meinerjunge 11 Geschrieben 21. März 2023 Melden Geschrieben 21. März 2023 Hallo Forum, nach dem Umzug unserer Domain CA auf einen neuen Server, erhalte ich bei Anfrage auf die CA, von einem Domain-Member (DC oder normaler Server), immer die Fehlermeldung: Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von CAServer\CAName (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren. Die Berechtigung für den PKIEnrollmentService habe ich bereits neu gesetzt, die Zertifikatvorlage (hier für den DC) sehe ich beim beantragen. Firewall und Netzwerkeinstellungen passen soweit. Lokal auf dem CAServer funktioniert auch alles. Kann mir einer von euch einen Tipp geben wonach ich noch schauen kann? Vielen Dank! MfG Meiner
Beste Lösung NorbertFe 2.283 Geschrieben 21. März 2023 Beste Lösung Melden Geschrieben 21. März 2023 (bearbeitet) Domain Controller sollte man nicht mehr als Zertifikatsvorlage verwenden, sondern stattdessen die für kerberosauthentifizierung. Dann muss man den dcs aber auch beibringen, dass sie sich diese ziehen sollen. Denn hardcoded ist leider Domain controllers. zum Rest evtl. Hier: https://www.gradenegger.eu/?p=3939 bearbeitet 21. März 2023 von NorbertFe 1
meinerjunge 11 Geschrieben 22. März 2023 Autor Melden Geschrieben 22. März 2023 (bearbeitet) vor 19 Stunden schrieb NorbertFe: Domain Controller sollte man nicht mehr als Zertifikatsvorlage verwenden, sondern stattdessen die für kerberosauthentifizierung. Dann muss man den dcs aber auch beibringen, dass sie sich diese ziehen sollen. Denn hardcoded ist leider Domain controllers. zum Rest evtl. Hier: https://www.gradenegger.eu/?p=3939 Danke Norbert, dass hat geholfen. Anschließend müssen nur noch die Rechteeinstellungen überprüft werden, auch die der Vorlagen. Hier beschrieben: Event ID 91 — AD CS Active Directory Domain Services Connection | Microsoft Learn Bzgl. nicht Sichtbarer Vorlagen: https://www.gradenegger.eu/?p=3916 Vielen Dank! bearbeitet 22. März 2023 von meinerjunge
NorbertFe 2.283 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 vor 32 Minuten schrieb meinerjunge: Anschließend müssen nur noch die Rechteeinstellungen überprüft werden, auch die der Vorlagen. Ja klar. :)
MurdocX 1.004 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen. Warum? Aus Sicherheitsgründen.
NorbertFe 2.283 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 Hmmm... naja. Dann braucht man keine Windows CA, wenn mans eh von Hand reinfummelt. ;)
cj_berlin 1.508 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 vor 29 Minuten schrieb MurdocX: Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen. Warum? Aus Sicherheitsgründen. Huch?
NilsK 3.046 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 Moin, hm ... so pauschal nicht. Dafür sind ja gerade die Berechtigungen da. Bei dem Satz würde ich sowas ergänzen wie: ... mit dynamischen Werten, die du nicht zu 100% kontrollieren kannst ... wenn die Berechtigungen nicht zu 100% passen Was für Sicherheitsgründe hast du im Blick? Gruß, Nils 1
MurdocX 1.004 Geschrieben 22. März 2023 Melden Geschrieben 22. März 2023 vor 4 Stunden schrieb NorbertFe: Hmmm... naja. Dann braucht man keine Windows CA, wenn mans eh von Hand reinfummelt. ;) 2 Finger-Suchsystem wäre doch auch noch eine Option vor 4 Stunden schrieb cj_berlin: Huch? Da ist aber einer seeeeehr überrascht ... vor 4 Stunden schrieb NilsK: Was für Sicherheitsgründe hast du im Blick? Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Hier passiert/passierte einiges. Was ich schon gesehen habe ist die Computervorlage mit Auto-Register, Auto-Approval auf authentifizierte Benutzer.
cj_berlin 1.508 Geschrieben 23. März 2023 Melden Geschrieben 23. März 2023 Ja, und das Stichwort hier ist "Misskonfiguration". Türen sind schließlich ein bekannter Angriffsvektor für Einbrecher - die Mitigation besteht aber nicht darin, Türen abzuschaffen. Eine PKI ist etwas, das man ingenieursmäßig planen muss. Daher wundern sich die Kunden immer, wenn ich einen PKI-Workshop mit der Frage anfange, was sie denn damit machen wollen, und nicht von ihr ablasse, bis eine wenigstens irgendwie verwertbare Antwort auf dem Tisch liegt... 1
NorbertFe 2.283 Geschrieben 23. März 2023 Melden Geschrieben 23. März 2023 vor 8 Stunden schrieb MurdocX: Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Ja und wenn man es nicht misskonfiguriert, darf man die dann verwenden? ;)
NilsK 3.046 Geschrieben 23. März 2023 Melden Geschrieben 23. März 2023 Moin, vor 2 Stunden schrieb cj_berlin: Eine PKI ist etwas, das man ingenieursmäßig planen muss. du sprichst mir aus der Seele. Dass wir manchmal einer Meinung sind, haben wir ja schon mal mit Erstaunen festgestellt. Gruß, Nils PS. erwähnte ich schon, dass PKI böse ist?
NorbertFe 2.283 Geschrieben 23. März 2023 Melden Geschrieben 23. März 2023 vor 1 Minute schrieb NilsK: PS. erwähnte ich schon, dass PKI böse ist? Nein Erzähl doch mal. 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden