Gast Geschrieben 20. August 2012 Melden Teilen Geschrieben 20. August 2012 Hallo allerseits, wir haben 2 Windows 2008 R2 DCs (die Domäne und der Forrest sind auch auf dem Level "2008 R2"). Dann haben wir eine Zertifizierungstelle (AD-integrierte CA) auf einem Windows 2008 R2 Server. Beide Domänen-Controller fragen alle 8 Stunden ein DomainController-Zertifikat an. Ich habe dieses testweise ausgestellt, es wird aber offenbar nicht akzeptiert, da weiterhin alle 8 Stunden ein Zertifikat angefordert wird... Zeitgleich zu den Anforderungen sehe ich auf den DCs die folgenden "Informations"-Meldungen, Benutzer ist jeweils SYSTEM: ------------------------------------------------------------------------------------------ Protokollname: Application Quelle: Microsoft-Windows-CertificateServicesClient-CertEnroll Ereignis-ID: 65 Beschreibung: Die Zertifikatregistrierung für Lokales System wurde vom Richtlinienserver {A7FDE063-1ABF-494A-97E1-598E6EB2F5EA} erfolgreich authentifiziert. ------------------------------------------------------------------------------------------ Protokollname: Application Quelle: Microsoft-Windows-CertificateServicesClient-CertEnroll Ereignis-ID: 64 Beschreibung: Die Richtlinie wurde mithilfe der Zertifikatregistrierung für Lokales System erfolgreich vom Richtlinienserver geladen. ------------------------------------------------------------------------------------------ Protokollname: Application Quelle: Microsoft-Windows-CertificateServicesClient-CertEnroll Ereignis-ID: 21 Beschreibung: Von der Zertifikatregistrierung für Lokales System wurde versucht, sich für ein Zertifikat DomainController mit der Anforderungs-ID 5384 von der Zertifizierungsstelle CA_NAME.domain.local\domain-CA_NAME-CA zu registrieren. Die Anforderung steht aus. ------------------------------------------------------------------------------------------ Protokollname: Application Quelle: Microsoft-Windows-CertificateServicesClient-CertEnroll Ereignis-ID: 66 Beschreibung: Die Zertifikatregistrierung für Lokales System wurde vom Registrierungsserver CA_NAME.domain.local\domain-CA_NAME-CA erfolgreich authentifiziert. ------------------------------------------------------------------------------------------ Danach erscheint keine weitere Meldung, kein Fehler, keine Info. Die Vorlage "DOmainController" gibt es natürlich und ist auf der CA veröffentlicht. Kennt das Problem jemand und hat dafür vielleicht einen Tipp parat? Wir nutzen weder Smartcard noch EFS, wofür soll das Zertifikat sein? Viele Grüße Stefan Zitieren Link zu diesem Kommentar
Gast Geschrieben 13. September 2013 Melden Teilen Geschrieben 13. September 2013 Hallo zusammen, das Problem ist immer noch nicht gelöst. Ich habe zwar die Vorlage rausgenommen, damit die Fehlermeldungen nicht mehr auftreten, aber ich wüsste schon gerne zum einen wof+r das Zertifikat gut ist (es läuft ja auch alles problemlos ohne dieses) und wie ich es hinbekomme, dass ich ein DC-Zertifikat installiere. Die Anforderung und Ausstellung über unsere CA ist kein Problem, ich sehe auch das angeforderte Zertifikat unter "Zertifikatregistrierungsanforderungen", nur wie wird das ausgestellte Zertifikat installiert? Habe schon dieverse Sachen versucht, aber komme nicht weiter... Viele GrüßeStefan Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 14. September 2013 Melden Teilen Geschrieben 14. September 2013 Du solltest automatische Registrierung für die DCs zulassen. ;) Zitieren Link zu diesem Kommentar
Gast Geschrieben 14. September 2013 Melden Teilen Geschrieben 14. September 2013 Du solltest automatische Registrierung für die DCs zulassen. ;) Moin Norbert, das hatte ich schon eingestellt, aber die DCs haben weiterhin Zertifikate angefordert ohne dass eins automatisch ausgestellt wurde... Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 14. September 2013 Melden Teilen Geschrieben 14. September 2013 Dann würde ich da mal ansetzen. Man kann das afair auch in den Eigenschaften der ca global einstellen. Zitieren Link zu diesem Kommentar
Smidddi 3 Geschrieben 14. September 2013 Melden Teilen Geschrieben 14. September 2013 Wurde in den Sicherheitsberechtigungen der Zertifikatvorlagen etwas geändert? Wurden die DCs aus der OU Domänencontroller verschoben oder den Maschinen ggf. die Mitgliedschaft in der Gruppe Domänencontroller der Organisation genommen? Die Zertifikatvorlagen kannst du mit certtmpl.msc einsehen und dort auch die Sicherheitsberechtigungen kontrollieren. Zitieren Link zu diesem Kommentar
Gast Geschrieben 14. September 2013 Melden Teilen Geschrieben 14. September 2013 Wurde in den Sicherheitsberechtigungen der Zertifikatvorlagen etwas geändert? Wurden die DCs aus der OU Domänencontroller verschoben oder den Maschinen ggf. die Mitgliedschaft in der Gruppe Domänencontroller der Organisation genommen? Die Zertifikatvorlagen kannst du mit certtmpl.msc einsehen und dort auch die Sicherheitsberechtigungen kontrollieren. Hallo Smidddi, die DCs sind in den korrekten OUs und Gruppen. Ich lege immer großen Wert darauf, am Standard zu bleiben und nichts zu verfrickeln. Ich werde mir die Sicherheitseinstellungen und die Eigenschaften der CA übernächste Woche nach dem Urlaub mal anschauen. Melde mich dann. Danke erstmal! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.