INTERKULTUR 0 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Seit einiger Zeit funktioniert das Enrollment-System auf unseren Servern nicht mehr, wir bekommen sowie beim Autoenrollment, als auch beim manuellen Versuch über die MMC-Konsole folgenden Fehler, wenn wir versuchen ein neues Zertifikat anzufordern: Fehler bei der Zertifikatregistrierung für Lokales System bei der Authentifizierung für alle URLs für den Registrierungsserver, der folgender Richtlinien-ID zugeordnet ist: {0FCE8424-A909-4D47-82D2-698299874867} (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Fehler bei der Registrierung für Vorlage: KerberosAuthentication Dies betrifft unter anderem Zertifikate der Vorlage "KerberosAuthentification", zB bei der Vorlage "Computer" funktioniert die Anfrage der Zertifikate. Ich habe bereits alles versucht, was im Netz zu finden war, was üblicher Weise hier zu tun sein sollte, komme aber nicht weiter, die Fehlermeldung des Autoenrollment-Systems kommt daher täglich bei jedem Server. Wir haben ein Domänennetzwerk mit 2 Domänencontrollern und mehreren Servern. Als Betriebssystem wird Windows 2008 R2 sowie Windows Server 2012 R2 eingesetzt. Die Hauptzertifikatsstelle ist auf dem PDC und eine weitere als Unterzertifikatsstelle auf dem BDC installiert. Außerdem ist noch eine weitere, welche früher die Hauptzertifikatsstelle war, auf einem Windows-Server als Unterzertifikatsstelle installiert. Das Enrollment der Kerberos-Zertifikate funktioniert leider von keinem der drei Zertifikatsstellen. Wird überhaupt eine Zertifikatsstelle in einer Domäne zwingend benötigt oder können wir diese auch komplett deinstallieren und das Autoenrollment-System abschalten? Gibt dadurch irgendwelche Nachfolgeprobleme, zB mit dem Exchange-Server oder anderen Servern/Arbeitsstationen? Wir selbst nutzen aktive keine Zertifikate.Beste Grüße,INTERKULTUR Zitieren Link zu diesem Kommentar
daabm 1.190 Geschrieben 13. Januar 2016 Melden Teilen Geschrieben 13. Januar 2016 Hm - wenn Ihr keine Zertifikate verwendet, warum habt Ihr dann eine CA? Eine CA auf dem PDC/DC? Ja, geht - ist aber Mist. Was Du oben schreibst - "früher Haupt-CA, jetzt Unter-CA" - ist technisch nicht möglich. Und auf Crosspostings im Technet darfst Du gerne hinweisen - sind die gleichen Leute hier, so viele gibt es nicht Zitieren Link zu diesem Kommentar
INTERKULTUR 0 Geschrieben 13. Januar 2016 Autor Melden Teilen Geschrieben 13. Januar 2016 Hallo daabm, vielen Dank für deine Antwort. Ich habe dir CAs waren bereits installiert, als ich in die Firma kam, daher nahm ich an, dass diese benötig werden...zB für das Autoenrollment der Server. Meine Frage wäre nun, ob ich die CAs einfach deinstallieren kann und das Autoenrollment damit einfach deaktiviere. Wir benötigen keine Zertifikate, auf dem Exchange-Server ist ein separates, Comodo-SSL-Zertifikat installiert. Es haben sich aber ja bereits mehrere Domänenrechner inkl. der Server Zertifikate abgeholt, damals, als die CAs noch funktionierten. Gibt es beim deinstallieren des CAs hier evtl. Probleme? LG, INTERKULTUR Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 14. Januar 2016 Melden Teilen Geschrieben 14. Januar 2016 Schau doch nach, ob es ausgestellte Zertifikate gibt und ob diese verwendet werden und nimm das nicht an. Zitieren Link zu diesem Kommentar
INTERKULTUR 0 Geschrieben 14. Januar 2016 Autor Melden Teilen Geschrieben 14. Januar 2016 Hallo Dukel, Die CAs haben ledeglich Zertifikate im Rahmen des Autoenrollment-Services verteilt, die einzelnen Server und Arbeitsstationen haben sich diese ja regelmäßig abgeholt. Die Frage ist nun, brauchen sie diese Zertifikate wirklich? Zitieren Link zu diesem Kommentar
daabm 1.190 Geschrieben 14. Januar 2016 Melden Teilen Geschrieben 14. Januar 2016 Niemand braucht Zertifikate, wenn er nicht weiß, wofür Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.