HeckMc 10 Geschrieben 16. Februar 2012 Melden Teilen Geschrieben 16. Februar 2012 Hallo zusammen, nun hat mich das Schicksal eines unsauber entfernten DC auch im produktiven Betrieb erwischt. Früher war ein W2k3 (server.domain.local, DC, Exchange) im Einsatz, jetzt ein W2k8R2 (exchange.domain.local, DC, Exchange). Fragt mich bitte nicht warum Exchange auf einem DC läuft und was genau abgelaufen ist. Es gibt keine Informationen darüber, wie der Umstieg vonstatten gegangen ist. :confused: Ich finde im Ereignisprotokoll folgende Fehler, in denen der alte Server auftaucht: Anwendung: ID: 6 Quelle: CertificateServicesClient-AutoEnrollment Bei der automatischen Zertifikatregistrierung für domain\administrator ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. ID: 13 Quelle: CertificateServicesClient-CertEnroll Die Zertifikatregistrierung für domain\administrator konnte sich nicht für ein Zertifikat Administrator mit der Anforderungs-ID N/A von server.domain.local\CADomain (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren. ID: 12018 Quelle: MSExchangeTransport Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: EXCHANGE.domain.local, Fingerabdruck: (entfernt), verbleibende Stunden: 83. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um eine neues Zertifikat zu erstellen. ID: 64 Quelle: CertificateServicesClient-AutoEnrollment Zertifikat für lokales System mit Fingerabdruck (entfernt) wird bald ungültig oder ist bereits ungültig. System: ID: 10009 Quelle: DistributedCOM DCOM konnte mit dem Computer "server.domain.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen. ID: 36888 Quelle: Schannel Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus lautet: 1203. ID: 29 Quelle: Kerberos-Key-Distribution-Center Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat. Wie man sieh, taucht immer noch der alte server.domain.local auf. Ich gehe mal schwer davon aus, dass auf dem Server eine CA installiert war. Auf dem neuen befindet sich diese nicht. Zertifikate auf dem neuen Server sind teilweise von der CA und teilweise self-issued. Das o.g. Exchange Zertifikat ist von der CA ausgestellt. Ich nehme an, dass die Probleme teilweise zusammenhängen (zumindest 6, 13, 64 und evtl. 29). Daraus ergeben sich folgende Fragen: 1. Wie bekomme ich den server.domain.local aus dem DistributedCOM? 2. Kann ich die alte CA auf den neuen Server transferieren? Oder wäre es besser den alten Server (physisch noch vorhanden) zu virtualisieren und als CA zu betreiben? 3. Könnte ich das jetzige Exchange Zertifikat (ausgestellt von der CA) einfach durch New-ExchangeCertificate ersetzen? Ich hoffe es hat jemand einen Tipp für mich. Vielen Dank im Voraus. VG HeckMc Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 17. Februar 2012 Autor Melden Teilen Geschrieben 17. Februar 2012 Hallo zusammen, folgendes habe ich inzwischen unternommen: Das CA Stammzertifikat war verfügbar. Somit habe ich die CA auf dem neuen Server aufgesetzt und das alte Stammzertifikat importiert. Dann habe ich im Exchange einen Certificate Request generiert und an bei der CA eingereicht. Das neue Zertifikat habe ich dann in den Exchange importiert und ihm die entsprechenden Dienste zugewiesen. Durch die nun wieder laufende CA sind bereits weitere Zertifikate automatisch erstellt worden. Dadurch vermute ich sind folgende Fehler behoben: ID: 6 Quelle: CertificateServicesClient-AutoEnrollment Bei der automatischen Zertifikatregistrierung für domain\administrator ist ein Fehler aufgetreten (0x800706ba) Der RPC-Server ist nicht verfügbar. ID: 13 Quelle: CertificateServicesClient-CertEnroll Die Zertifikatregistrierung für domain\administrator konnte sich nicht für ein Zertifikat Administrator mit der Anforderungs-ID N/A von server.domain.local\CADomain (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722)) registrieren. ID: 12018 Quelle: MSExchangeTransport Das STARTTLS-Zertifikat läuft in Kürze ab. Betreff: EXCHANGE.domain.local, Fingerabdruck: (entfernt), verbleibende Stunden: 83. Führen Sie das Cmdlet 'New-ExchangeCertificate' aus, um eine neues Zertifikat zu erstellen. ID: 64 Quelle: CertificateServicesClient-AutoEnrollment Zertifikat für lokales System mit Fingerabdruck (entfernt) wird bald ungültig oder ist bereits ungültig. Folgende Fehler sind noch vorhanden: ID: 10009 Quelle: DistributedCOM DCOM konnte mit dem Computer "server.domain.local" unter Verwendung eines beliebigen, konfigurierten Protokolls keine Daten austauschen. ID: 36888 Quelle: Schannel Es wurde eine schwerwiegende Warnung generiert: 10. Der interne Fehlerstatus lautet: 1203. ID: 29 Quelle: Kerberos-Key-Distribution-Center Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat. Neu ist mir aufgefallen: ID: 36887 Quelle: Schannel Es wurde eine schwerwiegende Warnung generiert: 48. Hinzu kommt, dass ein RPC HTTP Fehler aufgrund eines nicht installierten Features ebenfalls behoben ist. Outlook Anywhere war aktiviert, aber der HTTP RPC Proxy nicht installiert. Folgende Probleme habe ich aber noch mit Outlook Anywhere: Einwahl per VPN: Outlook startet und meckert dann an, dass die Zertifikate für mail.domain.de und autodiscover.domain.de von einer nicht vertrauenswürdigen Organisation ausgestellt wurden. Akzeptiere ich dies und gebe mein Passwort ein (Rechner nicht im AD) kann ich auf den Exchange zugreifen. Installiere ich mir aber das Stammzertifikat der Zertifizierungsstelle in den Ordner der vertrauenswürdigen Zertifizierungsstellen, werden die Zertifikate nicht mehr angemeckert. Danach gebe ich das Passwort ein, komme aber trotzdem nicht auf den Exchange. Er verlangt immer wieder das PW. Outlook ohne VPN: Verhalten der Zertifikate wie oben beschrieben. Bei installiertem Stammzertifikat erfolgt sich ständig wiederholende Abfrage des PW. Bei nicht installiertem Stammzertifikat wird jedoch keine Verbindung aufgebaut. Nach einiger Zeit erscheint der Status als "getrennt". Hat hierzu evt. jemand Tipps? VG HeckMc Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 17. Februar 2012 Melden Teilen Geschrieben 17. Februar 2012 Hi, schau einmal hier hinein: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 Entscheiden, ob die CA tatsächlich nicht mehr genutzt wird, mußt Du selbst... ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
HeckMc 10 Geschrieben 18. Februar 2012 Autor Melden Teilen Geschrieben 18. Februar 2012 Hallo, danke für deinen Tipp. Wie ich aber schon geschrieben habe, war ich der Meinung, dass der Exchange Server am besten in Kombination mit Zertifikaten einer CA eingesetzt wird, anstatt mit self-signed Zertifikaten. Somit habe ich wieder eine CA installiert, die das alte Stammzertifikat nutzt. Somit haben sich schon einige Probleme erledigt (siehe zweiter Post). Jetzt habe ich halt im Bereich der Zertifikate "nur" noch das Problem, dass ich mich nicht per Outlook Anywhere einloggen kann, wenn ich das Stammzertifikat auf meinem Client installiere (der nicht Mitglied der Domäne ist). Die Zertifikatskette auf dem Client zeigt allerdings keinen Fehler an. Ich werde es heute mal mit einem Client testen, der Domänen-Mitglied ist und dann berichten. Die in dem genannten Artikel aufgeführten Punkte gehe ich trotzdem mal durch um sicherzugehen, dass auf dem DC mit der neuen CA nicht noch Teile der alten CA schlummern. VG HeckMc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.