den Test SysVolCheck bestanden.

Starting test: KccEvent

......................... SRV2008-LOKAL hat den Test KccEvent bestanden.

Starting test: KnowsOfRoleHolders

......................... SRV2008-LOKAL hat den Test KnowsOfRoleHolders

bestanden.

Starting test: MachineAccount

......................... SRV2008-LOKAL hat den Test MachineAccount

bestanden.

Starting test: NCSecDesc

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

DC=DomainDnsZones,DC=domain,DC=lokal

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

DC=ForestDnsZones,DC=domain,DC=lokal

......................... SRV2008-LOKAL hat den Test NCSecDesc nicht

bestanden.

Starting test: NetLogons

......................... SRV2008-LOKAL hat den Test NetLogons bestanden.

Starting test: ObjectsReplicated

......................... SRV2008-LOKAL hat den Test ObjectsReplicated

bestanden.

Starting test: Replications

......................... SRV2008-LOKAL hat den Test Replications

bestanden.

Starting test: RidManager

......................... SRV2008-LOKAL hat den Test RidManager bestanden.

Link zu diesem Kommentar

Starting test: Services

......................... SRV2008-LOKAL hat den Test Services bestanden.

Starting test: SystemLog

Warnung. Ereignis-ID: 0x0000A000

Erstellungszeitpunkt: 11/04/2010 18:38:05

Ereigniszeichenfolge:

Das Sicherheitssystem hat einen Authentifizierungsfehler fr den Server cifs/srv2003-lokal.domain.lokal festgestellt. Der Fehlercode des Authentifizierungsprotokolls Kerberos lautete "Es wurde eine Anmeldung versucht. Der Anmeldedienst war jedoch nicht gestartet.

Warnung. Ereignis-ID: 0x8000001D

Erstellungszeitpunkt: 11/04/2010 18:38:07

Ereigniszeichenfolge:

Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

Fehler. Ereignis-ID: 0xC0001B70

Erstellungszeitpunkt: 11/04/2010 18:38:09

Ereigniszeichenfolge:

Der Dienst "HP Insight Event Notifier" wurde mit folgendem dienstspezifischem Fehler beendet: Das System kann die Datei nicht ”ffnen..

Warnung. Ereignis-ID: 0x000727AA

Erstellungszeitpunkt: 11/04/2010 18:40:50

Ereigniszeichenfolge:

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SRV2008-LOKAL.domain.lokal; WSMAN/SRV2008-LOKAL.

Warnung. Ereignis-ID: 0x0000002F

Erstellungszeitpunkt: 11/04/2010 18:42:43

Ereigniszeichenfolge:

Zeitanbieter "NtpClient": Vom manuell konfigurierten Peer time.windows.com wurde nach 8 Kontaktversuchen keine gltige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. NtpClient versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. Fehler: Der Peer ist nicht erreichbar.

Warnung. Ereignis-ID: 0x00009016

Erstellungszeitpunkt: 11/04/2010 19:05:46

Ereigniszeichenfolge:

Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, .

Link zu diesem Kommentar

Warnung. Ereignis-ID: 0x8000001D

Erstellungszeitpunkt: 11/04/2010 19:08:37

Ereigniszeichenfolge:

Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

Fehler. Ereignis-ID: 0xC0001B70

Erstellungszeitpunkt: 11/04/2010 19:09:29

Ereigniszeichenfolge:

Der Dienst "HP Insight Event Notifier" wurde mit folgendem dienstspezifischem Fehler beendet: Das System kann die Datei nicht ”ffnen..

Warnung. Ereignis-ID: 0x000727AA

Erstellungszeitpunkt: 11/04/2010 19:12:12

Ereigniszeichenfolge:

Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/SRV2008-LOKAL.domain.lokal; WSMAN/SRV2008-LOKAL.

Warnung. Ereignis-ID: 0x0000002F

Erstellungszeitpunkt: 11/04/2010 19:14:02

Ereigniszeichenfolge:

Zeitanbieter "NtpClient": Vom manuell konfigurierten Peer time.windows.com wurde nach 8 Kontaktversuchen keine gltige Antwort empfangen. Dieser Peer wird als Zeitquelle verworfen. NtpClient versucht, einen neuen Peer mit diesem DNS-Namen zu ermitteln. Fehler: Der Peer ist nicht erreichbar.

......................... SRV2008-LOKAL hat den Test SystemLog nicht

bestanden.

Starting test: VerifyReferences

......................... SRV2008-LOKAL hat den Test VerifyReferences

bestanden.

 

 

Partitionstests werden ausgefhrt auf: DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... DomainDnsZones hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... ForestDnsZones hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: Schema

Starting test: CheckSDRefDom

......................... Schema hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... Schema hat den Test CrossRefValidation

bestanden.

 

Partitionstests werden ausgefhrt auf: Configuration

Starting test: CheckSDRefDom

......................... Configuration hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... Configuration hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: domain

Starting test: CheckSDRefDom

......................... domain hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... domain hat den Test CrossRefValidation

bestanden.

 

Unternehmenstests werden ausgefhrt auf: domain.lokal

Starting test: LocatorCheck

......................... domain.lokal hat den Test LocatorCheck

bestanden.

Starting test: Intersite

......................... domain.lokal hat den Test Intersite

bestanden.

Link zu diesem Kommentar

Netdiag lieferte folgendes Ergebnis:

 

Computer Name: SRV2003-LOKAL

DNS Host Name: srv2003-lokal.domain.lokal

System info : Microsoft Windows Server 2003 R2 (Build 3790)

Processor : x86 Family 15 Model 4 Stepping 1, GenuineIntel

List of installed hotfixes :

Anmerkung: Aktuell!

 

Netcard queries test . . . . . . . : Passed

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

 

 

 

Per interface results:

 

Adapter : LAN-Verbindung 6

 

Netcard queries test . . . : Passed

 

Host Name. . . . . . . . . : srv2003-lokal

IP Address . . . . . . . . : 192.168.8.224

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.8.31

Primary WINS Server. . . . : 192.168.8.201

Secondary WINS Server. . . : 192.168.8.224

Dns Servers. . . . . . . . : 192.168.8.201

192.168.8.224

 

 

AutoConfiguration results. . . . . . : Passed

 

Default gateway test . . . : Failed

No gateway reachable for this adapter.

 

NetBT name test. . . . . . : Passed

 

WINS service test. . . . . : Passed

 

 

Global results:

 

 

Domain membership test . . . . . . : Passed

 

 

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F}

1 NetBt transport currently configured.

 

 

Autonet address test . . . . . . . : Passed

 

 

IP loopback ping test. . . . . . . : Passed

 

 

Default gateway test . . . . . . . : Failed

 

[FATAL] NO GATEWAYS ARE REACHABLE.

You have no connectivity to other network segments.

If you configured the IP protocol manually then

you need to add at least one valid gateway.

 

 

NetBT name test. . . . . . . . . . : Passed

 

 

Winsock test . . . . . . . . . . . : Passed

 

 

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '192.168.8.201' and other DCs also have some of the names registered.

PASS - All the DNS entries for DC are registered on DNS server '192.168.8.224' and other DCs also have some of the names registered.

 

 

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F}

The redir is bound to 1 NetBt transport.

 

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{1E0CD0EC-EF2F-43A2-871A-89AFAA15427F}

The browser is bound to 1 NetBt transport.

 

 

DC discovery test. . . . . . . . . : Passed

 

 

DC list test . . . . . . . . . . . : Passed

 

 

Trust relationship test. . . . . . : Passed

Secure channel for domain 'DOMAIN' is to '\\SRV2008-LOKAL.domain.lokal'.

 

 

Kerberos test. . . . . . . . . . . : Passed

 

 

LDAP test. . . . . . . . . . . . . : Passed

 

 

Bindings test. . . . . . . . . . . : Passed

 

 

WAN configuration test . . . . . . : Skipped

No active remote access connections.

 

 

Modem diagnostics test . . . . . . : Passed

 

IP Security test . . . . . . . . . : Skipped

 

Note: run "netsh ipsec dynamic show /?" for more detailed information

 

 

The command completed successfully

Link zu diesem Kommentar

Wenn ich von einem der DCs allerdings z.B. nslookup exchange.domain.lokal eingebe, erscheint die Fehlermeldung:

 

*** exchange.domain.lokal wurde von server2008-lokal.domain.lokal nicht gefunden: Non-existent domain

:confused:

 

 

Das Ereignisprotokoll sieht ansonsten ganz ok aus. Zumindest keine Einträge, die jetzt noch Probleme mit dem AD oder DNS vermuten lassen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...