Vielleicht sehe ich ja mal wieder den Wald vor lauter Bäumen nicht und die Schilderung ist nicht detailiert genug :) Welchen Baum muss ich fällen? :D
Ich habe eine Beispielumgebung wie folgt:
- rootDomain:
Windows Server 2003 Standard Edition - DCs
Windows Server 2003 Enterprise Edition mit Enterprise CA, IIS (SSL) für CA (TEST!)
Windows Server 2003 Standard Edition mit Enterprise CA, IIS (SSL) für CA (TEST!)
- childDomain:
Windows Server 2003 Standard Edition - DCs
Windows Server 2003 Standard Edition mit subordinate root CA, IIS (SSL) für CA
Windows Server 2003 Standard Edition - Mitgliedsserver
XP Workstations, whatever
- User/Administrator/Webserver X bekommt über childDomain und subordinate root CA und administrativer Freischaltung (bei Standard Edition) sein Userzertifikat, EFS blablubb
- User/Administrator/Webserver X bekommt über rootDomain und subordinate root CA und administrativer Freischaltung (bei Standard Edition) sein Userzertifikat, EFS blablubb
Problem:
- Computer X bekommt über X...Domain KEIN Zertifikat (natürlich gibt es sie im DC, sonst gäbe es auch keine User :p)
Dieses Computerzertifikat ist aber für die RDP Einstellung notwendig um SSL aktivieren zu können. Bei einer CA Installation wird es ja lokal auch eingerichtet. Das muss doch auch bei einem herkömmlichen Mitgliedsserver funktionieren.
Die einzigen Zertifikate die ich für Computerkonten freigeschaltet bekomme über einen Assistenten, ist IPSec und DomainController. Welches aber zu einem Permission Denied bei jedem Computerkonto führt (auch DCs) :suspect:, wenn ich über das MMC SnapIn Certificates->Computerkonto->lokal->My Personal erfragen kann. Über die IIS Seiten bekomme ich keine Möglichkeit ein Computerzertifikat zu erfragen. Ich kann zwar über die Enterprise Edition Templates verwalten und der CA hinzufügen, aber für Computerkonten wird nichts Neues angezeigt, hmmm ...
Ich wäre echt für jede Hilfe dankbar :) Was mach ich falsch? Welchen Schalter habe ich vergessen? :) Darüberhinaus in welchem Buch (MS Press oder Sybex) wird der CA Server EXAKT beschrieben? Falls jemand der MCSE Experten sagt das es gar nicht möglich ist, wäre ich auch damit zufrieden :)
Grüße Cluny