AutoEnrollment - RPC-Server ist nicht verfügbar

Hallo zusammen,

ich komme bei diesem Problem echt nicht weiter. Seit wir eine Unternehmens-CA installiert haben, tritt folgender Fehler, alle 8h - ich nehme an, nach Aktualisierung der Richtlinien, auf unserem 2. DC auf:

Ereignistyp: Fehler

Ereignisquelle: AutoEnrollment

Ereigniskennung: 13

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar.

Der anderen DC (wo die Zertifizierungsstelle installiert ist) hat das Zertifikat dagegen automatisch erhalten.

weiter infos:

- Windows 2003 Server + SP1

- Die Seite der Zertifizierungsstelle ist zu den vertrauenswürdigen Sites hinzugefügt.

- Zertifizierungsstellenzertifikat wurde automatisch verteilt und befindet sich in "Vertrauenswürde Stammzertifizierungstellen"

- Händiges Richtlinien aktualisieren (gpupdate /force) hat nichts gebracht.

Leider hab ich keine Ideen mehr, auch nicht so ich noch suchen soll (eventid.net, support.microsoft.com - nix gebracht).

Ist jemanden von euch dieser Fehler schon mal untergekommen oder hab ihr noch Ideen was man testen könnte?

Danke für eure Hilfe.

so ich schon wieder ;)

wie ich festgestellt habe, tratt der erwähnte Fehler nur dieses wochenende auf und da hatten ein Problem mit der Netzwerkkarte des Zertifizierungsserver - dh der Fehler wäre schon mal abgehakt! *juhu*

aber seit letzte woche tritt der Fehler auf, welcher dem andern zum verwechseln ähnlich ist, sozusagen:

Ereignistyp: Fehler

Ereignisquelle: AutoEnrollment

Ereigniskategorie: Keine

Ereigniskennung: 13

Beschreibung:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert

Bis jetzt konnte ich diesen Fehler nicht beheben, hab schon folgendes gemacht:

===================================================

Zur Kontrolle ob es eine CA gab/gib, folgenden Filter setzten:

dsquery * forestroot -scope subtree -filter (objectclass=PkiEnrollmentService)

Mögliche Ausgabe:

"CN=InternalCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=domäne,DC=int"

>> ist korrekt

-------------------------------------------------------------------------------------------------

Nach SP1 wird Sicherheitsgruppe CERT_DCOM_ACCESS angelegt:

- Kontrolle ob DomainBenutzer und DomainComputer hinzugefügt sind

>> ja

-------------------------------------------------------------------------------------------------

MS: "Zuweisen von Berechtigungen für die Zertifikatsregistrierung

Zum Schluss müssen Sie jeder Sicherheitsgruppe der Domänencontroller der Domäne die Berechtigung gewähren, sich für die Domänencontrollerzertifikate zu registrieren.

So gewähren Sie Domänencontrollergruppen die Berechtigung, sich für Domänencontrollerzertifikate zu registrieren

1. Starten Sie das Snap-In für Active Directory-Sites und -Dienste.

2. Klicken Sie auf das Menü Ansicht und anschließend auf Dienstknoten anzeigen.

3. Doppelklicken Sie auf den Knoten Dienste und den Knoten Public Key Services und anschließend auf Zertifikatvorlagen.

4. Doppelklicken Sie auf Domänencontroller, dann auf Eigenschaften, und wählen Sie dann die Registerkarte Sicherheit.

Hinweis: Die Domänencontrollergruppe in der Domäne der Zertifizierungsstelle weist bereits die Berechtigung Registrieren für diese Vorlage auf. Sie müssen die Berechtigung Registrieren allen anderen Domänencontrollergruppen aus anderen Domänen in der Gesamtstruktur gewähren. Andernfalls verfügen diese Domänencontroller nicht über die Berechtigung, die Zertifikate Domänencontroller erfolgreich anzufordern, und deren automatische Registrierung schlägt fehl."

Authentifizierter Benutzer: read;

DC's: read, enroll

>>ok

-------------------------------------------------------------------------------------------------

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG

War erfolgreich und erhielt neuen Wert + certsvc neugestartet.

-------------------------------------------------------------------------------------------------

- Rechte auf Zertifikatsvorlage "Domänencontroller" gesetzt (domänencomputer: read,enroll; auth. Benutzer: read)

- Einstellung der Gruppenrichtlienen im Active Directory(-Benutzer und -Computer) auf Automatische Zertifikatsanforderung + autom. Registrierung

http://www.microsoft.com/germany/kleinunternehmen/aufgaben/sicherheit/artikel/erstellen-einer-organisations-stammzertifizierungsstelle.mspx

-------------------------------------------------------------------------------------------------

C:\Dokumente und Einstellungen\ibes_monitor>certutil

>> Eintrag von Zertifizierungsstelle korrekt

-------------------------------------------------------------------------------------------------

Rechte auf “C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys"

Administrator / Benutzer /System /Jeder -> alle mindestens Rechte zum lesen, ausführen und ordnerinhalte auflisten

Weiß jemand von euch noch weiter?...wäre toll.

Danke schonmal fürs lesen.

so hoffe mein posting hilft wenigstens anderen weiter.

das einzigste Problem dabei war das auch die Gruppe DomainController (nicht nur Domainbenutzer oder Domaincomputer) mit in CERT_DCOM_ACCESS eingefügt werden musste.

@kat'l

Danke hat mir viel geholfen!

Ich hatte das Problem seit ich vorige Woche meine Domäne auf 2003 Server umgestellt hatte

cu sundown001

hallo zusammen...

bei mir gibt es lediglich eine gruppe CERTSVC_DCOM_ACCESS ... kann das das problem bei mir sein?

gruss jochen

Hallo Ihr,

auch wenn der letzte Artikel schon alt ist...

Wir hatten das Problem auch. Die DCs haben keine gültigen Zertifikate erhalten.

Lösung war: In die AD-Gruppe „CERTSVC_DCOM_ACCESS“ muss die Gruppe der "Domänencontroller" eingefügt werden (nach SP1). Die Gruppe der "Domänencomputer" reicht nicht. Danach können sich die DCs wieder Certs holen.