NorbertFe 2.099 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Und wäre definitiv zu empfehlen. ;) Zitieren Link zu diesem Kommentar
variousos 0 Geschrieben 25. Juni 2015 Autor Melden Teilen Geschrieben 25. Juni 2015 sorry...was meint Ihr mit "member-Server"? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Einen Windows-Server 2008R2 oder 2012R2, der kein DC, sondern nur Mitglied der Domäne ist. Bei 2012R2 kann man die Root-CA z.B. nicht mehr auf einem DC installieren. ;) Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Bei 2012R2 kann man die Root-CA z.B. nicht mehr auf einem DC installieren. ;) Kann man doch ;) Eine Root CA gehört weder auf einen DC noch auf ein Member. Eine Root CA gehört offline. Zitieren Link zu diesem Kommentar
NorbertFe 2.099 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 Kannst ja auf den Memberserver dann offline schalten ;) Jaaaaaa...... Zitieren Link zu diesem Kommentar
variousos 0 Geschrieben 25. Juni 2015 Autor Melden Teilen Geschrieben 25. Juni 2015 Ich mache doch die ganze Zeit nichts anderes...oder sprechen wir aneinander vorbei? Ich installiere auf einer VM...genannt SRV-RootCA 2012R2 (auch die RootCA kann auch 2012 installiert werden), dann die Rolle "Zertifikate", und in den "erweiterten" Zertifikatsdienste soll es dann weiter gehen...mit "EnterpriseCA"...was ja nicht funktioniert! Ich kann die nicht auswählen! Oder meint Ihr etwas anderes? Im übrigen gehe ich davon aus, dass bei einer zweistufigen PKI der Root NIEMALS Domänenmitglied wird, sondern nur die SubCA. Und der Root wird doch auch herunter gefahren....ist doch eine online-CA.... Oder habe ich Euch missverstanden...und Ihr meintet etwas anderes? hier...so sieht es seit gestern morgen aus! Es gelingt einfach nicht die Enterprise auszuführen...egal wie oft ich es versuche. Die VM war neu installiert (habe gelernt, dass auf den DC absolut nichts installiert werden soll), ist kein Domänenmitglied, die Firewall ist deaktiviert...und dann kommt das.... Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 25. Juni 2015 Melden Teilen Geschrieben 25. Juni 2015 (bearbeitet) Das ist auch korrekt so. Den oberen Installationstyp (Unternehmen) bekommt dann die Issuing CA welches auf dem Root CA-Zertifikat basiert und Dir die Zertifikate innerhalb des Unternehmens ausstellt. Würde Dir wärmstens empfehlen die Grundlagen auf Technet zu wälzen ;) bearbeitet 25. Juni 2015 von Weingeist Zitieren Link zu diesem Kommentar
variousos 0 Geschrieben 25. Juni 2015 Autor Melden Teilen Geschrieben 25. Juni 2015 @Weingeist...aus dem Kontext heraus mag Du glauben, dass es richtig sei...aber dem ist nicht so....lies aber erst. Und dann kannst Du mir vielleicht aufzeigen, solltest Du Recht haben, was ich falsch mache oder welchen Gedankenfehler ich begehe. Ich installiere eine VM = RootCa (oder auf offlineCA). Die muss, weil sie ja gewollter Weise über keine Active Directory Mitgliedschaft verfügen wird, als "Eigenständige Zertifizierungsstelle" konfiguriert. Nachdem sie erstellt wurde und die CRL, AIA entsprechend bearbeitet wurden, wird das Zertifikat veröffentlicht. Dann erstelle ich eine SubCA (Mitglied der Domäne) und den IIS-Server. So...und jetzt kommt es was ich meine: Ich MUSS ja jetzt für die SU eine "Unternehmenszertifizierungsstelle" (EnterpriseCA) erstellen - keine "Eigenständige" und das klappt nicht, weil das ausgegraut ist! Was ist falsch daran? Das ist der normale Installationsgang einer zweistufigen PKI. Oder was ist daran falsch??? Wenn ich einen Fehler begehe und Du ihn mir aufzeigst... ICH WÄRE ÜBERGLÜCKLICH!!! @Weingeist... so sieht es aus, wenn ich die "Root-CA" (links) erstellt habe...und dann die untergeordnete CA erstellen möchte (rechts), die mir nicht die Möglichkeit gibt die Enterprise-CA auszuwählen... Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 26. Juni 2015 Melden Teilen Geschrieben 26. Juni 2015 (bearbeitet) Ach so... Dann sollte es eigentlich schon passen wenn Du sicher bist, dass die SubCa/Issuing CA bereits Domänen-Mitglied ist. Dann bleibt noch zu prüfen, ob Du auf der SubCA tatsächlich als Domänen-Admin eingeloggt bist oder als lokaler Admin. Wenn Dein AD versaut ist weil eine CA nicht sauber deinstalliert wurde, dann musst erst das sauber bereinigen bzw. in Ermangelung an Erfahrung das ganze nochmals neu aufsetzen und das hier z.B. als Spielwiese zu behalten. Spart auf lange Sicht Zeit. bearbeitet 26. Juni 2015 von Weingeist Zitieren Link zu diesem Kommentar
variousos 0 Geschrieben 26. Juni 2015 Autor Melden Teilen Geschrieben 26. Juni 2015 Guten Morgen @Weingeist, ja...ich habe die SubCA in die Domäne genommen und bin auch immer als Domain-Admin angemeldet. Ich habe nach dem Link, den @inno-it mir zugeschickt hat, im ADSI-Editor alle CA-Einträge händisch gelöscht. Danach tauchten auch die CA´s in der AD nicht mehr auf. Damit hatte ich gehofft, wie in dem Thread vom Link aufgezeigt, dass das Thema erledigt sei. Hättest Du eine Idee? LG variousos DIESER FALL KANN ALS GELÖST AUFGEZEIGT WERDEN!!! Ich habe heute morgen, nach dem ganzen Bearbeiten im Editor den ganzen Rechner neu gebootet. ES KLAPPT!! Ich kann die Zertifizierungsstelle "Enterprise" jetzt auswählen. Kann ein Reboot dafür verantwortlich sein? :) :) :) :) :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.