Jump to content
Sign in to follow this  
AL-Bundy

Certificate Authority

Recommended Posts

Hi,

ich habe mal folgende Frage:

Ich habe neu in einem Unternehmen begonnen und bin gerade dabei die Weiten der AD zu entwirren.

Eines der Probleme ist das die DC's folgende Fehler untereinander initiieren:Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar.

Nach tagelangem suchen und recherchieren bin ich nun der Meinung das die Problematik darin liegt das von einem/mehreren meiner Vorgänger immer wieder auf unterschiedlichen Servern (Sowohl auf einem DC als auch auf Applikationservern) CAs installiert und irgendwann mal wieder deinstalliert wurden (Fragt mich nicht warum...:confused:)

Suche ich per SNAP-In "Zertifizierungsstelle" in der AD nach einem CA wird mir automatisch ein Server angezeigt den es nicht mehr gibt.

Derzeit gibt es gar keine CA in der AD.

 

So nun zu meinen Fragen:

- Sehe ich es richtig das ich per "certutil -dcinfo deleteBad" nicht mehr benötigte/überflüssige Zertifikate von den DC's wegbekomme ?

Werden bei diesem Befehl wirklich nur die "Bad" deregistriert oder kann da mehr schiefgehen ?

- Wie bekomme ich den in der AD registrierten falschen / nicht mehr bestehenden CA aus der AD ?

- Gibt es von eurer Seite aus Hinweise zur oben genannten Fehlermeldung ? (Evtl. DNS,...) ?

 

Danke im voraus für eure Mühe

Gruss

Share this post


Link to post

Hallo und willkommen im Forum,

 

vermutlich wurden die "wilden" CAs als Enterprise CAs installiert. Dabei tragen Sie sich in der Active Directory unterhalb des Containers "CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld" in verschiedene Subcontainer ein (so etwa "Certification Authorities", "Enrollment Services" etc.).

 

Hier liegt Dein Problem - während des Autoenrollments suchen Deine Systeme in diesen Containern nach CAs, von denen sie Zertifikate anfordern können. Da diese jedoch nicht mehr vorhanden sind, kommt es zu dem Fehler.

 

Schau einmal in den folgenden Artikel hinein: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows 2000 Server .

 

Natürlich solltest Du nicht das gesamte Vorgehen umsetzen, da ansonsten gar keine CA mehr verfügbar ist ;) - jedoch sind die Stores und Container aufgeführt und deren Inhalte kurz beschrieben. Dort löschst Du die nicht mehr vorhandenen CA-Einträge und solltest danach "Ruhe" haben.

 

Vorher ein Backup des SYSTEMSTATE eines DCs nicht vergessen, so daß Du im Notfall die Objekte autorativ wiederherstellen kannst.

 

Viele Grüße

olc

Share this post


Link to post

Hi OLC, Hi @LL,

 

vielen Dank fürs Willkommenheissen, schön hier zu sein .Tolles Forum....

Vielen Dank für die schnelle Antwort.

Ich werde nach diesem Dokument vorgehen, dann sollte zumidest diese FM unter den DC's verschwunden sein.

Sehe ich es richtig das ich im Prinzip die Schritte 1-5 komplett überspringen kann, da die CA ja nicht mehr vorhanden ?

Die PKI's kann ich ja nicht mehr entfernen, da der Server der Sie herausgab ja nicht mehr vorhanden...

Im Punkt 6 der Doku wird beschrieben wie man unter Active Directory Standort und Dienste die CA'S entfernt hier nun ein paar Fragen dazu.

Ich möchte noch einmal betonen, es gibt derzeit keine CA im Netz / AD

1) IM AIA stehen 2 CA's drin, diese beide löschen.

2) Im CDP stehen 3 Server drin, von denen 2 nicht mehr existieren und der dritte 100%ig kein CA mehr ist, also die 3 so wie sie sind, Löschen !

3) So, nun zu Certification Authorities, hier stehen 2 drin, auch löschen

4) Enrollment Services, den INhalt löschen

 

So, jetzt wird es sportlich, und ich denke auch kritisch...

5)Certificate Template Ordner--> Es stehen 31 Certificate Templates drin, diese tatsächlich wie in Punkt i der Doku ALLE Löschen ???

HIer stehen unter anderem auch Templates wie z.B. ClientAuth, EmailReplication, Workstation,... drin. diese werden tatsächlich nicht mehr benötigt ????

 

Hier kommt ja noch der Hinweis von MS welcher lautet:

ZITAT:

Important If the templates are accidentally deleted, make sure that you are logged on to a server that is running Certificate Services as Enterprise administrator. At a command prompt, type cd %windir%\system32, press ENTER, type regsvr32 /i:i /n /s certcli.dll, and then press ENTER. This will re-create the certificate templates in Active Directory. /ZITAT

Da ich keine CA am laufen habe, werde ich diese templates auch nicht mehr herstellen können...

Sehe ich es richtig das diese Templates bei Bedarf einer CA mit deren Installation automatisch wieder angelegt werden ?

Oder muss ich auf jeden Fall, nachdem ich diese gelöscht habe, wieder durch "frische" mittel des Befehl ersetzen/wiederherstellen ?

 

6) So und nun noch als letztes das NTAuthCertificates direkt in der Root der PublicKeyServices löschen

7) Jetzt noch den "certutil -dcinfo deleteBad"

8) Abschliessen "gpupdate /force"

Und natürlich, vielen Dank für den TIP, vorher SYSTEMSTATE sichern, man weiss ja nie :shock:

 

Mann mann mann , habe da ja nen halben Roman geschrieben, hoffe es ist nicht zuviel...

Wenn Du/Ihr mir einfach kurz bestätigen könntet das die Schritte so wie aufgeführt OK sind ?!

 

Danke erneut im voraus für die Antworten

 

Gruss

AL

 

p.S. Die Clients haben in Ihrem Schlüsselspeicher ein automatisch bei Domainaufnamhe mitgeliefertes Zertifikat eines CA's der wie eben aufgeführt nicht mehr vorhanden, aber das Zertifikat besitzt noch en paar Jahre gültigkeit.

Werden diese weiterhin arbeiten können oder muss dieses vor reinigen der AD mittels GPO oder Script von allen entfernen ?

Share this post


Link to post

Hi Al,

 

schon, daß Du hier bist. ;)

 

Ich möchte noch einmal betonen, es gibt derzeit keine CA im Netz / AD

 

Ok, das klingt für Dein Vorhaben sehr gut. Dann kannst Du mit der Motorsäge vorgehen... :D

 

1) IM AIA stehen 2 CA's drin, diese beide löschen.

 

Genau.

 

2) Im CDP stehen 3 Server drin, von denen 2 nicht mehr existieren und der dritte 100%ig kein CA mehr ist, also die 3 so wie sie sind, Löschen !

 

Korrekt, es gibt keine CAs mehr, daher sind auch keine CRLs mehr notwendig. Dabei ist jedoch wie auch bei den "Certification Authorities" und "AIA" wichtig, daß Du sicher sein mußt, daß derzeit keine Zertifikate in Deiner Umgebung genutzt werden. Wenn Zertifikate aktiv genutzt werden, die über eine der CAs ausgestellt wurden, kannst Du in Probleme laufen. Daher noch einmal die Empfehlung, ein Systemstate Backup eines DCs zur Verfügung zu haben - nur für den Notfall.

 

Grundsätzlich wird das Thema auch in dem Microsoft KB Artikel besprochen.

 

3) So, nun zu Certification Authorities, hier stehen 2 drin, auch löschen

 

Jepp, siehe einen Punkt nach oben. :)

 

4) Enrollment Services, den INhalt löschen

 

Genau, das ist der Container, der die Events auf den DCs hervor ruft.

 

So, jetzt wird es sportlich, und ich denke auch kritisch...

5)Certificate Template Ordner--> Es stehen 31 Certificate Templates drin, diese tatsächlich wie in Punkt i der Doku ALLE Löschen ???

 

Kannst Du tun, wenn Du eine neue Enterprise CA installierst, würden diese wieder neu angelegt werden. Rein theoretisch mußt Du diese aber auch nicht löschen. Sauber wäre es...

Share this post


Link to post
HIer stehen unter anderem auch Templates wie z.B. ClientAuth, EmailReplication, Workstation,... drin. diese werden tatsächlich nicht mehr benötigt ????

 

Wenn Du keine Enterprise CA mehr hast, können keine Zertifikate mit diesen Templates ausgestellt werden. Von daher kein Problem. Wie oben schon geschrieben - "Certificate Authorities", "CDP" und "AIA" sind eher das Problem, sollten ausgestellte Zertifikate genutzt werden. Das mußt Du unbedingt vorher prüfen.

 

Sehe ich es richtig das diese Templates bei Bedarf einer CA mit deren Installation automatisch wieder angelegt werden ?

 

Genau, bei der Installation einer Enterprise CA.

 

Oder muss ich auf jeden Fall, nachdem ich diese gelöscht habe, wieder durch "frische" mittel des Befehl ersetzen/wiederherstellen ?

 

Nein, im Normalfall nicht. Aber Du hättest zusätzlich ja auch noch das Systemstate Backup des DCs (zumindest innerhalb der Tombstone Lifetime).

 

6) So und nun noch als letztes das NTAuthCertificates direkt in der Root der PublicKeyServices löschen

7) Jetzt noch den "certutil -dcinfo deleteBad"

8) Abschliessen "gpupdate /force"

 

Absolut richtig. ;)

 

Und natürlich, vielen Dank für den TIP, vorher SYSTEMSTATE sichern, man weiss ja nie :shock:

 

:)

 

Mann mann mann , habe da ja nen halben Roman geschrieben, hoffe es ist nicht zuviel...

Wenn Du/Ihr mir einfach kurz bestätigen könntet das die Schritte so wie aufgeführt OK sind ?!

 

Ganz im Gegenteil - besser so als nur ungenügende Angaben.

 

Wie immer gilt hier jedoch - alle Angaben ohne Gewähr. Wir sind ein Forum und kein Dienstleister. ;)

Aber das soll nicht heißen, daß das nicht klappt. Für den Notfall hast Du noch das Systemstate Backup.

 

Werden diese weiterhin arbeiten können oder muss dieses vor reinigen der AD mittels GPO oder Script von allen entfernen ?

 

Ob die Zertifikate vorhanden sind oder nicht ist "egal" - zumindest solange derzeit keine Zertifikatfunktionen mit diesen CAs genutzt werden (oder Zertifikate über die CA ausgestellt wurden). Wenn Du die AD Container bereinigt hast, sollten die CA Zertifikate auch aus den lokalen Client Stores verschwinden.

 

Viel Erfolg. ;)

 

Viele Grüße

olc

Share this post


Link to post

Hey again,

 

alles klar, vielen vielen vielen Dank erstmal.

Ich werde diese Vorgänge im Laufe der nächsten Woche durcharbeiten und über deren Erfolg berichten.

 

Vielen Dank im voraus und Gruss :D:)

AL

Share this post


Link to post

Hi Al,

 

ja, wäre klasse, wenn Du Dich einmal meldest. :)

 

Wie gesagt - prüfe in jedem Fall vorher, ob unter Umständen Zertifikate von den "temporären" CAs ausgestellt wurden und ob diese ggf. derzeit in Benutzung sind. Falls ja bekommst Du Probleme, wenn die CRLs bzw. AIA / Certificate Authorties nicht mehr vorhanden sind. Obwohl ich vermute, daß Du dann schon vorher in Probleme gelaufen wärst - besonders in Bezug auf die CRLs.

 

Viele Grüße

olc

Share this post


Link to post

Soooooooo, dann möchte ich mal über die Bereinigung der AD berichten....

Habe nun die Bereingung der CA'S und deren Reste in der AD erfolgreich durchgeführt. Hatte gestern Abend (Freitag) ein Zeitfenster bekommen um die Fallback-Lösung mit der System State AD wiederherstellung evtl. über mehrere Stunden erfolgeich hinzubekommen-> Zum Glück habe ich diesen Vorgang nicht gebraucht :D:D;)

Keine Probleme wärend der Ausführung gehabt. Die Sache ist absolut Reibungslos über die Bühne gegangen und die DC's haben nun eine FM weniger (Sind noch ein paar übrig zu denen ich vielleicht noch den ein oder anderen Thread öffnen werde) ;)

 

Ein rieesengrosses Dankeschön an "OLC" der mir hier sehr geholfen hat, das Forum ist spitze, die Lösungen sind toll. Selbst wenn mal doch das ein oder andere nicht auf alle Netzwerkle pauschal anwenden lässt wird man immerhin auf "eine Spur" gebracht.

Danke allen , insbesondere OLC.

 

Gruß

AL

Share this post


Link to post

Hi Al,

 

na das klingt doch gut. :)

 

In jedem Fall solltet Ihr im Auge behalten, ob es nun vielleicht in Folge der Aktionen zu Problemen kommt. So, wie Du die Ausgangssituation beschrieben hast, passiert wahrscheinlich nichts. Aber es macht Sinn, die Aktionen im Hinterkopf zu behalten. ;)

 

Vielen Dank für Deine Rückmeldung und Gruß

olc

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...