Jump to content

automatische zertifikatsregistrierung am client steuern

Prinz1809

Von Prinz1809
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Prinz1809

Prinz1809   10

Geschrieben
Geschrieben

Hallo,

 

ich habe folgendes funktionierendes System

- Windows Server 2003 Domäne

- Zertifizierungsstelle

- automatische Zertifikatsregistrierung (im LAN)

 

Folgendes Szenario bereitet Probleme

- mobile Benutzer, die sich per VPN einwählen (Cisco Client, Cisco Konzentratoren)

- automatische Zertifikatsregistrierung klappt nicht

- ich kann bei Technet, MS KB oder sind im Internet einfach nichts hilfreiches finden...

 

Problembeschreibung:

- Die mobilen Benutzer starten Ihr Notebook und melden sich an. Direkt nach der Anmeldung wird der Versuch unternommen, ein Zertifikat zu erhalten. Da aber keine Verbindung zur Domäne hergestellt ist (VPN-Einwahl mit Cisco VPN-Client erfolg unbestimmte Zeit später), kann kein Zertifikat bezogen werden.

Ein erneuter Versuch, das Zertifikat zu erhalten, wird nach 8 Stunden ausgeführt.

 

Fragen:

- wie könnte man die automatische Registrierung erneut (etwa skriptgesteuert nach der VPN-Einwahl) ausführen

- wie könnte man die Versuche der automatischen Registrierung verzögern, häufiger ausführen?

- gibt es einen ganz anderen Ansatz/Idee?

 

vielen Dank

Daniel Scharf

Link zu diesem Kommentar
Prinz1809

Prinz1809   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

ja ich meine das "Autoenrollment" - allerdings von Benutzerzertifikaten. Das klappt im LAN auch wunderbar, nur im WAN (mobile Benutzer) klappt das nicht, da dieses Autoenrollment direkt nach der Anmeldung am Windows XP ausgeführt wird.

 

Unterschied:

LAN: nach Anmeldung am Windows kann die Zertifizierungsstelle (CA) erreicht werden.

mobil: nach der Anmeldung am Windows kann die CA nicht erreicht werden, da noch keiner Verbindung in die Domäne besteht (erst nach VPN-Einwahl)

 

danke und Grüße

Daniel Scharf

Link zu diesem Kommentar
Hr_Rossi Veteran

Hr_Rossi   10

Geschrieben
Geschrieben

hi

 

welchen zweck erfüllen die user certs ?

 

bekommst du im eventlog so eine meldung ?

 

Typ: Fehler

Quelle: Automatische Registrierung

Kategorie: Keine

Ereigniskennung: 15

Datum: Datum

Uhrzeit: Uhrzeit

Benutzer: Nicht zutreffend

Computer: Computername

Beschreibung: Die automatische Zertifikatregistrierung für das lokale System konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Die Registrierung wird nicht durchgeführt.

 

 

lg

Link zu diesem Kommentar
Prinz1809

Prinz1809   10

Geschrieben
  • Autor
Geschrieben

Zweck: momentan verwenden wir noch eine Zertifizierungsinfrastruktur wo sämtliche Vorgänge manuell getätigt werden müssen. Ich bin im Moment dabei auf die automatische Zertifikatsverteilung (Microsoft) umzustellen.

Die Zertifikate werden für die VPN-Einwahl ins Firmennetzwerk verwendet.

 

Ich bekomme folgende Meldung, da ich keine Computerzertifikate sondern Benutzerzertifikate verteilen möchte.

 

Typ: Fehler

Quelle: AutoEnrollment

Kategorie: Keine

Ereigniskennung: 15

Datum: Datum

Uhrzeit: Uhrzeit

Benutzer: Nicht zutreffend

Computer: Computername

Die automatische Zertifikatregistrierung für "DOMÄNE\benutzername" konnte keine Verbindung zum Active Directory (0x8007054b) herstellen. Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.

Die Registrierung wird nicht durchgeführt.

 

Danke und Grüße

Daniel Scharf

 

PS: wenn ich es schaffe, direkt und sehr schnell nach der Windows-Anmeldung, die VPN-Verbindung ins Firmennetzwerk herzustellen, klappt das AutoEnrollment... wunderbar

Link zu diesem Kommentar
Prinz1809

Prinz1809   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

das wäre eventuell eine Lösung aber in meinem Fall wenig hilfreich - ich möchte lieber das Autoenrollment verändern/anpassen als die VPN-Einwahl zu automatisieren. Der Grund ist: wir verwenden im Cisco VPN-Client mehrere Profile für unterschiedliche Netzzugänge (Modem, ISDN, LAN, WLAN...) je nach Umgebung wählt der mobile Mitarbeiter das entsprechende Profil. Das AutoEnrollment für die Benutzerzertifikate sollte also von einer Verbindung zur Domäne geschehen.

 

Vielleicht kann man das Autoenrollment nur ausführen, wenn ein Domänencontroller erreichbar ist??? Sowas in dieser Richtung benötige ich.

 

besten Dank

Daniel Scharf

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...