CoolAce 17 Geschrieben 27. Juli 2016 Melden Teilen Geschrieben 27. Juli 2016 Hallo zusammen, ich habe folgenden Eintrag von einem Kunden bekommen, bei einem Service Account und komme nicht dahinter was genau falsch beim Kunden konfiguriert wurde. Ich suche seit 3 Wochen aber stehe im Wald, über Tipps oder Links würde ich mich freuen OS:2008 R2 mit allen Patche Dies kommt vom DC Eventlog und vom Memberserver Protokollname: ApplicationQuelle: Microsoft-Windows-CertificationAuthorityDatum: 17.03.2016 10:11:42Ereignis-ID: 53Aufgabenkategorie: KeineEbene: WarnungSchlüsselwörter:KlassischBenutzer: SYSTEMComputer: DC1Beschreibung:Die Anforderung 11333 wurde abgelehnt, da Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374). Die Anforderung war für Domäne\SRVACCount01. Weitere Informationen: Verweigert vom RichtlinienmodulEreignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" /> <EventID Qualifiers="33370">53</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <EventRecordID>1762312</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer></Computer> <Security UserID="S-8-3-44" /> </System> <EventData Name="MSG_DN_CERT_DENIED_WITH_INFO"> <Data Name="Reason">Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374)</Data> <Data Name="SubjectName">Domäne\SRVACCount01</Data> <Data Name="AdditionalInformation">Verweigert vom Richtlinienmodul</Data> </EventData></Event> Service Accounts haben ja nicht zwingend eine Mail Adresse. LG Coolace Zitieren Link zu diesem Kommentar
Beste Lösung tesso 375 Geschrieben 27. Juli 2016 Beste Lösung Melden Teilen Geschrieben 27. Juli 2016 Sieht auf den ersten Blick nach einer Meldung der CA aus. Ich rate mal. Es gibt eine GPO die Usern automatisch ein Zertifikat ausstellt. Das schlägt für den Account fehl, da er keine Mailadresse hat. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Teilen Geschrieben 27. Juli 2016 Das mit der GPO klingt nach einem guten Ansatz, ich prüfe das mal. Könnte ich noch einen kleinen Tipp haben wo umgefähr ich die wieder finde ? Ich habe die Richtlinie gefunden beim Kunden, in der Benutzerkonfiguration unter Zertifikatdienstclient - Einstellungen für automatische Registrierung. Die ist aktiv, mir fehlt nur noch geistig der Zusammenhang zu der Meldung Noch eine Frage dazu, müssen Service Accounts Zertifikate automatisch erneueren ? Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 27. Juli 2016 Melden Teilen Geschrieben 27. Juli 2016 Wenn der Serviceaccount kein Postfach hat, hat er keine Mailadresse. Wenn er keine Mailadresse hat, erfüllt er nicht die Bedingungen für das Austellen eines Zertifikats. Wenn er keins braucht, dann ignoriere die Meldung einfach. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Teilen Geschrieben 27. Juli 2016 Das habe ich nun verstanden und vielen Dank für den Tipp und gleichzeitig Lösung. Ich bin mir nur bei einem Punkt nicht sicher, muss ein Service Account Zertifikate automatisch erneuern können um Einwandfrei arbeiten zu können? Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. Juli 2016 Melden Teilen Geschrieben 27. Juli 2016 Wenn er kein Zertifikat benötigt, und das kann er jetzt ja demzufolge schon nicht haben, dann wird er wohl funktionieren. ;) Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Teilen Geschrieben 27. Juli 2016 Perfekt, ich danke allen beteiligten für die Hilfe und Unterstützung :-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.