edv-freak 10 Geschrieben 7. Mai 2018 Melden Teilen Geschrieben 7. Mai 2018 Hallo in die Runde, ich habe in der Firma das Problem, das Rechner mit dem neuen Windows 10 Update 1803 keine Computerzertifikate von der internen Windows Zertifizierungsstelle (2012 R2) anfordern können. Bzw. es sind keine Zertifikatstypen verfügbar. Grund: die Berechtigungen auf die Zertifikatsvorlage lassen es nicht zu das sich der aktuelle Benutzer für diesen Zertifikatstyp einschreibt. Das muss ein Bug sein, da der "Domänencomputer" das Recht zum registrieren hat ? Und andere Windows 10 Rechner mit älteren Build können problemlos Computerzertifikat anfordern.. Kann das bitte jemand prüfen, der gleiche oder ähnliche Konstellation hat ? Vielen Dank Frank Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 7. Mai 2018 Melden Teilen Geschrieben 7. Mai 2018 Was möchtest Du denn für Zertifikate abrufen bzw. wo kann sich "der aktuelle Benutzer" nicht reinschreiben? Wie willst Du die Zertifikate abrufen? Computerzertifikate können, wie der Name schon sagt, nur von Computern und nicht von Benutzern abgerufen werden. Zitieren Link zu diesem Kommentar
edv-freak 10 Geschrieben 7. Mai 2018 Autor Melden Teilen Geschrieben 7. Mai 2018 (bearbeitet) Ich habe mich vielleicht ungünstig ausgedrückt. Alle Windows 10 Rechner mit Build 1803 (egal ob neu installiert oder geupdatet) können keine Computerzertifikate anfordern. Es wird nicht angeboten. Der Computer soll/muss es ja auch anfordern können. Und das geht halt bei den neuen Win10 nicht. Bei allen anderen Domänen Rechnern (Win7, Win8.1, Win10 mit alten Build) geht's ja auch. Wir benötigen die Zertifikate für WLAN (802.1X WPA2 Ent) und VPN. bearbeitet 7. Mai 2018 von edv-freak Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 7. Mai 2018 Melden Teilen Geschrieben 7. Mai 2018 (bearbeitet) Du willst sie also manuell als Benutzer abrufen? ist die CA schon auf SHA256 umgestellt? Kann gut sein, dass 1803 keine SHA1-Zertifikate mag. bearbeitet 7. Mai 2018 von zahni Zitieren Link zu diesem Kommentar
edv-freak 10 Geschrieben 7. Mai 2018 Autor Melden Teilen Geschrieben 7. Mai 2018 Ja, im Moment manuell als Nutzer. Wollte aber auch zukünftig auf automatisch Registrieren umstellen. Das mache ich aber erst wenn das manuelle wieder klappt :) Ja die CA habe ich schon im letzten Jahr auf SHA256 umgestellt. Es betrifft nur die Computerzertifikate, Benutzerzertifikate lassen sich anfordern bzw. werden angeboten (nicht weiter getestet). Es wäre mal wichtig zu wissen ob jemand anders dieses Problem auch hat. Oder ob ich was an der CA ändern muss, immerhin habe ich diese seit Server 2008R2. Jetzt ist sie unter 2012R2. Habe auch schon in der Zertifikatsvorlage die Kompatibilitätseinstellungen auf Win8.1 probiert, leider ohne Erfolg. Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 7. Mai 2018 Melden Teilen Geschrieben 7. Mai 2018 Hats Du denn das Zertifikate-Plugin mit dem "Lokalen Computer" verbunden und die MMC als "Administrator" gestartet? Ich kann das hier aktuell nicht Test... Zitieren Link zu diesem Kommentar
edv-freak 10 Geschrieben 7. Mai 2018 Autor Melden Teilen Geschrieben 7. Mai 2018 Ja, das Zertifikatsplugin muss man als Administrator starten. Beim normalen User geht's gleich zu den Benutzerzertifikat. Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 Hier gibts diese Probleme nicht. Weder mit dem Computerzertifikat für DirectAccess noch mit dem für RDP. Also würde ich nicht von einem grundsätzlichem Problem/Bug ausgehen. Zitieren Link zu diesem Kommentar
edv-freak 10 Geschrieben 8. Mai 2018 Autor Melden Teilen Geschrieben 8. Mai 2018 @NorbertFe Läuft deine Windows CA unter 2012R2 oder höher ? Ich habe mir schon die Zertifikatsvorlagen angeschaut, aber nichts gefunden, warum diese nicht akzeptiert wird. Auch die Standard Computervorlage geht nicht unter dem neuen Build 1803. Zitieren Link zu diesem Kommentar
zahni 561 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 Ich zunächst mal die Eventlogs der Client-Maschinen untersuchen, Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 vor 58 Minuten schrieb edv-freak: Läuft deine Windows CA unter 2012R2 oder höher ? Ja. Zitieren Link zu diesem Kommentar
Pfuscher 12 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 Gleiches hier. Hab das Problem auch schon mit 1709 gehabt. Einige Clients werfen zum Geier die PKI CA raus oder akzeptieren die GPO mit dem Zertifikat nicht. Dadurch wird der PKI nicht vertraut. Dadurch keine Computer/Benutzerzertifikate. Dadurch kein WLAN. Rattenschwanz. Auffällig waren insbesondere Clients die mit Win10 RTM oder Win 7 ursprünglich gestartet sind und aktualisiert wurden. Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 Ist das eine Enterprise CA? Da sollte man das Root CA per Default doch nicht verteilen müssen, da es übers AD doch eh verteilt wird. Insgesamt ist mir persönlich das Problem aber noch nicht untergekommen. Hast du denn mehr Infos gesammelt? Zitieren Link zu diesem Kommentar
edv-freak 10 Geschrieben 8. Mai 2018 Autor Melden Teilen Geschrieben 8. Mai 2018 @Pfuscher Also bei uns vertrauen die Win10 Build 1803 Clients (egal ob neu oder geupdatet) unserer CA. Ich kann problemlos Nutzerzertifikate anfordern. Habe auch getestet, ob möglicherweise GPOs die Probleme verursachen könnten. Aber auch das kann ich soweit ausschließen. Unsere PKI arbeitet mit einer SubCA in der Windows Domäne und die RootCA ist Standalone. RootCA Zertifikat wird per GPO verteilt, welches ja klappt. Das SubCA Zertifikat wird intern über das AD verteilt. Das klappt ganz normal. @NorbertFe Läuft deine CA unter 2012R2 oder Server 2016 ? Wurden deine Zertifikatsvorlagen verändert ? @zahni Leider findet man nix in den Eventlogs. Es treten ja eigentlich keine Fehler auf... Zitieren Link zu diesem Kommentar
NorbertFe 2.105 Geschrieben 8. Mai 2018 Melden Teilen Geschrieben 8. Mai 2018 vor 2 Minuten schrieb edv-freak: Läuft deine CA unter 2012R2 oder Server 2016 ? Wurden deine Zertifikatsvorlagen verändert ? Im Moment 2012R2. Natürlich wurden meine Zertifikatsvorlagen geändert. Wer verwendet denn bitteschön freiwillig die Default Templates (evtl. mal von den Domaincontroller Vorlagen abgesehen)? ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.