Certification Authority gibt nach OS-Upgrade keine Zertifikate mehr für ältere Windows Versionen aus

[doktor floH 0]

Liebe Gemeinde!

 

Ich bin frisch. Und bringe eine Frage mit.

 

Pflichtbewusst wie ich bin habe ich die Active Directory Landschaft von Server 2008R2 Datacenter auf 2012R2 Datacenter upgedraded. Soweit so gut,jedoch war unsere CA war ein Teil unseres 1. Domain Controllers und seitdem die CA unter 2012 läuft können unsere Windows 7 Workstations kene neuen Zertifikate mehr anfordern, genauso unsere 2008 Server.

 

Folgende Systeme kriegen Zertifikate: server 2012. windows 8, windows 10

 

-

Die Zertifikate laufen ab September nach und nach ab.

Eine tickende Zeitbombe.

Das ist so mittelgut.

-

 

Was ich grob gemacht habe ist:

Ich habe das Computer Zertifikat was bisher funktionierte dupliziert, habe es in der AD public gesetzt und die Unterstützung für alles ab Windows Server 2003 und XP eingeschaltet. Das Zertifikat habe ich dann Computer old genannt und habe es via cmd Befehl in die templates aufgenommen. (Über die gui ging das nicht...hatte schon gedacht das dies hier auch das Problem sein könnte?)

 

Ich hab über die Problematik schon eine Menge gelesen habe jedoch irgendwie noch keine Lösung erarbeiten können. Im Anhang sind ein paar Screenshots. Bild1 ist aus dem template mit den Einstellungen welche ich für essenziell erachte. Bild 2 zeigt das verfügbare Cert auf meinem Windows 10 Client, Bildchen 3 zeigt das nicht verfügbare Cert auf einem Windows 7 Client.

 

Hat hier jemand schonmal ein ähnliches Problem gehabt oder hat einen Tipp wo ich noch drehen könnte?

 

mit besten Grüßen

floH

[OliverHu 19]

Hi und Willkommen,

 

nochmal zum Anfang: wie hast du "geupgraded"? Liest sich so, als hättest du ein In-Place Upgrade gemacht :confused:

[Jim di Griz 13]

Hallo,

Wie wurde die .old-Zertikatsvorlage abgefragt?

Die Fehlermeldung im dritten Bild spricht doch klar von fehlenden Berechtigungen.

Da wuerde ich anfangen.

 

Die saloppe Beschreibung der Migration wundert mich, der empfohlene Prozess ist hier Migration, CA auf altem DC sichern (inkl. Reg-Keys), DC demoten und aus AD komplett entfernen,

neuen DC mit demselben Namen aufbauen und CA restoren. (Vereinfacht).

Ich meine mich zu erinnern das bei mir immer alles ueber die GUI ging was CA-Templates betraf, ausser SAN-Zertifikate erlauben.

 

Es fehlen ein paar Details zu Thema "upgegraded".

bearbeitet 1. Juli 2016 von Jim di Griz

[zahni 550]

Mal ins Blaue: Prüfen, ob die Templates aus dem AD in der CA auch veröffentlicht sind. Falls die CA beim Upgrade neu installiert wird (k.A, was MS da macht), kann es sein, dass dieser Schritt noch gemacht werden muss. Den muss man bei der Migration einer CA auch per Hand machen.

[doktor floH 0]

@Jim di Griz

So wurde es gemacht ;)

Abgesehen davon, dass der DC nun einen anderen Namen hat. Könnte das ein Problem sein?

"Die saloppe Beschreibung der Migration wundert mich, der empfohlene Prozess ist hier Migration, CA auf altem DC sichern (inkl. Reg-Keys), DC demoten und aus AD komplett entfernen,

neuen DC mit demselben Namen aufbauen und CA restoren. (Vereinfacht)."

 

 

Das Zertifikat rufe ich über das mmc snapin Zertifikate (computerzertifikate) ab. Unter eigene Zertifikate / Zertifikate / Alle Aufgaben / Zertifikat anfordern.

 

Die Berechtigungen auf das zertifikat Computer old sind wie folgt:

auth. users: read

computers: enroll certificates / autoenroll

 

 

 

@zahni

was meinst du mit veröffentlicht? Im Allgemeinen sind die Zertifikate ja abrufbar, jedoch nur von Win8/2012 oder aktuelleres OS, darum war meine Vermutung, dass die Kompatibilitätseinstellungen nicht greifen.

[Jim di Griz 13]

Hallo,

was passiert wenn du die Ursprungsvorlage duplizierst und mal die Serverversion deiner CA statt "Server 2003" einträgst?

ich meine das thema waer sogar ne prüfungsfrage.

[doktor floH 0]

Hallo,

was passiert wenn du die Ursprungsvorlage duplizierst und mal die Serverversion deiner CA statt "Server 2003" einträgst?

ich meine das thema waer sogar ne prüfungsfrage.

 

Wäre ja möglich, dass ich sogar ein Prüfer bin? ;)

 

Werde das mal testen, so rum habe ich es noch nicht probiert...

[doktor floH 0]

Heyho,

 

leider hat dies keine Abhilfe geschafft :/

 

Ích habe verschiedene Varianten probiert die in Frage kommen würden, jedoch war bei allen Varianten das selbe, gleichbleibende Ergebnis, dass die Berechtigung anscheinenend nicht ausreicht. Hat noch jemand eine Idee?

[blub 115]

Deine Screenshots im ersten Post sehen schon ziemlich strange aus. Besonders #2 und #3. Normalerweise sind die Tabellen in den Fenstern von links nach rechs (#2) und oben nach unten (#3) sauber gefüllt und haben keine Leerfelder wie bei dir. Vielleicht ist in der DB etwas durcheinander geraten.

 

https://blogs.technet.microsoft.com/askds/2010/08/31/the-case-of-the-enormous-ca-database/

Compact oder ein Integrity Check mit Esentutl kann auf keinen Fall schaden! (aber bitte Backup vorher machen!)

Wie alt, wie groß und wie gepflegt ist denn die Datenbank der CA? Diese DB braucht recht wenig Liebe und Zuneigung, aber ganz ohne geht's in größeren Umgebungen mit Autoenrollment über einen längeren Zeitraum auch nicht.

[doktor floH 0]

Deine Screenshots im ersten Post sehen schon ziemlich strange aus. Besonders #2 und #3. Normalerweise sind die Tabellen in den Fenstern von links nach rechs (#2) und oben nach unten (#3) sauber gefüllt und haben keine Leerfelder wie bei dir. Vielleicht ist in der DB etwas durcheinander geraten.

 

https://blogs.technet.microsoft.com/askds/2010/08/31/the-case-of-the-enormous-ca-database/

Compact oder ein Integrity Check mit Esentutl kann auf keinen Fall schaden! (aber bitte Backup vorher machen!)

Wie alt, wie groß und wie gepflegt ist denn die Datenbank der CA? Diese DB braucht recht wenig Liebe und Zuneigung, aber ganz ohne geht's in größeren Umgebungen mit Autoenrollment über einen längeren Zeitraum auch nicht.

 

die Lücken habe ich händisch hinzugefügt ;) Ich dachte es wäre so leichter zu erkennen um welches Zertifikat es sich handelt, es standen noch andere Zertifikate im Fenster welche ich "übermalt" habe.

 

Die Datenbank ist mittlerweile ca 1 Jahr alt und ist dementsprechend nicht sonderlich groß. Sie lief auch bisher immer "einfach so" halt bis zu dem Zeitpunkt als wir die Server Version erhöht haben.

[blub 115]

Klasse!

ein Integrity Check würde ich aber trotzdem machen

[Jim di Griz 13]

der genaue fehlercode waere interessant. Ist da nicht irgendwas in den Logs? Ich habe dieselbe Prozedur hinter mir, hatte jedoch nur kurz Probleme nach der Migration durch einen angepassten dcom-port.

Den ComputerNamen der CA habe ich allerdings nicht geändert. Stimmt die Root-CA auf den betroffenen Clients? Gibt es evtl. noch alte GPOs zu Organisationsvertrauen etc.? die Gruppenmitgliedschaften stimmen alle (DCOM-Cert-blabla)? DCOM selbst ist in Ordnung? Sind die Links zur Verifizierung der Zertifikate alle in Ordnung (Sperrlisten usw.)?

Das Thema interessiert mich, daher die Wortmeldung, sehe das aber ähnlich wie der TE, die CA funktioniert im "LAB" soweit problemlos vor sich hin, habe daher kein vertieftes Praxiswissen zum troubleshooting. Kann leider nur Fragen stellen die ich dazu mal hatte.