blurrrr 10 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Hallo allerseits, mein Testnetzwerk besteht aus: 1x 2k8-Server 2x XP SP2-Clients (um nur die wichtigen zu nennen ;)) Ich habe auf dem 2k8-Server folgendes aufgesetzt: - ADDS - DHCP - DNS - IIS - WSUS - NPS Nun habe ich eine Zertifizierungsstelle installiert und bekomme einen Fehler angezeigt, wenn ich beim Servermanager auf die Unternehmens-PKI zugreife. Die angezeigte Fehlermeldung besagt "Download nicht möglich". Dies ist aber nur bei den http-Zugriffen so - nicht bei den ldap-Zugriffen. [Anzeige bei: AIA-Speicherort #2, DeltaCRL-Speicherort #2, Speicherort für Sperrlisten- Verteilungspunkte #2; alles mit der #1 am Ende ist ein ldap-Zugriff] Jemand eine Idee? :) Mit bestem Dank im voraus, blurrrr Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. Juni 2009 Melden Teilen Geschrieben 18. Juni 2009 Hallo, man sollte davon ausgehen, daß bei der recht eindeutigen Fehlermeldung die CDPs / AIA nicht per HTTP erreichbar sind oder? ;) Soll heißen, wahrscheinlich stimmen die Pfade dahin nicht bzw. der IIS / WebServer hat Probleme. Ggf. könntest Du also einmal prüfen, ob die Pfade denn manuell erreichbar sind (das wird nicht der Fall sein) und dementsprechend auf dem IIS überprüfen, ob die Dateien dort vorhanden sind bzw. das entsprechende Verzeichnis veröffentlicht. Ansonsten kann es auch sein, daß die falschen Pfade bei der CA Einrichtung angegeben wurden, das sollte dann schnell auf der CA geändert werden. Für bestehende Zertifikate läßt sich das jedoch nicht mehr anpassen. Viele Grüße olc Zitieren Link zu diesem Kommentar
blurrrr 10 Geschrieben 19. Juni 2009 Autor Melden Teilen Geschrieben 19. Juni 2009 (bearbeitet) Guten Morgen :) "certutil" besagt, dass die angegebenen Dateien nicht gefunden werden können. Die Dateien sind aber vorhanden. Womöglich ein Rechte-Problem? Die Pfade stimmen meiner Meinung nach jedenfalls. [http://server/CertEnroll/zertifikatsname] Kann doch nicht sein, dass bei einer 0-8-15-Installation Berechtigungen nicht gesetzt werden... Welche Gruppen/Benutzer müssten denn Berechtigungen auf das Verzeichnis: "C:\Windows\system32\CertSrv\CertEnroll\" haben? ("Ersteller-Besitzer", "System", "Domäne\Administratoren", "Trusted Installer" und "Benutzer" haben Zugriff) Im IIS-Manager/Authentifizierung ist halt nur die Anonyme-Authentifizierung bei "CertEnroll" aktiviert. ------------------------------------------------------------------------------ EDIT: Ah... okay - liegt wohl an der Pass-Through-Authentifizierung... der IIS-Manager kann nicht überprüfen, ob das vordefinierte Konto Zugriff hat. Ich soll sicher stellen, dass die Identität des Anwendungspools Zugriff hat. Die wäre dann NETWORKSERVICE. Allerdings ist das Konto, was für die vordefinierte anonyme Anmeldung für /CertEnroll automatisch auf IUSR gesetzt worden. <2mins später...> Hm... nachdem ich NETWORKSERVICE Lese-Berechtigung auf den physikalischen Pfad gegeben habe... hat sich noch immer nichts getan - daran kanns also auch nicht wirklich liegen *muffel* So langsam gehen mir aber auch echt die Ideen'n aus... Hilfe? :D bearbeitet 19. Juni 2009 von blurrrr Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 Hi, ist doch genau das, was ich oben geschrieben habe... ;) Sind unter Umständen Gruppenrichtlinien auf dem CA-Server aktiv, die die Netzwerkschnittstellen "einschränken"? Kandidaten wie "Zugriff vom Netzwerk auf diesen Computer verweigern: [...] ANONYME ANMELDUNG [...]"? Das kann beispielsweise beim IIS zu Problemen führen. Viele Grüße olc Zitieren Link zu diesem Kommentar
blurrrr 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Hm... okay hat sich erledigt... man sollte auch schon drauf achten, welche Authentifizierungsmöglichkeiten für den IIS installiert sind ... *grml* und dafür hampel ich ewig mit den Rechten rum. Echt toll von ***... da wird einem schon gesagt "Da brauchste aber den IIS" und dann wird noch nichtmals alles "wirklich" notwendige installiert... frisch Installiert und BÄM!... Fehler. Das ist wieder so typisch für Microsoft... :rolleyes: Schönen Dank an dieser Stelle :) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Hallo blurrrr, ich habe schon mehr als einmal eine CA in Betrieb genommen - bisher hatte ich noch keine Probleme mit den Authentifizierungsmethoden nach einer standardmäßig durchgeführten Installation. Bevor man also alles auf den Dienst schiebt, sollte man eventuell auch eigene Fehler in Betracht ziehen oder? ;) Vielen Dank für Deine Rückmeldung und viele Grüße olc Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Hi, wenn ich mich recht erinnere, Funktioniert ja da etwas mit den Zertifikaten nicht, wenn man Sie als Vista Client anfordert....Da war doch was... Und zumindest bei 2K3 musste man einen Enterprise Edition haben um ein CA betreiben zu können. Vielleicht verwendest du ja einen Standard 2008er? Lasse mich aber auch gern updaten wenn unter 2008 alles auch schon mit dem Standard geht. Zitieren Link zu diesem Kommentar
NorbertFe 1.827 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Und zumindest bei 2K3 musste man einen Enterprise Edition haben um ein CA betreiben zu können. Wat? Nö, das stimmt nicht. Die Enterprise Version hat nur ein paar Features mehr in der CA. Bye Norbert Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 hmm. aber das war doch so, dass auf einem 2003Std man die Zertifikate zware editieren konnte, jedoch der CA nicht lauffähig war, solange der CA Root nicht auf einem Enterprise war.... Zitieren Link zu diesem Kommentar
NorbertFe 1.827 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Man kann keine selbsterstellten Certificate Templates nutzen. Und noch ein bisschen mehr. ;) Feature Bye Norbert Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 23. Juni 2009 Melden Teilen Geschrieben 23. Juni 2009 Das wars. Genau. Puh... ich wusste doch, da ist was... Und genau die braucht man aber auf kurz oder lang. Zumindest ich brauchte Sie in meinem Testnetz, wobei ich zugebe, die MS Variante des CA noch nie produktiv verwendet habe. Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 20. Februar 2010 Melden Teilen Geschrieben 20. Februar 2010 Guten Abend, ich möchte mich kurz hier mit dran hängen, auch wenn der Thread schon ein paar Monate alt ist: Ich lerne grad auf die 70-640 und kaue grad PKI durch. Habe ebenfalls mit den http-Fehlern zu kämpfen. Auch "Download nicht möglich". Hier gehts um die Stamm-Zertifizierungsstelle. Habe jedoch absichtlich bei den "Sperrlisten-Verteilungspunkten" und "Zugriff auf "Stelleninformationen die Haken bei HTTP rausgenommen, d.h. diese Speicherorte sollten doch im Endeffekt nicht veröffentlich werden. Werden sie aber doch und ich bekomme ebenfalls bei AIA-Speicherort #2 und Speicherort für Sperrlisten-Verteilungspunkte #2 den Fehler "Download nicht möglich" Bei der Ausstellenden Certstelle wiederum klappt das wunderbar, nur die 3 LDAP Speicherorte tauchen auf (AIA-Speicherort, DeltaCRL und Speicherort für Verteilungspunkte). Das Stammzertifizierungsstellen-Cert habe ich bereits erneuert. Habt ihr einen Tipp?? Grüße und vielen Dank im Voraus toasti Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 20. Februar 2010 Melden Teilen Geschrieben 20. Februar 2010 Hi toasti, die Frage von Dir geht in eine vollkommen andere Richtung als die Themen oben - ein neuer Thread wäre also durchaus sinnvoll. ;) Hast Du den CA Dienst nach den Änderungen neu gestartet? Viele Grüße olc Zitieren Link zu diesem Kommentar
toasti 11 Geschrieben 21. Februar 2010 Melden Teilen Geschrieben 21. Februar 2010 OKI, hier gehts weiter: http://www.mcseboard.de/windows-forum-allgemein-83/server-2008-pki-verteilungspunkte-http-trotz-deaktivierung-vorhanden-162642.html#post1000120 Dienst habe ich neu gestart. Wird auch beim Erneuern des Stammcert gemacht. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.