Client mag kein AutoEnrollment

[leg]

Hallo zusammen,

wir haben wir ein paar Geräte, die kein Zertifikat per AutoEnrollment ziehen wollen.
Prinzipiell funktioniert es auf XP und Win7. CA ist auf Server 2003 und verteilt fleißig Zertifikate.

Ein paar Laptops möchten sich aber kein Zertifikat holen. Starten sie mit Netzwerk taucht im Eventlog nichts auf, starten Sie ohne Netzwerk meckert das AutoEnrollment die nicht verfügbare Domäne an.

Die Clients stammen soweit wir das bisher sehen alle aus der gleichen Generation (Lenovo T500) und haben damit mit hoher Wahrscheinlichkeit durch unser Image die gleiche Software, gleiche Einstellungen usw.

Kennt jemand dieses Phänomen im Zusammenhang mit irgendeiner falschen Konfiguration oder inkompatiblen Hardware?

Bin für jeden Hinweis dankbar.

Gruß
Stephan

[olc]

Hi Stephan,

vielleicht sind schlichtweg keine Zertifikattemplates vorhanden, auf die die Clients Lese- und Autoenrollment Berechtigungen haben? Prüf das doch noch einmal - oftmals liegt das Problem näher als man denkt.

Geht es um Benutzer oder Computer Autoenrollment oder beides?

Du könntest das erweiterte Autoenrollment Logging aktivieren, siehe dazu Troubleshooting (Certificate Autoenrollment in Windows Server 2003)

User Autoenrollment HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment: Create a new DWORD value named AEEventLogLevel"; set value to 0. Machine Autoenrollment HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment: Create a new DWORD value named "AEEventLogLevel", set value to 0.

Viele Grüße
olc

[leg]

Doch doch, prinzipiell funktioniert es sauber. Template wird auf fast allen Rechnern sauber installiert.
Nur eben auf bestimmten Rechnern nicht, scheinbar alles Lenovo T500.

Die Schlüssel zur erneuten Zertifikatsholung habe ich gelöscht, die Schlüssel zum erweiterten Logging eingefügt - keine Änderung. AutoEnrollment zeigt sich im EventLog nur, wenn ohne Netzwerk angemeldet wird.

Es handelt sich um Benutzerzertifikate, die wir fürs WLAN brauchen.

Noch Ideen?

[leg]

So, habe eins der fraglichen Geräte neu installiert und nur LAN und WLAN Treiber installiert.
Dann mit Domain Account angemeldet, 5min später war das Zertifikat da und ich sauber angemeldet.

Es muss also eine Unverträglichkeit mit Software oder einer Einstellung geben.
Ideen?

Danke
stephan

[olc]

Hi,

wenn keine weiteren Meldungen im Eventlog stehen, dann wird es schwierig.
Vielleicht ein Filtertreiber (AV, Firewall etc.) oder eine beliebige andere Applikation, die auf die Crypto Funktionen zugreift.

Installiere doch schrittweise einmal die Applikationen und prüfe das Autoenrollment - irgendwann muß es ja stoppen.

Viele Grüße
olc

[leg]

Genau, damit habe ich gestern schon begonnen.
Heute bin ich dann bei der Lenovo Fingerprint Software angekommen - kaum war sie drauf gabs kein Zertifikat mehr.

Wieder deinstalliert und siehe da: AutoEnrollment Successfull!

So, dann werde ich mal bei Lenovo recherchieren...

[anzoro]

Zitat von leg Genau, damit habe ich gestern schon begonnen. Heute bin ich dann bei der Lenovo Fingerprint Software angekommen - kaum war sie drauf gabs kein Zertifikat mehr. Wieder deinstalliert und siehe da: AutoEnrollment Successfull! So, dann werde ich mal bei Lenovo recherchieren...

Exakt das gleiche Phänomen habe ich jetzt bei T400 und X200s von Lenovo.
Beide haben den gleichen Fingerprint-Reader eingebaut und Lenovo bietet für beide den gleichen Treiber an vom 20.04.2009 in Version v3.2.0.341.

Kaum ist der Treiber deinstalliert, läuft alles wie geschmiert.

Installiere ich den Treiber, bekomme ich beim Start nicht mal mehr den Eintrag "Die automatische Zertifikatsregistrierung für lokaler Computer wurde gestartet". Es passiert einfach gar nichts. Manuelles Anfordern von Zertifikaten klappt. Certutil sagt alles sauber. Aber es läuft nicht automatisch.

Sobald der Treiber deinstalliert ist, kommen die Zertifikate automatisch auf den Rechner. Als würde der Treiber diesen Vorgang blocken.

Gibt es dazu schon eine Lösung von Lenovo?

Gruß
anzoro

[olc]

Hi,

der beste Weg, um eine Aussage dazu zu bekommen, ist wohl eine Anfrage bei Lenovo.

Viele Grüße
olc