holzapfel 10 Geschrieben 27. Dezember 2017 Melden Geschrieben 27. Dezember 2017 Hallo zusammen, ich bin gerade beim Vorbereiten einer Migration auf einen 2008R2 DC (alleiniger DC) auf ein paar Probleme gestoßen... Im Servermanager sehe ich unter den Active Directory-Zertifikatdiensten, dass der Zertifizierungsstellenzertifikat in wenigen Tagen abläuft. Ebenso der AIA-Speicherort #1 (das sagt mir jetzt nichts) Das Zertifikat wurde vom Datum her vermutlich beim letzten Updaten von 2003 auf 2008 erzeugt - mit der Laufzeit von 5 Jahren. Ich sehe unter den Fehlgeschlagenen Anforderungen "ID - 13 Der Erneuerungszeitraum ist länger als der Gültigkeitszeitraum des Zertifikats. Die Vorlage oder das CA Zertifikat sollten neu konfiguriert werden. 0x80094814 (-2146875372) Verweigert vom Richtlinienmodul Datum: Vor 10 Tagen Zertifikatsvorlage: Domänencontroller" Ich hätte jetzt mal selbst google bemüht... Kann es sein, dass das Problem war - dass normal neue Zertifikate nicht so lange laufen dürfen? Ich hätte jetzt mal mit: certutil rum gespielt. Aber die Verlängerung hier klappt auch nicht. (certutil -resubmit) Die alte Anforderung kann ich auch nicht irgendwie löschen - oder auch nicht das vorhandene verlängern :( Hat jemand einen Tipp was ich machen könnte? Ich hatte bisher mit dem Thema noch nie Probleme. Welche Folgen hätte es in dem Fall überhaupt, wenn das ganze abläuft? Besten Dank für jede Hilfe viele Grüße Zitieren
testperson 1.758 Geschrieben 27. Dezember 2017 Melden Geschrieben 27. Dezember 2017 (bearbeitet) Hi, prüfe doch einfach mal, welche Zertifikate deine CA ausgestellt hat und wofür. Ggfs. wäre es dann am einfachsten, wenn du die alte einfach deinstallierst und sofern wirklich benötigt, eine neue CA nicht auf einem DC installierst. Gruß Jan bearbeitet 27. Dezember 2017 von testperson Zitieren
holzapfel 10 Geschrieben 28. Dezember 2017 Autor Melden Geschrieben 28. Dezember 2017 Guten Morgen, also so wie ich die Zuordnung sehe (Screenshot) ist das Zertifikat eh nicht in Verwendung? Auf das AD oder sonst was könnte das Neuinstallieren keine negativen Auswirkungen haben? Das Zertifikat mit den selben Daten nach dem Ablauf zu verlängern wäre ja vermutlich schwierig. Wobei der Server eh durch einen aktuellen 2016DC ersetzt wird - da könnte man das ganze auch einfach laufen lassen um sich die Mühen zu sparen. Besten DANK! viele Grüße Zitieren
NilsK 2.978 Geschrieben 28. Dezember 2017 Melden Geschrieben 28. Dezember 2017 Moin, die Ansicht, die du gepostet hast, sagt hier nichts aus. Schau in der CA-Konsole nach, welche Zertifikate die CA tatsächlich ausgestellt hat. Wie Jan vermute ich auch, dass die CA in Wirklichkeit gar nicht benötigt wird. Dann wäre es am einfachsten, die CA-Dienste zu deaktivieren und die CA nicht zu migrieren. Und, ebenfalls wie Jan sagt, wenn du dann doch eine neue CA brauchst, dann lass dir diese richtig konzipieren und installiere sie auf einem separaten Server (bzw. mehreren). Gruß, Nils Zitieren
holzapfel 10 Geschrieben 29. Dezember 2017 Autor Melden Geschrieben 29. Dezember 2017 (bearbeitet) Guten Morgen, Also ich vermute das ja auch - aber wäre beruhigter, wenn mir diese Vermutung jemand bestätigen könnte. Es werden in der Firma weder Smartcards, EFS, IPSec mit den Zertifikaten, Email Verschlüsselung usw. verwendet. Das einzige Zertifikat, das meines Wissens überhaupt da aktiv läuft ist das vom Exchange Server. Ich habe mal noch einen neuen Screen angefügt - ich hoffe, damit kann man mehr anfangen? Sonst reiche ich natürlich jede nötige Info nach, ich bin ja super froh, wenn mir jemand weiterhelfen kann. Nochmals Danke und viele Grüße bearbeitet 29. Dezember 2017 von holzapfel Zitieren
tesso 377 Geschrieben 29. Dezember 2017 Melden Geschrieben 29. Dezember 2017 Du solltest die ausgestellten Zertifikate zeigen und dir anschauen. Zitieren
holzapfel 10 Geschrieben 29. Dezember 2017 Autor Melden Geschrieben 29. Dezember 2017 (bearbeitet) gerade noch hinzugefügt :) - sorry In den Ausstehenden Anforderungen ist nichts zu finden - in den fehlgeschlagenen finde ich die entsprechende Fehlermeldung die ich oben gepostet habe: bearbeitet 29. Dezember 2017 von holzapfel Zitieren
Nobbyaushb 1.506 Geschrieben 29. Dezember 2017 Melden Geschrieben 29. Dezember 2017 War / ist da noch ein SBS im Spiel? Du hast geschrieben zu 2008R2 - ist auch schon was alt.... Und ja, wenn sonst nichts läuft, würde die CA dann auch wegwerfen. Ich hoffe, das Exchange-Zertifikat ist von extern ausgestellt. ;) Zitieren
holzapfel 10 Geschrieben 29. Dezember 2017 Autor Melden Geschrieben 29. Dezember 2017 Nein. Vor vielen vielen Jahren ist da nur mal von 2003 auf 2008R2 upgedatet worden. Oben habe ich das leider falsch geschrieben - jetzt soll auf 2016 upgedatet werden :) Das Exchange Zertifikat ist schon von Extern - wurde aber ja auf/für die Exchange-Dienste / IIS auf dem Exchange Server ja ausgestellt. Vielen Dank für die Hilfe an alle - jetzt kann ich wieder beruhigt am Test des Updates weiter arbeiten! Zitieren
zahni 566 Geschrieben 29. Dezember 2017 Melden Geschrieben 29. Dezember 2017 Kleiner Hinweis: Die DCs rufen sich automatisch Zertifikate ab wenn eine CA vorhanden ist., u.a. für LDAPS. Was passiert eigentlich damit, wenn man eine CA "wegwirft". Werden sie automatisch auf "selbst signiert" umgestellt? Zitieren
NilsK 2.978 Geschrieben 29. Dezember 2017 Melden Geschrieben 29. Dezember 2017 Moin, wenn der DC kein Zertifikat von einer CA bekommt, dann gibt es kein LDAPS. Selbstsigniert wäre unsinnig, dem kann ja kein Client ohne Weiteres vertrauen. Die tatsächliche Entscheidung, ob die CA (vorläufig) wegkann, können wir dem TO nicht abnehmen. Wir können nur Hinweise geben, die aufgrund von Forumsinformationen auch nicht umfassend oder vollständig sein können. Es steht dem TO ja frei, sich kompetente Beratung einzukaufen, wenn er konzeptionell begründet vorgehen will. Gruß, Nils Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.