Jump to content

Zertifizierungsstelle kann keine Zertifikate austellen, AD Informationen nicht gefunden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

Wie Ihr sicherlich seht, bin ich noch recht neu im der Welt der Zertifikate, ich bitte euch daher Nachzufragen, falls ich nötige Infos vergessen habe.  

 

Mein Problem:

Beim Anfordern eines neuen Exchange Zertifikates für den Mailserver ( seperater Win 2003 Server ) erhalte ich folgende Fehlermeldung von der Zertifizierungsstelle auf dem DC ( Server 2012r2 ):

Element nicht gefunden ( WIN32: 1168 Error_not-found ) Verweigert vom Richtlinienmodul 0x80070490, Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden.

 

Beim weitern Nachforschen erhielt ich zudem die Meldung, dass die Zertifikatvorlagen nicht gefunden werden können, auch der pkiEnrollmentService wird im ADSI-Editor nicht angezeigt.

Da die Domäne vor einiger Zeit einen neuen DC bekommen hat, liegt der Verdacht nahe, dass der Fehler seit Einrichtung des neuen DCs besteht. ( der alte Dc ist nicht mehr im Netzwerk / es gibt also nur einen aktiven DC )

 

Kann ich die Zertifizierungsstelle einfach de- und neu- installieren oder muss ich dabei mit Folgefehlern rechnen - was passiert dabei mit den Zertifikaten ?

 

Habe dazu gegoogelt und es wird öfters auf eine komplette, saubere Deinstallation nach dieser Anleitung verwiesen:

https://support.microsoft.com/en-us/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

Dabei werden jedoch u.a. alle Zertifikate als ungültig erklärt, dies macht mir Sorgen da neben Exchange auch Navision und weitere Software vorhanden ist,

von der ich nicht weis, ob sie Zertifikate benötig und ob/wie sich diese neu anlegen lassen.

 

Gibt es einen Weg die genannten Fehler zu beheben, ohne Änderungen an den  bestehenden Zertifikaten vornehmen zu müssen ? 

 

Dank & Grüße

 

Tobias

 

Link zu diesem Kommentar

Eine Aktualisierung des 2003er Servers ( und evtl. auch des DCs ) ist bereits abgesegnet, aber momentan fehlt einfach die Zeit dies umzusetzten, ein paar Monate muss das ganze noch laufen. Sofern ein 2003 aber keine Zertifikate von 2012r2 anfordern kann, hat sich die Reparatur der Zertifizierungsstelle wohl vorerst erledigt. 

 

Nun bleibt die Frage, wie ich das abgelaufen Exchange Zert. erneuere - ein vom Exchange-Server selbstsigniertes Zertifikat habe ich bereits erstellt, jedoch gibt der Server immer dem vom DC signierten Zert. Vorrang, auch wenn dieses längst abgelaufen ist. Als Übergangslösung einfach die vom Dc "fremdsignierten", abgelaufenen Zerts löschen, bis nurnoch das selbstsignierte übrig ist ?

Link zu diesem Kommentar

Wie kann ein so alter Server in Betrieb sein?

 

-Kommentar gelöscht-

 

Selbstsignierte Zertifikate sind mit Exchange nicht supportet - entweder aus einer PKI (die ja defekt ist) oder extern signiert, was ich immer bevorzuge.

Split-DNS und die Zertifikate sind in 10 min eingerichtet, und externe Zertifikate kosten nicht mehr die Welt.

:eye2:

Link zu diesem Kommentar

Erstmal Danke für eure Hilfe

 

Tjo das mit den "alten Schätzchen" hat mann ja immermal wieder ( ala: läuft doch seit Jahren fehlerfrei :-) und nun wollen die das ändern... )

Wir betreuen die Domäne erst seit ein paar Monaten - wie gesagt, die Zuständigen sind bereits überzeugt, doch andere Projekte haben Vorrang. 

 

Manuell erstellen klingt gut, an die Daten des abgelaufen Zerts komme ich rann. Könnt ihr mir noch ein zwei Sätze schreiben wo ich anfange ? - den Rest google ich mir dann hoffentlich zusammen.

 

 

 

bearbeitet von tob.s
Link zu diesem Kommentar

ich weis... -  zumindest abgesegnet ist es ja schon ( und das ist manchmal ja schwieriger als der ganze rest ;-) )

 

https://www.interssl.com/de/cart.php?a=confproduct&i=0

wäre ein solches externes Zert. geeignet ? / bzw hat wer nen Tipp für mich wo es das passende besonders günstig gibt :-) ?

 

naja ich werd den "Entscheidern" mal die Möglichkeiten mitteilen und sehen, was das gibt.

Ansonsten Danke ich für die Hilfe 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...