Keine Zertifikatvorlagen gefunden [...] auf https://Server/certsrv W2008R2

[blahblub 0]

Liebe Mitmenschen,

 

vielleicht könnt Ihr mir ja helfen.

Wir haben ein Mädchen für alles unter Windows Server 2008 R2.

"Wir" sind die anderen und ich bin der Typ, der in seinem Lerneffekt die vorrangige Entlohnung sieht und daher mit der Verwaltung dieses Servers beauftragt ist.

 

Ich bin also kein IT Pro im IT Pro Forum und hatte mich auch sehr lange nicht mit Windows auseinandergesetzt, weil man mich mit Linux zusammen an den Heizkörper gekettet hatte.

 

Besagter Server ist ein Domänencontroller, ein Terminalserver, eine Zertifizierungsstelle, ein VPN-Endpunkt, ein Fileserver, ein Printserver und was weiß ich nicht alles.

 

Das gesamte System spuckt keine Fehler- oder Warnmeldungen mehr aus bis auf einen DCOM-Fehler mit der ID 10016, jedesmal, wenn ich https://Server/certsrv benutzen möchte.

 

Möchte ich eine Zertifikatsanforderung einreichen, kommt die Meldung, dass keine Zertifikatsvorlagen gefunden wurden, der Benutzer nicht die nötigen Rechte habe oder die Verbindung zu Active Directory nicht besteht.

 

Möchte ich die Zertifikatskette oder das Root-Zertifikat der Enterprise-Zertifizierungsstelle herunterladen, steht da, der Zertifizierungstellendienst würde nicht laufen (was er aber tut).

 

Ich kann per certmgr.msc Zertifikate anfordern, das Auto-Enrollment klappt auch, alles klappt, bis auf diese Certsrv-Website.

 

Wenn ich auf dem Server localhost/certsrv, FQDN/certsrv oder NetBios/certsrv aufrufe, passiert folgendes,

also der DCOM-Fehler 10016:

Er sagt, dass durch die Berechtigungseinstellungen (anwendungsspezifisch) der SID ... für den Benutzer ...[der das Zertifikat anfordern will] von der Adresse LocalHost (unter Verwendung von LPRC) keine Berechtigung zur Aktivierung (lokal) für die COM-Serveranwendung für CLSID ... und APPID ... gewährt wird.

 

Jetzt weiß ich aber nicht mehr weiter.

CLSID und APPID gehören zu "CertSrv Request" unter "DCOM-Konfiguration" in comexp.msc.

"Jeder" darf da aber lokal aktivieren. "Jeder" darf auch remote aktivieren. Nur nicht starten. Aber da läuft ja auch alles.

 

Per Rechtsclick auf "Arbeitsplatz" in comexp.msc in den Eigenschaften auf dem Reiter "COM-Sicherheit"  sind die Limits für Start- und Aktivierungsberechtigungen für "jeden" auf "lokaler Start" und "lokale Aktivierung" gesetzt.

Der "Zertifikatsdienst-DCOM-Zugriff" hat bei den Limits die Rechte "lokal aktivieren" und "remote aktivieren".

 

Der Default Application Pool im IIS 7 (wo Certsrv drin ist) läuft unter der ApplicationPoolIdentity.

Würde es etwas bringen, da "Netzwerkdienst" oder "Lokales Systemkonto" auszuwählen?

Ich habe mal den Zertifikatsregistrierungs-Webdienst neu installiert, aber das hatte nur zur Folge, dass der virtuelle Ordner "certenroll" unterhalb der Default Website nicht mehr Windows-Authentifizierung, sondern anonyme Authentifizierung als Benutzer "iusr" verpasst bekommen hat.

Das hat keinerlei Auswirkungen auf irgendetwas Problembezügliches gehabt.

 

Ich frage lieber vorher, bevor ich alles schlimm mache und dann ein Buch schreiben muss, wie mich ein Server in die Psychiatrie gebracht hat.

 

Ich habe folgendes geprüft: http://support.microsoft.com/kb/811418/en-us

Alles okay, was das angeht.

Ich habe folgenden Thread hier im Forum beackert: http://www.mcseboard.de/topic/149605-es-wurden-keine-zertifikatvorlagen-gefunden/

Da habe ich dann unter anderem noch http://board.issociate.de/thread/400154/No_Certificate_Templates_error.html gefunden, wusste aber nicht, welche Option für "online CA" der eine Autor meint, aber ich habe ja auch meinen DCOM-Fehler, nach dem in besagtem Thread hier im Forum von olc gefragt wurde, der da aber nicht relevant war.

Habe mit

C:\> dsacls "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=tld"

die Berechtigungen gecheckt.

Da ist alles genau so, wie es auch im erwähnten Thread nicht beanstandet wurde.

 

Ich google seit einer Woche und habe gerade 3 Fenster mit jeweils ~50 Tabs geöffnet, aber nichts hilft mir so recht.

 

Es wäre sehr nett, wenn sich jemand meines Problems annehmen könnte.

 

Vielen Dank und viele Grüße

 

blahblub

[blahblub 0]

Liebe Leute,

 

nur, falls es jemanden interessiert und man sich graue Haare ersparen möchte:

 

Des Rätsels Lösung ist ganz einfach.

 

Auf dem CLIENT in den Internetoptionen einmal den "geschützten Modus" für die "vertrauenswürdigen Websites" einschalten, Internet Explorer neu starten, wieder ausschalten, IE neu starten, fertig.

 

Der DCOM-Fehler auf dem Server ist weg, die Zertifikatvorlagen da, alles ist gut und Windows Ratschluss in diesem Falle für mich unerforschlich.

 

So, viele Grüße und einen guten Start in die Woche.