Jump to content
Sign in to follow this  
ccwurm

CertSvc Probleme

Recommended Posts

Hallo,

 

ich schon wieder. :rolleyes:

 

Mir ist aufgefallen, dass unsere Certification Authority keine Zertifikate mehr ausgibt. Am Server der CA erhalte ich in der Ereignisanzeige folgende Einträge:

 

Certificate Services denied request 2464 because The permissions on this certification authority do not allow the current user to enroll for certificates. 0x80094011 (-2146877423). The request was for DOMAIN\DC02$. Additional information: Denied by Policy Module

 

An einem neuen DC mit Win2K3Server erhalte ich unzählige male folgende Fehlermeldung:

 

Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80094011). The permissions on this certification authority do not allow the current user to enroll for certificates

 

An dem Server mit der installierten CA stehen auch diverse Templates in der Liste zur Verfügung.

 

Was mich allerdings sehr stutzig macht (und wo ich auch das Problem vermute), in den Properties des Root CA im Reiter Sicherheit stehen folgende Gruppen drin:

 

- administrators, - domain admins, -enterprise admins, -authenticated users

 

Wobei bei den Authenticated Users weder ein Allow noch ein Deny angehakt ist. Habe versucht hier bei Request Certificates den Haken bei Allow zu setzen, bekomme dann aber folgende Fehlermeldung:

 

The permission could not be updated on the CA and have been saved to the registry. You must restart Certificate Services for the changes to take effect.

 

Und anschließend folgende Fehlermeldung:

 

Unable to save permission changes on Domain CA. The Parameter is incorrect.

 

Jemand eine Idee?

Danke!

Share this post


Link to post
Share on other sites

Guten Abend,

 

Am Server der CA erhalte ich in der Ereignisanzeige folgende Einträge:

 

Certificate Services denied request 2464 because The permissions on this certification authority do not allow the current user to enroll for certificates. 0x80094011 (-2146877423). The request was for DOMAIN\DC02$. Additional information: Denied by Policy Module

 

Ist der angegebene DC "DC02" der neue DC oder ein anderer?

 

An einem neuen DC mit Win2K3Server erhalte ich unzählige male folgende Fehlermeldung:

 

Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80094011). The permissions on this certification authority do not allow the current user to enroll for certificates

 

Scheinbar ist es dem DC nicht erlaubt, das Domain Controller Zertifikat zu beantragen bzw. wird das Autoenrollment verweigert. Schau doch bitte einmal in den veröffentlichten Templates, welche Benutzer / Computer das Recht haben, das Domain Controller Authentication Template zu benutzen bzw. besser gesagt Zertifikate dieses Templates beantragen zu dürfen. Poste bitte einmal von allen für das Template aufgeführten Sicherheitsprinzipalen die Rechte.

 

An dem Server mit der installierten CA stehen auch diverse Templates in der Liste zur Verfügung.

 

"Diverse Templates" ist leider nicht sehr aussagekräftig. ;)

Die Frage ist, ob sich in der letzten Zeit an der CA irgendetwas geändert hat bzw. ob etwas geändert wurde. Kannst Du irgendetwas in den Eventlogs nachvollziehen oder in Euren Changelogs?

 

Was mich allerdings sehr stutzig macht (und wo ich auch das Problem vermute), in den Properties des Root CA im Reiter Sicherheit stehen folgende Gruppen drin:

 

- administrators, - domain admins, -enterprise admins, -authenticated users

 

Wobei bei den Authenticated Users weder ein Allow noch ein Deny angehakt ist. Habe versucht hier bei Request Certificates den Haken bei Allow zu setzen, bekomme dann aber folgende Fehlermeldung:

 

The permission could not be updated on the CA and have been saved to the registry. You must restart Certificate Services for the changes to take effect.

 

Und anschließend folgende Fehlermeldung:

 

Unable to save permission changes on Domain CA. The Parameter is incorrect.

 

Dazu fällt mir gerade nichts ein - aber auf der CA selbst kannst Du das Management delegieren. Mit was für einem Account bist Du denn an der CA angemeldet, wenn Du die Änderung vornimmst?

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

Hallo olc,

 

der angegebene DC02 ist einfach einer der kürzlich hinzugekommenen neuen Server2003R2 DCs. Habe den Eintrag nur als Beispiel ausgewählt. Gibt noch mehrere dieser Art für andere DCs und auch User. Über die certserv Seite kann man auch kein User-Certificate beantragen, dort kriegt man auch die gleiche Fehlermeldung.

 

Unter "Certificate Templates" in der CA stehen folgende Einträge:

 

(Siehe bild1)

 

Wenn ich dann auf manage gehe habe ich u.a. folgende Zertifikate:

 

(Siehe bild2)

 

Hier wurde ich neulich beim Öffnen durch Klick auf manage gefragt ob ich neue Templates hinzufügen möchte, dass habe ich mit ja bestätigt. Habe jetzt leider doppelte Einträge.

 

Hier die Sicherheitseinstellungen des Domain Controller Authentication Zertifikates unter dem "manage" Dialog in den Certificate Templates:

 

Authenticated Users -> Read - Allow

Domain Admins -> Read/Write/Enroll - Allow

Domain Controllers -> Enroll/Autoenroll - Allow

Enterprise Admins -> Read/Write/Enroll - Allow

Enterprise Domain Contrl. -> Enroll/Autoenroll - Allow

 

Und hier nochmal die Fehlermeldung wenn ich in den Root CA Sicherheitseinstellungen z.B. den Authenticated Users das Recht Request Certificates einräumen möchte:

 

(Siehe bild3)

 

 

Danke.

post-18475-1356738951802_thumb.jpg

post-18475-13567389518221_thumb.jpg

post-18475-13567389518519_thumb.jpg

Share this post


Link to post
Share on other sites

Hallo,

 

ich habe momentan leide keine CA zum Nachschauen da um die Werte einmal abzugleichen, aber versuche doch bitte einmal folgendes:

 

1. Gib den "Domain Controllers" -> Enroll/Autoenroll - Allow zusätzlich "Read"-Rechte und den "Enterprise Domain Contrl." -> Enroll/Autoenroll - Allow zusätzlich ebenfalls "Read"-Rechte. Bin mir gerade nicht sicher, ob diese ebenfall benötigt werden, denke jedoch schon.

 

2. Mit welchem Benutzer bist Du angemeldet, wenn Du eine Security Änderung an der CA vornimmst? Wenn dieser z.B. Mitglied der Domain-Admins oder Enterprise-Admins ist prüfe bitte, welche Rechte er auf der CA selbst hat. Fehlt hier vielleicht ein entsprechendes Management-Recht bzw. besser gesagt wurde dies vielleicht entfernt?

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

2. Mit welchem Benutzer bist Du angemeldet, wenn Du eine Security Änderung an der CA vornimmst? Wenn dieser z.B. Mitglied der Domain-Admins oder Enterprise-Admins ist prüfe bitte, welche Rechte er auf der CA selbst hat. Fehlt hier vielleicht ein entsprechendes Management-Recht bzw. besser gesagt wurde dies vielleicht entfernt?

 

Naja, also ich bin als Domain-Admin angemeldet und habe auf dem Server der CA nicht keine Gruppen/etc. gefunden wo ich noch Mitglied sein müsste?

Share this post


Link to post
Share on other sites

Hi ccwurm,

 

ich meinte damit die Rechte auf der CA selbst, d.h. Rechtsklick auf den Servernamen der CA MMC --> Eigenschaften.

Habt Ihr dem Domänen-Admin die Management-Rechte gegeben? Wenn ich mich recht entsinne, kann dieser standardmäßig nicht in den entsprechenden AD-Container schreiben. Hast Du die Möglichkeit es einmal mit dem Enterprise-Admin zu testen?

 

Viele Grüße

olc

Share this post


Link to post
Share on other sites

Hallo,

 

der Kollege hat sich jetzt die Arbeit gemacht und die CA neu installiert. Er hat auch alles mögliche probiert und kam zum dem Schluss, dass nur eine Neuinstallation helfen kann.

 

Trotzdem danke!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...