INTERKULTUR

Hallo Dukel,

Die CAs haben ledeglich Zertifikate im Rahmen des Autoenrollment-Services verteilt, die einzelnen Server und Arbeitsstationen haben sich diese ja regelmäßig abgeholt.

Die Frage ist nun, brauchen sie diese Zertifikate wirklich?

Hallo daabm,

vielen Dank für deine Antwort.

Ich habe dir CAs waren bereits installiert, als ich in die Firma kam, daher nahm ich an, dass diese benötig werden...zB für das Autoenrollment der Server.

Meine Frage wäre nun, ob ich die CAs einfach deinstallieren kann und das Autoenrollment damit einfach deaktiviere. Wir benötigen keine Zertifikate, auf dem Exchange-Server ist ein separates, Comodo-SSL-Zertifikat installiert. Es haben sich aber ja bereits mehrere Domänenrechner inkl. der Server Zertifikate abgeholt, damals, als die CAs noch funktionierten. Gibt es beim deinstallieren des CAs hier evtl. Probleme?

LG,

INTERKULTUR

Seit einiger Zeit funktioniert das Enrollment-System auf unseren Servern nicht mehr, wir bekommen sowie beim Autoenrollment, als auch beim manuellen Versuch über die MMC-Konsole folgenden Fehler, wenn wir versuchen ein neues Zertifikat anzufordern:

Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {0FCE8424-A909-4D47-82D2-698299874867} (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Fehler bei der Registrierung für Vorlage: KerberosAuthentication

Dies betrifft unter anderem Zertifikate der Vorlage "KerberosAuthentification", zB bei der Vorlage "Computer" funktioniert die Anfrage der Zertifikate.

Ich habe bereits alles versucht, was im Netz zu finden war, was üblicher Weise hier zu tun sein sollte, komme aber nicht weiter, die Fehlermeldung des Autoenrollment-Systems kommt daher täglich bei jedem Server.

Wir haben ein Domänennetzwerk mit 2 Domänencontrollern und mehreren Servern. Als Betriebssystem wird Windows 2008 R2 sowie Windows Server 2012 R2 eingesetzt. Die Hauptzertifikatsstelle ist auf dem PDC und eine weitere als Unterzertifikatsstelle auf dem BDC installiert. Außerdem ist noch eine weitere, welche früher die Hauptzertifikatsstelle war, auf einem Windows-Server als Unterzertifikatsstelle installiert. Das Enrollment der Kerberos-Zertifikate funktioniert leider von keinem der drei Zertifikatsstellen.

Wird überhaupt eine Zertifikatsstelle in einer Domäne zwingend benötigt oder können wir diese auch komplett deinstallieren und das Autoenrollment-System abschalten? Gibt dadurch irgendwelche Nachfolgeprobleme, zB mit dem Exchange-Server oder anderen Servern/Arbeitsstationen? Wir selbst nutzen aktive keine Zertifikate.

Beste Grüße,
INTERKULTUR