CoolAce 17 Geschrieben 27. Juli 2016 Melden Geschrieben 27. Juli 2016 Hallo zusammen, ich habe folgenden Eintrag von einem Kunden bekommen, bei einem Service Account und komme nicht dahinter was genau falsch beim Kunden konfiguriert wurde. Ich suche seit 3 Wochen aber stehe im Wald, über Tipps oder Links würde ich mich freuen OS:2008 R2 mit allen Patche Dies kommt vom DC Eventlog und vom Memberserver Protokollname: ApplicationQuelle: Microsoft-Windows-CertificationAuthorityDatum: 17.03.2016 10:11:42Ereignis-ID: 53Aufgabenkategorie: KeineEbene: WarnungSchlüsselwörter:KlassischBenutzer: SYSTEMComputer: DC1Beschreibung:Die Anforderung 11333 wurde abgelehnt, da Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374). Die Anforderung war für Domäne\SRVACCount01. Weitere Informationen: Verweigert vom RichtlinienmodulEreignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" /> <EventID Qualifiers="33370">53</EventID> <Version>0</Version> <Level>3</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <EventRecordID>1762312</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer></Computer> <Security UserID="S-8-3-44" /> </System> <EventData Name="MSG_DN_CERT_DENIED_WITH_INFO"> <Data Name="Reason">Der E-Mail-Name ist nicht verfügbar und kann dem Subjekt oder Subjektalternativnamen nicht hinzugefügt werden. 0x80094812 (-2146875374)</Data> <Data Name="SubjectName">Domäne\SRVACCount01</Data> <Data Name="AdditionalInformation">Verweigert vom Richtlinienmodul</Data> </EventData></Event> Service Accounts haben ja nicht zwingend eine Mail Adresse. LG Coolace
Beste Lösung tesso 384 Geschrieben 27. Juli 2016 Beste Lösung Melden Geschrieben 27. Juli 2016 Sieht auf den ersten Blick nach einer Meldung der CA aus. Ich rate mal. Es gibt eine GPO die Usern automatisch ein Zertifikat ausstellt. Das schlägt für den Account fehl, da er keine Mailadresse hat.
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Geschrieben 27. Juli 2016 Das mit der GPO klingt nach einem guten Ansatz, ich prüfe das mal. Könnte ich noch einen kleinen Tipp haben wo umgefähr ich die wieder finde ? Ich habe die Richtlinie gefunden beim Kunden, in der Benutzerkonfiguration unter Zertifikatdienstclient - Einstellungen für automatische Registrierung. Die ist aktiv, mir fehlt nur noch geistig der Zusammenhang zu der Meldung Noch eine Frage dazu, müssen Service Accounts Zertifikate automatisch erneueren ?
tesso 384 Geschrieben 27. Juli 2016 Melden Geschrieben 27. Juli 2016 Wenn der Serviceaccount kein Postfach hat, hat er keine Mailadresse. Wenn er keine Mailadresse hat, erfüllt er nicht die Bedingungen für das Austellen eines Zertifikats. Wenn er keins braucht, dann ignoriere die Meldung einfach.
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Geschrieben 27. Juli 2016 Das habe ich nun verstanden und vielen Dank für den Tipp und gleichzeitig Lösung. Ich bin mir nur bei einem Punkt nicht sicher, muss ein Service Account Zertifikate automatisch erneuern können um Einwandfrei arbeiten zu können?
NorbertFe 2.283 Geschrieben 27. Juli 2016 Melden Geschrieben 27. Juli 2016 Wenn er kein Zertifikat benötigt, und das kann er jetzt ja demzufolge schon nicht haben, dann wird er wohl funktionieren. ;)
CoolAce 17 Geschrieben 27. Juli 2016 Autor Melden Geschrieben 27. Juli 2016 Perfekt, ich danke allen beteiligten für die Hilfe und Unterstützung :-)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden