"Enterprise-CA" lässt sich nicht anwählen...

[variousos 0]

Hallo Zusammen,

 

ich hatte öfter Konfigurationsprobleme beim Erstellen meiner neuen PKI. Ich habe die beiden VM´s (Root- und SbCA) dann gelöscht (aus Hyper-V "Virtuelle Computer", die "Vdisk" in dem Ordner und die Server auch in dem Ordner "VirtuelleMaschinen".

 

Ich habe dann im DC die bis dahin erstellten VM´s gelöscht 

 

Jetzt habe ich seit gestern morgen das Problem, dass ich zwar die "offline-CA" erstellen und konfigurieren kann - nicht jedoch die "Sub-CA". An der Stelle, an der ich die "Enterpise-CA" auswählen muss, ist diese ausgegraut! Ich habe die Rolle schon deinstalliert...neu erstellt...aber immer noch das gleiche Problem.

 

Habe ich etwas nicht beachtet? Wie deinstalliert man ganzheitlich eine CA? Sind irgendwo noch Einträge, die es verhindern, das ich die SUB-CA konfigurieren kann?

 

DANKE für eine hilfreiche Antwort

 

variousos

[Nobbyaushb 1.487]

Wenn du die Root-CA deinstalliert hast, kannst du keine Sub erstellen.

 

Meist hilft hier ein Cleaning mittels ADSI Edit - aber mit äußerster Vorsicht verwenden! Damit kannst du die AD schrotten!

 

;)

[Dunkelmann 96]

Moin,

 

ich rate mal, Du möchtest der neuen CA den gleichen Namen wie beim ersten Versuch geben.

Eine CA wird im Idealfall sauber deinstalliert und nicht mit der groben Keule platt gemacht. https://support.microsoft.com/en-us/kb/889250

 

Hier gibt es eine Anleitung um die Reste zu entsorgen: https://support.microsoft.com/en-us/kb/555151

[variousos 0]

Hallo und guten Morgen @Dunkelmann,

 

eines ist gewiss. Ich habe die misslungen und nicht vollends erstellten PKI´s einfach gelöscht und mich nicht an dem dafür vorgesehenen Procedere gehalten. PUNKT! 

Das wird nicht mehr vorkommen!!!

 

So...genug der Eigenkritik. Ich habe besonders Deinem 2. Link meine Aufmerksamkeit geschenkt, vorher festgestellt, dass die Dinge die im 1. empfohlen werden, bei mir nicht funktionieren. Eben weil die Installation nie fertig gestellt wurde. ABER...nachdem ich in der Eingabeaufforderung vom DC (wo ja auch mein AD liegt) "certutil" eingab, zeigten sich 5 Einträge. Der erste war die auch defekte und jetzt herunter gefahrene PKI. Eintrag 1-4 sind eindeutig auf meinen Mist gewachsen! Ein 

 

"certutil -delkey "Name der CA" wird beantwortet mit: "Der Schlüsselsatz ist nicht vorhanden"..oder...

 

"-delkey-Befehl ist fehlgeschlagen:0x80090016 <-2146893802 NTE_BAD_KeySET>

 

Ich kann mir vorstellen, dass es auch dem Umstand geschuldet ist, dass die Installation nicht fertig gestellt wurden. Ob diese Einträge auch dafür verantwortlich sind, dass es mir nach dem erstellen der "Root-CA" nicht gestattet ist in der "SUB-CA" die "Enterprise-CA" auszuwählen, dass ist anzunehmen...oder?

 

Weisst Du wie ich die Einträge weg bekomme? Ich möchte mir nicht auch noch die AD "schrotten", wie @nobyaushb schrieb...

 

LG und DANKE

 

variousos

[Dukel 457]

Ist das eine Test oder Produktiv Umgebung? Wenn ersteres, dann installiere diese einfach neu.

[variousos 0]

Hallo @Dukel,

 

nein...keine Testumgebung. Ich benötige die PKI für meinen Exchangeserver. 

 

Insoweit muss ich die Einträge in der AD wohl wirklich erst loswerden. Sonst kann ich aus beschriebenen Grund wohl keine neue CA erstellen...

[inno-it 10]

Probiers mal hiermit. Ich hatte damals auch zuviel rumgespielt und die Enterprise CA lies sich nicht mehr installieren. Konnte es damit aber wieder hinbiegen.

 

http://poweradmin.se/blog/2010/11/18/some-fun-with-the-public-key-services-container-and-the-adcs-wizard/

[variousos 0]

Hallo @inno-it,

 

das was ich da von Dir bekam, macht mich richtig euphorisch als ich es las. Aber die Ernüchterung kam, als ich alles durchsuchte und feststellte, dass ich diesen "Public Key Services container" überhaupt nicht finde! Ich habe weder ein CN=Services...noch einen darin befindlichen Container "CN=RRAS".

 

In der Hoffnung, dass es nur an der oft unpassenden Übersetzung lag, habe ich alle Ordner durchsucht...aber ein Container "RRAS" wirklich nicht gefunden. 

Hat jamand eine Idee? (Man muss doch diese doofen Einträge im AD gelöscht bekommen...irgendwie?!)

[inno-it 10]

Du bist auch im falschen Namenskontext. Geh mal rechts auf Standardmäßiger Namenskontext und wähle dort Einstellungen - Konfiguration.

bearbeitet 24. Juni 2015 von inno-it

[variousos 0]

Mensch...gewusst wie und wo:-) DANKE...habe den Container löschen können.

 

Jetzt habe ich aber noch mal eine Verständnisfrage....wie startet man denn den "ACDS Wizards"?

 

Sorry für die "dumme" Fragerei!

 

LG

 

 

@inno-it,

 

sorry...die Frage war wirklich Dumm....Beantwortung nicht nötig:-)

[inno-it 10]

Ist die Enterprise CA nun wieder anwählbar gewesen?

[variousos 0]

Hallo @inno-it,

 

obwohl ich peinlichst den Ablauf so nachgestellt hatte, in der AD auch keine Einträge mehr vorhanden waren, bleibt es dabei, dass ich in einer SUB-CA keine "Enterprise-CA" auswählen kann.

 

Ich gehe schon mit dem Gedanken schwanger alles PLATT zu machen und neu zu erstellen. Wovor es mir aber GRAUT:-(

 

Hat jemand noch eine Idee???

 

LG

 

variousos

[Dukel 457]

Ich gehe schon mit dem Gedanken schwanger alles PLATT zu machen und neu zu erstellen. Wovor es mir aber GRAUT:-(

 

Wieso graut dir davor? Dann kannst du es wenigstens richtiger machen.

[variousos 0]

Hallo @Dukel,

 

weil es zwei Tage dauern wird, bis alles neu instaliert ist. Mein IPfire(wall) und so weiter.

 

Die Frage wäre, ob es nicht eine Option wäre den DC zu de- und neu zu installieren? Was haltet Ihr davon?

 

 

[Nobbyaushb 1.487]

Dann machst du ja schon alles neu...

 

Es sei denn, du hast mehr als einen.

 

Hast du schon mal versucht, die Root-CA auf einem Member-Server zu installieren?

 

Geht z.B. in einer schmalen VM.

 

;)

bearbeitet 25. Juni 2015 von Nobbyaushb