doktor floH

Deine Screenshots im ersten Post sehen schon ziemlich strange aus. Besonders #2 und #3. Normalerweise sind die Tabellen in den Fenstern von links nach rechs (#2) und oben nach unten (#3) sauber gefüllt und haben keine Leerfelder wie bei dir. Vielleicht ist in der DB etwas durcheinander geraten.

 

https://blogs.technet.microsoft.com/askds/2010/08/31/the-case-of-the-enormous-ca-database/

Compact oder ein Integrity Check mit Esentutl kann auf keinen Fall schaden! (aber bitte Backup vorher machen!)

Wie alt, wie groß und wie gepflegt ist denn die Datenbank der CA? Diese DB braucht recht wenig Liebe und Zuneigung, aber ganz ohne geht's in größeren Umgebungen mit Autoenrollment über einen längeren Zeitraum auch nicht.

die Lücken habe ich händisch hinzugefügt ;) Ich dachte es wäre so leichter zu erkennen um welches Zertifikat es sich handelt, es standen noch andere Zertifikate im Fenster welche ich "übermalt" habe.

Die Datenbank ist mittlerweile ca 1 Jahr alt und ist dementsprechend nicht sonderlich groß. Sie lief auch bisher immer "einfach so" halt bis zu dem Zeitpunkt als wir die Server Version erhöht haben.

Heyho,

leider hat dies keine Abhilfe geschafft :/

Ích habe verschiedene Varianten probiert die in Frage kommen würden, jedoch war bei allen Varianten das selbe, gleichbleibende Ergebnis, dass die Berechtigung anscheinenend nicht ausreicht. Hat noch jemand eine Idee?

Hallo,

was passiert wenn du die Ursprungsvorlage duplizierst und mal die Serverversion deiner CA statt "Server 2003" einträgst?

ich meine das thema waer sogar ne prüfungsfrage.

Wäre ja möglich, dass ich sogar ein Prüfer bin? ;)

Werde das mal testen, so rum habe ich es noch nicht probiert...

@Jim di Griz

So wurde es gemacht ;)

Abgesehen davon, dass der DC nun einen anderen Namen hat. Könnte das ein Problem sein?

Das Zertifikat rufe ich über das mmc snapin Zertifikate (computerzertifikate) ab. Unter eigene Zertifikate / Zertifikate / Alle Aufgaben / Zertifikat anfordern.

Die Berechtigungen auf das zertifikat Computer old sind wie folgt:

auth. users: read

computers: enroll certificates / autoenroll

@zahni

was meinst du mit veröffentlicht? Im Allgemeinen sind die Zertifikate ja abrufbar, jedoch nur von Win8/2012 oder aktuelleres OS, darum war meine Vermutung, dass die Kompatibilitätseinstellungen nicht greifen.

Liebe Gemeinde!

Ich bin frisch. Und bringe eine Frage mit.

Pflichtbewusst wie ich bin habe ich die Active Directory Landschaft von Server 2008R2 Datacenter auf 2012R2 Datacenter upgedraded. Soweit so gut,jedoch war unsere CA war ein Teil unseres 1. Domain Controllers und seitdem die CA unter 2012 läuft können unsere Windows 7 Workstations kene neuen Zertifikate mehr anfordern, genauso unsere 2008 Server.

Folgende Systeme kriegen Zertifikate: server 2012. windows 8, windows 10

-

Die Zertifikate laufen ab September nach und nach ab.

Eine tickende Zeitbombe.

Das ist so mittelgut.

-

Was ich grob gemacht habe ist:

Ich habe das Computer Zertifikat was bisher funktionierte dupliziert, habe es in der AD public gesetzt und die Unterstützung für alles ab Windows Server 2003 und XP eingeschaltet. Das Zertifikat habe ich dann Computer old genannt und habe es via cmd Befehl in die templates aufgenommen. (Über die gui ging das nicht...hatte schon gedacht das dies hier auch das Problem sein könnte?)

Ich hab über die Problematik schon eine Menge gelesen habe jedoch irgendwie noch keine Lösung erarbeiten können. Im Anhang sind ein paar Screenshots. Bild1 ist aus dem template mit den Einstellungen welche ich für essenziell erachte. Bild 2 zeigt das verfügbare Cert auf meinem Windows 10 Client, Bildchen 3 zeigt das nicht verfügbare Cert auf einem Windows 7 Client.

Hat hier jemand schonmal ein ähnliches Problem gehabt oder hat einen Tipp wo ich noch drehen könnte?

mit besten Grüßen

floH