ericmichael 10 Geschrieben 6. April 2011 Melden Teilen Geschrieben 6. April 2011 Hallo Zusammen, ich habe hier einen XP Rechner, der leider so tut als hätte ich keine PKI. Ich betreibe eine dreistufige PKI und habe die Zertifikate und Sperrlisten in der AD veröffentlicht. Die dritte CA ist des weiteren als Enterprise CA installiert. Mittels ADSI-Editor habe ich die Einträge der PKI überprüft und konnte keine Fehler feststellen. Es gab vor ein paar Jahren zwar bereits eine CA in der Domäne welche ich vor Installation der neuen PKI aber entfernt habe. Auf dem betroffenen Client war allerdings noch das Zertifikat der alten PKI vorhanden obwohl dies vollständig aus der AD genommen wurde. Nach längerem verzweifeltem Suchen habe ich den Client neu in die Domäne aufgenommen. Danach hat er zumindest das alte Zertifikat entfernt. Leider lädt der Client die neuen veröffentlichten Zertifikate noch immer nicht. Hat jemand eine Idee ich dem Client beibringen kann, dass er sich die Informationen erneut besorgt? Es hat bisher schließlich auf fast 1000 Rechner funktioniert. Viele Grüße Eric Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. April 2011 Melden Teilen Geschrieben 6. April 2011 Hi Eric, was genau ist im AD veröffentlicht und vor allen Dingen wo? Am besten Du postest hier einmal einen Export der LDAP Daten (Public Key Container im Configuration NC). Ist auf dem betroffenen Client das Autoenrollment aktiviert (etwa per GPO)? Gibt es Fehler im Ereignisprotokoll? Wenn es sich nur um ein System handelt: Ist es die Mühe wert, das Problem zu verfolgen? Oder ist vielleicht eine Neuinstallation (mit einem aktuellen Betriebssystem) die "billigere" Alternative? Viele Grüße olc Zitieren Link zu diesem Kommentar
ericmichael 10 Geschrieben 7. April 2011 Autor Melden Teilen Geschrieben 7. April 2011 Hallo olc, ich meinte mit "im AD veröffentlicht", dass die Zertifizierungsstellenzertifikate im CN AIA und die Sperrlisten im CN CDP veröffentlicht sind. Des weiteren befindet sich im CN Certificate Authorities das Rootzertifikat und im CN Enrollment Services das Zertifikat der Unternhemenszertifizierungsstelle. Die Vorlagen sind auch installiert aber sind ja hierfür nicht relevant. Auf dem Client ist Autoenrollment per GPO aktiviert. Allerdings schlägt es fehl da dem Client keine Zertifizierungsstelle bekannt ist. Dies ist zumindest meine Vermutung, ich sehe aber keinen Einträge im Eventlog. Neuinstallation wäre natürlich eine Alternative. Aber um ehrlich zu sein möchte ich verstehen wo das Problem liegt. Ich kann derzeit nicht ausschließen, dass es noch weitere Rechner mit dem selben Problem gibt. In den MS Dokumentation wird zumindest erklärt, dass die Verbreitung der veröffentlichten Zertifikate im Zuge der Aktualisierung der Gruppenrichtlinien erfolgt. Aber auch ein gpupdate /target:computer /force brachte wie rebooten keinen Erfolg - aber auch leider keinen Fehler. Gruß Eric Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2011 Melden Teilen Geschrieben 7. April 2011 Hi, wenn es keine Ereignisprotokolleinträge gibt, wird es unter XP schwer die Ursache zu finden. Sicher, daß da nichts ist? Was sagt ein Netzwerktrace, auf LDAP gefiltert während einem 3x hintereinander ausgeführten GPUPDATE? Viele Grüße olc Zitieren Link zu diesem Kommentar
ericmichael 10 Geschrieben 7. April 2011 Autor Melden Teilen Geschrieben 7. April 2011 Hi, tja, die Ldap Abfragen sehen fast identisch wie auf meinem Rechner aus. Der einzige Unterschied ist, dass mein Rechner nach den Policies noch eine Suche auf den CN NTDS Settings, Public Key Services und NTAuthCertificates. Auch nach dem dritten Versuch sehen die Abfragen identisch aus. Da der Problemrechner dies nicht macht lädt er logischerweise auch die Zertifikate nicht. Allerdings weiss ich noch nicht wie ich den Rechner dazu bringen dort zu Suchen und vor allem was ihn dazu bewegt hat die CNs zu ignorieren. Gruß Eric Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2011 Melden Teilen Geschrieben 7. April 2011 Hi Eric, Wenn das Ereignisprotokoll nichts liefert, wird es schwer mit der Suche. Mir fällt da im Moment ehrlich gesagt nichts ein... Bringt ein "certutil -pulse" etwas? Viele Grüße, olc Zitieren Link zu diesem Kommentar
ericmichael 10 Geschrieben 8. April 2011 Autor Melden Teilen Geschrieben 8. April 2011 Hallo olc, nein ein certutil -pulse hatte ich auch schon versucht. Wobei das ja eigentlich auch darauf aufbaut, dass bereits die Zertifikate der Zertifizierungsstellen erfolgreich geladen wurden. Ich gebe aber nicht so schnell auf. ;-) Sobald ich was habe melde ich mich zurück. Gruß Eric Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.