meinerjunge 10 Geschrieben 21. März 2023 Melden Teilen Geschrieben 21. März 2023 Hallo Forum, nach dem Umzug unserer Domain CA auf einen neuen Server, erhalte ich bei Anfrage auf die CA, von einem Domain-Member (DC oder normaler Server), immer die Fehlermeldung: Die Zertifikatregistrierung für Lokales System konnte sich nicht für ein Zertifikat DomainController mit der Anforderungs-ID N/A von CAServer\CAName (Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) registrieren. Die Berechtigung für den PKIEnrollmentService habe ich bereits neu gesetzt, die Zertifikatvorlage (hier für den DC) sehe ich beim beantragen. Firewall und Netzwerkeinstellungen passen soweit. Lokal auf dem CAServer funktioniert auch alles. Kann mir einer von euch einen Tipp geben wonach ich noch schauen kann? Vielen Dank! MfG Meiner Zitieren Link zu diesem Kommentar
Beste Lösung NorbertFe 1.805 Geschrieben 21. März 2023 Beste Lösung Melden Teilen Geschrieben 21. März 2023 (bearbeitet) Domain Controller sollte man nicht mehr als Zertifikatsvorlage verwenden, sondern stattdessen die für kerberosauthentifizierung. Dann muss man den dcs aber auch beibringen, dass sie sich diese ziehen sollen. Denn hardcoded ist leider Domain controllers. zum Rest evtl. Hier: https://www.gradenegger.eu/?p=3939 bearbeitet 21. März 2023 von NorbertFe 1 Zitieren Link zu diesem Kommentar
meinerjunge 10 Geschrieben 22. März 2023 Autor Melden Teilen Geschrieben 22. März 2023 (bearbeitet) vor 19 Stunden schrieb NorbertFe: Domain Controller sollte man nicht mehr als Zertifikatsvorlage verwenden, sondern stattdessen die für kerberosauthentifizierung. Dann muss man den dcs aber auch beibringen, dass sie sich diese ziehen sollen. Denn hardcoded ist leider Domain controllers. zum Rest evtl. Hier: https://www.gradenegger.eu/?p=3939 Danke Norbert, dass hat geholfen. Anschließend müssen nur noch die Rechteeinstellungen überprüft werden, auch die der Vorlagen. Hier beschrieben: Event ID 91 — AD CS Active Directory Domain Services Connection | Microsoft Learn Bzgl. nicht Sichtbarer Vorlagen: https://www.gradenegger.eu/?p=3916 Vielen Dank! bearbeitet 22. März 2023 von meinerjunge Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 vor 32 Minuten schrieb meinerjunge: Anschließend müssen nur noch die Rechteeinstellungen überprüft werden, auch die der Vorlagen. Ja klar. :) Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen. Warum? Aus Sicherheitsgründen. Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 Hmmm... naja. Dann braucht man keine Windows CA, wenn mans eh von Hand reinfummelt. ;) Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 vor 29 Minuten schrieb MurdocX: Und weil‘s gerade passt: Vermeide automatische Zertifikatsregistrierungen. Warum? Aus Sicherheitsgründen. Huch? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 Moin, hm ... so pauschal nicht. Dafür sind ja gerade die Berechtigungen da. Bei dem Satz würde ich sowas ergänzen wie: ... mit dynamischen Werten, die du nicht zu 100% kontrollieren kannst ... wenn die Berechtigungen nicht zu 100% passen Was für Sicherheitsgründe hast du im Blick? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 22. März 2023 Melden Teilen Geschrieben 22. März 2023 vor 4 Stunden schrieb NorbertFe: Hmmm... naja. Dann braucht man keine Windows CA, wenn mans eh von Hand reinfummelt. ;) 2 Finger-Suchsystem wäre doch auch noch eine Option vor 4 Stunden schrieb cj_berlin: Huch? Da ist aber einer seeeeehr überrascht ... vor 4 Stunden schrieb NilsK: Was für Sicherheitsgründe hast du im Blick? Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Hier passiert/passierte einiges. Was ich schon gesehen habe ist die Computervorlage mit Auto-Register, Auto-Approval auf authentifizierte Benutzer. Zitieren Link zu diesem Kommentar
cj_berlin 1.137 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Ja, und das Stichwort hier ist "Misskonfiguration". Türen sind schließlich ein bekannter Angriffsvektor für Einbrecher - die Mitigation besteht aber nicht darin, Türen abzuschaffen. Eine PKI ist etwas, das man ingenieursmäßig planen muss. Daher wundern sich die Kunden immer, wenn ich einen PKI-Workshop mit der Frage anfange, was sie denn damit machen wollen, und nicht von ihr ablasse, bis eine wenigstens irgendwie verwertbare Antwort auf dem Tisch liegt... 1 Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 vor 8 Stunden schrieb MurdocX: Es gibt bekannte Angriffstechniken die eine Misskonfiguration der CA ausnutzen um sich schnell DA oder DC-Sync Rechte zu verleihen. Ja und wenn man es nicht misskonfiguriert, darf man die dann verwenden? ;) Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 Moin, vor 2 Stunden schrieb cj_berlin: Eine PKI ist etwas, das man ingenieursmäßig planen muss. du sprichst mir aus der Seele. Dass wir manchmal einer Meinung sind, haben wir ja schon mal mit Erstaunen festgestellt. Gruß, Nils PS. erwähnte ich schon, dass PKI böse ist? Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 23. März 2023 Melden Teilen Geschrieben 23. März 2023 vor 1 Minute schrieb NilsK: PS. erwähnte ich schon, dass PKI böse ist? Nein Erzähl doch mal. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.