Jump to content

Unternehmens CA tot


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Egal wie lange man EDV macht - man lernt täglich dazu...

 

An einer Schule habe ich eine grausige Aufgabe bekommen die ich aktuell nicht lösen kann und von der ich vermutlich auch nur Teile kenne....

 

AD im Dezember 2007 auf Server 2003 Basis installiert, seitdem gesichert Wechsel auf 2* 2008 R2 als DC, von Beginn an mit Exchange etc. Durch wechselnde Admins und Ruheständler kann ich nur auf die mir zur Verfügung stehenden Infos aufsetzen und hoffe diese so vollständig wie möglich weiterzugeben:

 

CA lief auf einem der beiden 2008 R2 DCs, stellte aber weder für Clients noch Memberserver Zertifikate aus, deshalb hat sie der Admin gelöscht (Rolle entfernt und DB aus Dateisystem gekillt) und auf einem 2016er Memberserver eine neue Unternehmens CA aufgesetzt hat. Diese soll sowohl für den Exchange als auch NPS / Radius WLAN etc genutzt werden.

 

Stand jetzt (und da kam ich ins Spiel) gibt die CA nur keine Zertifikate raus, weder an die DCs (mittlerweile 2* 2008 R2 am Hauptstandort plus 2* 2012 R2 am zweiten) noch Clients bekommen Zertifikate ausgestellt, auch Computer bekommen trotz GPO zur automatischen Registrierung keine.

 

Auf den Clients taucht in den Internet Optionen unter Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen die neue CA auf, die alte erscheint nicht mehr.

 

Auf Nachfrage habe ich noch raus bekommen das er die alte CA gemäß dieser Anleitung aus dem AD mit Hilfe der MMC Active Directory-Standorte und -Dienste gekillt hat:

 

https://technet.microsoft.com/en-us/library/dn486797(v=ws.11).aspx#

 

Dort taucht auch nur noch die neue CA auf, sonst nichts.

 

Die MMC der Zertifizierungsstelle hat auch jede Menge Vorlagen inklusive Computer und Domänencontroller, nur leider bekomme ich keine Zertifikate ausgestellt und weiß mir gerade auch nicht zu helfen, es klappt auch keine manuelle Anforderung eines Computer Zertifikates mit Hilfe der MMC.

 

Weiß jemand Rat?

Link zu diesem Kommentar

Moin,

 

naja, müsste man sich mal ansehen. :D

 

Gemäß üblichen Troubleshooting-Vorgehensweisen würde ich jetzt mal Eventlogs durchsehen. Dann würde ich mir die tatsächliche Konfiguration der CA mal ansehen. Auch würde ich schauen, ob denn überhaupt Zertifikatsvorlagen eingerichtet und passend berechtigt sind. Dass sie vorhanden sind, heißt ja noch nicht, dass sie auch bereitgestellt sind.

 

Wenn ich so nicht weiterkäme, würde ich mir jemanden suchen, der sich mit der Windows-CA auskennt. Da sich die Komponente leider seit Windows 2000 kaum weiterentwickelt hat, ist sie nicht ganz selbsterklärend, man muss schon einiges dazu wissen.

 

Und ernsthaft: Wenn man eine PKI einrichtet, ist das eine Sicherheitskomponente. Sowas würde ich nicht nur mit Forensupport machen.

 

Gruß, Nils

Link zu diesem Kommentar

Das liegt vermutlich nicht an der Historie der vorherigen CAs sondern rein an der jetzigen bzw. eher den Gruppenrichtlinien dazu. Hast du mal in die Ereignisanzeige der CA geschaut?

 

Ansonsten würde ich für Exchange, nachdem der vermutlich ja auch extern erreichbar sein soll, lieber ein paar Euronen in die Hand nehmen für ein externes Zertifikat. So teuer sind die Dinger nicht.

 

Aber ganz ehrlich: Per GPO haben wir das auch nie hinbekommen das sich die DCs automatisch neue Zertifikate holen. Irgendwelche nichtssagenden RPC Fehler. Keine Ahnung warum. Wir haben dann ein neues Zertifikatstemplate für die DCs erstellt mit mehreren Jahren Laufzeit und aktualisieren die Dinger dann halt manuell. Für 3 DCs geht das schon noch.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...