Jump to content
Sign in to follow this  
Prinz1809

automatische zertifikatsregistrierung am client steuern

Recommended Posts

Hallo,

 

ich habe folgendes funktionierendes System

- Windows Server 2003 Domäne

- Zertifizierungsstelle

- automatische Zertifikatsregistrierung (im LAN)

 

Folgendes Szenario bereitet Probleme

- mobile Benutzer, die sich per VPN einwählen (Cisco Client, Cisco Konzentratoren)

- automatische Zertifikatsregistrierung klappt nicht

- ich kann bei Technet, MS KB oder sind im Internet einfach nichts hilfreiches finden...

 

Problembeschreibung:

- Die mobilen Benutzer starten Ihr Notebook und melden sich an. Direkt nach der Anmeldung wird der Versuch unternommen, ein Zertifikat zu erhalten. Da aber keine Verbindung zur Domäne hergestellt ist (VPN-Einwahl mit Cisco VPN-Client erfolg unbestimmte Zeit später), kann kein Zertifikat bezogen werden.

Ein erneuter Versuch, das Zertifikat zu erhalten, wird nach 8 Stunden ausgeführt.

 

Fragen:

- wie könnte man die automatische Registrierung erneut (etwa skriptgesteuert nach der VPN-Einwahl) ausführen

- wie könnte man die Versuche der automatischen Registrierung verzögern, häufiger ausführen?

- gibt es einen ganz anderen Ansatz/Idee?

 

vielen Dank

Daniel Scharf

Share this post


Link to post
Share on other sites

Hallo,

 

ja ich meine das "Autoenrollment" - allerdings von Benutzerzertifikaten. Das klappt im LAN auch wunderbar, nur im WAN (mobile Benutzer) klappt das nicht, da dieses Autoenrollment direkt nach der Anmeldung am Windows XP ausgeführt wird.

 

Unterschied:

LAN: nach Anmeldung am Windows kann die Zertifizierungsstelle (CA) erreicht werden.

mobil: nach der Anmeldung am Windows kann die CA nicht erreicht werden, da noch keiner Verbindung in die Domäne besteht (erst nach VPN-Einwahl)

 

danke und Grüße

Daniel Scharf

Share this post


Link to post
Share on other sites

hi

 

welchen zweck erfüllen die user certs ?

 

bekommst du im eventlog so eine meldung ?

 

Typ: Fehler

Quelle: Automatische Registrierung

Kategorie: Keine

Ereigniskennung: 15

Datum: Datum

Uhrzeit: Uhrzeit

Benutzer: Nicht zutreffend

Computer: Computername

Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Die Registrierung wird nicht durchgeführt.

 

 

lg

Share this post


Link to post
Share on other sites

Zweck: momentan verwenden wir noch eine Zertifizierungsinfrastruktur wo sämtliche Vorgänge manuell getätigt werden müssen. Ich bin im Moment dabei auf die automatische Zertifikatsverteilung (Microsoft) umzustellen.

Die Zertifikate werden für die VPN-Einwahl ins Firmennetzwerk verwendet.

 

Ich bekomme folgende Meldung, da ich keine Computerzertifikate sondern Benutzerzertifikate verteilen möchte.

 

Typ: Fehler

Quelle: AutoEnrollment

Kategorie: Keine

Ereigniskennung: 15

Datum: Datum

Uhrzeit: Uhrzeit

Benutzer: Nicht zutreffend

Computer: Computername

Die automatische Zertifikatregistrierung für "DOMÄNE\benutzername" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.

Die Registrierung wird nicht durchgeführt.

 

Danke und Grüße

Daniel Scharf

 

PS: wenn ich es schaffe, direkt und sehr schnell nach der Windows-Anmeldung, die VPN-Verbindung ins Firmennetzwerk herzustellen, klappt das AutoEnrollment... wunderbar

Share this post


Link to post
Share on other sites

Hallo,

 

das wäre eventuell eine Lösung aber in meinem Fall wenig hilfreich - ich möchte lieber das Autoenrollment verändern/anpassen als die VPN-Einwahl zu automatisieren. Der Grund ist: wir verwenden im Cisco VPN-Client mehrere Profile für unterschiedliche Netzzugänge (Modem, ISDN, LAN, WLAN...) je nach Umgebung wählt der mobile Mitarbeiter das entsprechende Profil. Das AutoEnrollment für die Benutzerzertifikate sollte also von einer Verbindung zur Domäne geschehen.

 

Vielleicht kann man das Autoenrollment nur ausführen, wenn ein Domänencontroller erreichbar ist??? Sowas in dieser Richtung benötige ich.

 

besten Dank

Daniel Scharf

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...