Es wurden keine Zertifikatvorlagen gefunden

[RalphT 15]

Hallo,

 

ich habe folgendes:

 

1 DC Windows-Server 2003

1 Mitgliedsserver Windows 2003 auf dem eine Unternehmenszertifizierungsstelle und der Webintegrator installiert ist.

 

Auf dem Zertifizierungsserver:

Ich greife über die Adresse: http://name-server/meine-domain.local/certsrv auf die Weboberfläche zu. Dann dort auf den Link Ein Zertifikat anfordern, anschließend auf den Link Eine Anforderung an diese Zertifizierungsstelle..

Anschließend kommt die im Betreff genannte Fehlermeldung.

 

Jetzt habe ich schon fleißig gegoogelt und bin auf folgende Lösung gestoßen:

 

"Wird keine Zertifikat-Vorlage Gefunden Fehlermeldung, wenn ein Benutzer Zertifikat von Webregistrierungsseiten der Zertifizierung-Stelle anfordert"

 

sowie eine sehr gute Beschreibung hier:

 

Gruppenrichtlinien - Übersicht, FAQ und Tutorials

 

Ich habe die Datei CERTDAT.INC auf dem und unter ADSIE-Edit nachgesehen und alles auf Kleinbuchstaben geändert. Leider ohne Erfolg.

 

In den Gruppenrichtlinien sind zwar schon einige GPOs vorhanden, aber an den Standardrechten habe ich nicht verstellt.

 

Hat noch jemand eine Idee, wonach man suchen könnte?

[olc 18]

Hi,

 

schau einmal in den folgenden Thread - hast Du unter Umständen etwas an der Security / Anonymous Authentication des IIS geändert?

 

No Certificate Templates error

 

Viele Grüße

olc

[RalphT 15]

Ich hatte dort vorher schon nachgesehen. Tatsächlich waren dort per default 2 Ordner (Cert Enroll / Cert Controll) auf Anomymous gesetzt.

Ich bin dann auf Standardwebseite und habe dort die Verzeichnissicherheit auf Windows Authentifizierung gesetzt. Die unteren 3 Ordner wurden auch so übernommen.

Zur Sicherheit habe ich noch mal einen Neustart gemacht - aber ohne Erfolg.

[olc 18]

Hi,

 

hast Du es einmal mit dem "certmgr.msc" versucht?

Bekommst Du eine ähnliche Fehlermeldung oder funktioniert es damit?

 

Viele Grüße

olc

[grizzly999 11]

Welche Fehlermeldung steht im EreignisLog des Servers unde welche im Client?

 

grizzly999

[RalphT 15]

@ OLC:

 

Also mit certmgr.msc habe ich auch schon probiert. Hierbei gibt es keine Probleme. Ich habe mir eine Benutzerdefinierte MMC auch schon mal zusammengestellt. Dort habe ich auch die Zertifikatvorlagen hinzugefügt. Die lassen sich dort anzeigen, Kopien erstellen und bearbeiten.

 

@grizzly999

Im Ereignislog steht nichts an Fehlern, was auf das Zertifikatsproblem schließen würde.

Ich habe mir die Logs auf dem DC und dem Zertifikatsserver angesehen.

 

Ich hatte mal irgendwo gelesen, dass dieses Phänomen auftritt, wenn die Zertifizierungsstelle und der Webregistrierungssupport auf dem gleichen Rechner installiert sein soll. Ob ich das mal trennen sollte?

Ich denke mal, wenn ich lokal über eine MMC an die Vorlagen komme, dann scheint der Wurm ja wohl irgendwie mit dem IIS zusammhängen.

 

Ich hatte auch mal auf dem DC direkt über die Weboberfläche die Zertifizierungsstelle aufgerufen. Allerdings auch hier der gleiche Fehler.

[grizzly999 11]

Nein, trennen kannst du das nicht.

 

Welche OS und SPs haben die Server, welches der Client?

Funktioniert es, wenn du die Seite im Browser direkt auf der CA selber aufrufst?

 

grizzly999

[RalphT 15]

Also der DC hat Windows 2003 Server Enterprise SP2 (hardwarebasiert)

Der CA hat Windows 2003 Standard SP2 (unter VMware)

 

Bis zum Client bin ich noch garnicht gekommen, da ich die Weboberfläche schon seit Anfang an auf dem CA selber aufrufe.

 

Ich hatte ganz zum Anfang eine Eigenständige Zertifizierungsstelle installiert. Dann hatte ich den Beitrag in Gruppenrichtlinien.de gelesen und dort sollte man eine Unternehmens Zertifizierungstelle installieren.

 

Also habe ich den ersten Mitgliedsserver mit der Eigenständigen Zertifizierungsstelle aus der Domäne entfernt und den Server abgeschaltet (über VMware)

 

Dann einen neuen in die Domäne gebracht und dort dann Unternehmenszertifizierungsstelle installiert.

 

Kann hier irgend etwas schief gelaufen sein? Ich bin schon kurz davor einen eigenen DC aufzusetzen, dann ein Memberserver und dort nochmal die CA zu installieren. Vielleicht liegt es ja nicht an der CA, sondern an meiner Umgebung.

[olc 18]

Hi,

 

Also mit certmgr.msc habe ich auch schon probiert. Hierbei gibt es keine Probleme. Ich habe mir eine Benutzerdefinierte MMC auch schon mal zusammengestellt. Dort habe ich auch die Zertifikatvorlagen hinzugefügt. Die lassen sich dort anzeigen, Kopien erstellen und bearbeiten.

 

Was ich meinte ist, ob Du ein Zertifikat über den "certmgr.msc" beantragen kannst. :)

 

Du schreibst, daß Du Zertifikatvorlagen bearbeiten kannst. D.h. unterhalb von "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=tld" sind die Vorlagen auch vorhanden? Ist dort unter Umständen etwas an den ACLs verändert worden? Vielleicht kannst Du die ACL einmal posten:

C:\> dsacls "CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=tld"

Ggf. die "privaten" Informationen aus dem Export entfernen...

 

Wenn Du anstatt des NetBIOS Namens der CA einmal den DNS Namen der CA angibst, wirst Du dann nach einem Benutzernamen und Kennwort gefragt? Falls ja, gib Deine administrativen Benutzerdaten einmal ein und versuche es erneut. Gleicher Fehler?

 

Nein, trennen kannst du das nicht.

[neunmalklug Modus]

Doch, das geht schon. Nur sollte man dabei wissen, was man tut. :D

[/neunmalklug Modus]

 

Viele Grüße

olc

[RalphT 15]

So, hat etwas länger gedauert, da anderes wichtiger war.

 

Ich habe hier erst einmal die ACLs:

 

Access list:

Effective Permissions on this object are:

Allow NT-AUTORITÄT\Authentifizierte Benutzer SPECIAL ACCESS

READ PERMISSONS

LIST CONTENTS

READ PROPERTY

LIST OBJECT

Allow MEINE-FIRMA\Organisations-Admins SPECIAL ACCESS

READ PERMISSONS

WRITE PERMISSIONS

CHANGE OWNERSHIP

CREATE CHILD

LIST CONTENTS

WRITE SELF

WRITE PROPERTY

READ PROPERTY

LIST OBJECT

CONTROL ACCESS

Allow NT-AUTORITÄT\SYSTEM FULL CONTROL

Allow MEINE-FIRMA\Organisations-Admins FULL CONTROL <Inherited from parent>

Allow MEINE-FIRMA\Domänen-Admins SPECIAL ACCESS <Inherited from parent>

DELETE

READ PERMISSONS

WRITE PERMISSIONS

CHANGE OWNERSHIP

CREATE CHILD

LIST CONTENTS

WRITE SELF

WRITE PROPERTY

READ PROPERTY

LIST OBJECT

CONTROL ACCESS

 

Permissions inherited to subobjects are:

Inherited to all subobjects

Allow MEINE-FIRMA\Organisations-Admins FULL CONTROL <Inherited from parent>

Allow MEINE-FIRMA\Domänen-Admins SPECIAL ACCESS <Inherited from parent>

DELETE

READ PERMISSONS

WRITE PERMISSIONS

CHANGE OWNERSHIP

CREATE CHILD

LIST CONTENTS

WRITE SELF

WRITE PROPERTY

READ PROPERTY

LIST OBJECT

CONTROL ACCESS

 

The command completed successfully

 

Wenn Du anstatt des NetBIOS Namens der CA einmal den DNS Namen der CA angibst, wirst Du dann nach einem Benutzernamen und Kennwort gefragt? Falls ja, gib Deine administrativen Benutzerdaten einmal ein und versuche es erneut. Gleicher Fehler?

 

Gebe ich nur den NetBIOS-Namen ein, dann fragt er micht nicht nach dem Passwort. Die Weboberfläche sieht etwas anders aus, aber der Link "Eine Anforderung an..." findet sich da auch. Hier gibt es keine Fehlermeldung.

 

Jetzt habe ich dazu aber noch Fragen:

Wie fordere ich über die MMC ein Zertifikat an? Soll ich das von einem beliebigen Rechner machen oder direkt auf der CA?

 

Dann zu den Vorlagen:

Wenn ich nur den NetBIOS-Namen eingebe, dann sehe ich die Vorlagen. Allerdings nur 5 Stück (Administrator, Benutzer, Webserver und noch 2 andere).

Ich dachte in den Vorlagen seien Vorlagen wie Smartcard-Benutzer, Exchange Benutzer, IPSec nur um 3 zu nennen. Dort sind 31 Stück gelistet.

[olc 18]

Hi Ralph,

 

Gebe ich nur den NetBIOS-Namen ein, dann fragt er micht nicht nach dem Passwort. Die Weboberfläche sieht etwas anders aus, aber der Link "Eine Anforderung an..." findet sich da auch. Hier gibt es keine Fehlermeldung.

 

Ok, das bedeutet also, daß Du mit dem NetBIOS Namen das Zertifikat anfordern kannst.

 

Wenn der FQDN bzw. der Platzhalter für die Domäne nach dem Prinzip *.domain.tld nicht in der Ausschlußliste für den Proxy bzw. in den Trusted Sites steht, dann sendet der IE meines Wissens standardmäßig keine Kerberos Anfragen.

 

D.h. trage bitte einmal den DNS Namen (FQDN) der CA in die Trusted Sites des IE ein - ich würde vermuten, daß der Fehler dann nicht mehr erscheint.

 

Zusätzlich würde ich den Credential Manager einmal abschalten bzw. die enthaltenen Credential löschen. Ersteres erreichst Du etwa über eine lokale / Domänen Policy: Network access: Do not allow storage of credentials or .NET Passports for network authentication

Letzteres erreichst Du, indem Du die Credentials in "control keymgr.dll" löschst.

 

Zusätzlich könntest Du die default Authentifizierungseinstellungen einmal zurücksetzen: How to troubleshoot Kerberos-related issues in IIS

C:\> cscript adsutil.vbs set w3svc/1/NTAuthenticationProviders "Negotiate,NTLM"

Aber mach das nur, wenn Du ein Backup des IIS hast und ggf. weißt, was Du da tust und warum. ;)

 

Sind Fehler in den Eventlogs der CA / des IIS zu finden, insbesondere DCOM Fehler?

 

Jetzt habe ich dazu aber noch Fragen:

Wie fordere ich über die MMC ein Zertifikat an? Soll ich das von einem beliebigen Rechner machen oder direkt auf der CA?

 

Das kannst Du auf einem Client durchführen, bei dem ein entsprechender Benutzer angemeldet ist. Dann öffnest Du den "certmgr.msc" und wählst per Rechtsklick auf die Eigenen Zertifikate die Option, ein neues Zertifikat zu beantragen.

 

Dann zu den Vorlagen:

Wenn ich nur den NetBIOS-Namen eingebe, dann sehe ich die Vorlagen. Allerdings nur 5 Stück (Administrator, Benutzer, Webserver und noch 2 andere).

Ich dachte in den Vorlagen seien Vorlagen wie Smartcard-Benutzer, Exchange Benutzer, IPSec nur um 3 zu nennen. Dort sind 31 Stück gelistet.

 

Das kommt auf den Benutzer an, mit dem Du den Request absetzen möchtest. Je nachdem, welche sicherheitseinstellungen Du auf den Zertifikatvorlagen definiert hast, kann er mehr oder weniger Templates auswählen. Wichtig für das Webenrollment sind "Read" und "Enroll" Rechte auf dem Template für die entsprechenden Benutzer / die entsprechende Benutzergruppe.

 

Viele Grüße

olc

[RalphT 15]

Erstmal Danke für die Antwort, ich fange schon mal an das alles hier abzuarbeiten.

 

D.h. trage bitte einmal den DNS Namen (FQDN) der CA in die Trusted Sites des IE ein - ich würde vermuten, daß der Fehler dann nicht mehr erscheint.

 

Du hattest Recht, der Fehler ist jetzt weg.

 

Das andere werde ich erst wohl am Wochenende testen können. Ein Backup ist hier kein Problem, da ich mit VMware arbeite.

 

Allerdings hatte ich vorher Probleme, die aufgrund von VMware erst entstanden sind: Man macht sich ja eine Vorlage, kopiert immer fleißig die virtuellen Rechner und ändert sie nur bei Bedarf um. Leider hatte ich dabei übersehen, dass zwei virtuelle Rechner die gleichen MAC-Adressen hatten. Dadurch gab es Fehlermeldung im Active Directory und im DNS. Daher lag bei einem Problem die Vermutung nahe, dass es ein DNS-Problem sein könnte.

Nachdem ich aber diesen Fehler behoben hatte, war zwar das Ereignisprotokoll rein, das Problem mit den Vorlagen bestand aber noch.

Ich habe jetzt diese Seite in dem IE unter "Vertrauenswürde Sites" eingetragen und seit dem geht es auch.

 

Zu den anderen Vorschlägen melde ich mich nochmal.

[olc 18]

Hi Ralph,

 

im Grunde hast Du ja die Lösung für das Problem - ich würde also ggf. die anderen Aktionen nicht unbedingt durchführen.

 

bezüglich der Datensicherung mittels VMWare - da wäre ich bei einer CA vorsichtig. Das macht nur Sinn, wenn Du die CA vor der Sicherung offline nimmst und dann ggf. nicht wieder ans Netz bringst, bevor die Tests abgeschlossen sind.

Sonst werden unter Umständen Zertifikate von der CA ausgestellt, zu denen es dann bei einer Rücksicherung keine Referenz mehr in der Datenbank gibt und die Request IDs in der DB gleich sind. Das kann Probleme nach sich ziehen, so etwa beim Versuch ein Zertifikat zurückzuziehen.

 

Wie gesagt: Du hast eine Lösung. Die anderen Dinge sind also nicht wirklich mehr notwendig.

 

Bezüglich des Kopierens der VMs: Kopierst Du das Template, bevor die Clients in die Domäne gehoben werden oder danach? Letzteres wäre übel, ersteres nicht übel aber auch nicht optimal. Du solltest Sysprep verwenden, nachdem Du eine VM dupliziert hast. Alles andere zieht Probleme nach sich.

 

Viele Grüße

olc

[RalphT 15]

Ich habe mir in VM je Betriebssystem einen Rechner fertiggestellt. Dort sind nur die Windows-Updates drauf, sonst nichts. Alles andere, wie IIS installieren, in eine Domäne bringen oder andere Feinheiten werden später durchgeführt. Das kostet kaum Zeit.

 

Allerdings hatte ich erst vor kurzem ein Problem, dass ich mit einem Windows 2003 Server mich einer Domäne anschließen wollte. Das ging noch, aber ein Anmelden nach dem Neustart wurde mir wegen doppelter SIDs verweigert. Ok mit einem Tool eine neue SID vergeben, danach gings aber auch.

 

Allerdings weiß ich nicht mehr genau, was ich dort wie dupliziert hatte. Ich mache mir immer gerne viele Sicherheitskopien. Bloß manchmal notiere ich mir nicht immer den genauen Stand.

[olc 18]

Hi Ralph,

 

das Problem (auch bei nicht Domänen-Clients) ist, daß Du ohne die Änderung der SIDs ein Sicherheitsproblem bekommst. Die Fehler bei Domänen-Clients kommen dann noch dazu. Von daher solltest Du so oder so die VMs mit Sysprep bearbeiten.

 

Das ist aber im Prinzip ein anderes Thema, daher halte ich das jetzt hier mal recht kurz. ;)

 

Viele Grüße

olc