autoenrollment für Userzertifikate klappt nicht, keine richtige Fehlermeldungen

[4zap 17]

Hallo Leute

 

heute rollt meine PKI keine Userzertifikate mehr über das autoenrollment aus. Was bislang immer sauber lief will seit drei Tagen nicht mehr. Jeder der sich an einem Computer im Firmennetzwerk anmeldet (corp.domain.xx) erhält ein Userzertifikat wenn für ihn noch keins auf diesem Rechner existiert. Das Autoenrollment für die Computerzertifikate funktioniert nach wie vor. Frisch deployte Rechner die über den SCCM angesteuert wurden haben alle ihr Computerzertifikat erhalten, nach Anmeldung eines Users am Rechner kommt die GPO für die autoenrollment durch und wird auch als erfolgreich angezeigt. Aber ausgeführt wurde die nicht. Das Userzertifikat ist nicht im Store... auch nach mehrmals neu starten, GPO forcen, usw. kommt da nix an.

Ich finde im Eventlog nix (am Client) egal wo ich schaue. Zwischendurch tauchten mal Certification errors auf mit der eventID 64 und 65. Recherche dazu brachte nichts brauchbares. An der RootCA sehe ich noch nichtmal die Anfrage.

 

Kurze Analyse:

- DNS geht, Hostnamen können aufgelöst und erreicht werden

- über die SubCA kann ich per https://meinserver/certsrv Userzertifikate requesten und die werden auch ausgestellt

-das ganze geht auch über intranet mit der RootCA (offlline CA) per https://meineCA/certsrv, der request geht durch, das Userzertifikat wird ausgestellt und kann installiert werden

- das ganze geht auch in der MMC für die Benutzer.... ich kann bei der RootCA ein Zertifikat requesten und es wird ausgestellt. 

Es läuft eigentlich alles, nur das autoenrollment für die lxkcjcfs84(hier steht ein langer häßlicher Fluch) wollen nicht mehr. Bei der Masse an Clients die wir verwalten wäre das Autoenrollment schon schick, ich möchte nicht an jedem neuen Client einen manuellen Request losschicken müssen.

Die Berechtigungen des Zertifikatstemplates sind ok, alle Rechte für auth. Benutzer für das Autoenrollment sind richtig.

 

GPO wurde schon neu erstellt, keine Besserung dadurch.

 

Ich vermute hier trotzdem auch eine Sicherheitsfilterung. Weiß jemand wo ich noch schauen kann um den Fehler zu finden? Certutil kenn ich, hab aber selten damit gearbeitet.

 

Jemand noch ne Idee bevor ich Ivan in Bukarest anrufe?

 

Danke & Gruß

Danke, hat sich erledigt. Hat wohl einen Moment gedauert bis meine neue GPO griff. Es geht wieder, User kriegen wieder automatisch ihr UserCert wenn sie sich anmelden und es ist noch nicht auf dem Rechner installiert war. :D *froi*

[tesso 375]

Aktiviere an einem Client mal das Log Capi2 und melde einen User an der kein Userzertifikat hat. Dann  solltest du in besagten Log sehen, ob die Anfragen evtl. Fehlschlagen.

[4zap 17]

Aktiviere an einem Client mal das Log Capi2 und melde einen User an der kein Userzertifikat hat. Dann  solltest du in besagten Log sehen, ob die Anfragen evtl. Fehlschlagen.

 

Hallo tesso

 

wie oben noch am Ende angefügt, ich war mal wieder zu ungeduldig. Als alles repliziert war auf alle DC's weltweit hat er auch wieder ausgerollt, Aber danke für den Tipp. Vermute hier klemmte die GPO. Insgesamt waren es mehr als zwei Stunden Wartezeit. Vielleicht klemmte auch irgendwo die Verbindung im Azure.... es geht jedenfalls wieder wie gewohnt.