2
domänencontroller fordern ständig neue zertifikate von der zertifizierungsstelle an
hallo,
habe folgendes problem:
habe 2 domänencontroller mit win2k3. weiters befindet sich ein exchange server (win2k3), auf dem auch die zertifizierungsstelle läuft im netzwerk. die zertifikate benötige ich für owa.
mein problem hierbei ist, dass meine domänencontroller ständig (ca. alle 2 stunden) neue zertifikate von der zertifizierungsstelle anfordern. zertifikat template ist "domänencontroller", name des antragsstellers: DOMAIN\SERVERNAME$. wenn ich das austellen des zertifikates in der zertifizierungsstelle manuell genehmige, bleibt der zertifikatsspeicher auf den domänencontrollern leer. unter "eigene zertifikate" werden keine zertifikate angezeigt. scheinbar schaffen es die zertifikate nicht in den zertifikatsspeicher.
selbst wenn ich das stammzertifikat manuell in der zertifizierungsstelle exportiere und anschließend auf den domänencontrollern unter "eigene zertifikate" importiere, bleiben die ständigen zertifikatsanforderungen bestehen. der domänencontroller will immer noch weitere zertifikate. das zertifikat wird aber bei dieser variante zumindest schon mal unter "eigene zertifikate" auf den domänencontrollern gespeichert und angezeigt.
in der ereignisanzeige auf den domänencontrollern befinden sich keine auffälligen warnmeldungen/fehler, jediglich folgende information: "Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss."
handelt es sich um ein berechtigungsproblem? wo ändere ich die berechtigungen für die zertifikatsvergabe/empfang. in den gruppenrichtlinien für domänencontroller und in den lokalen sicherheitsrichtlinien konnte ich keine passenden einträge finden. auch google weiss zu dem ganzen nicht viel.
zu welchem zweck benötigt der domänencontroller überhaupt ein zertifikat? benötige die zertifikate doch nur für owa, oder?
an der gültigkeit des zertifikates kann es jedenfalls nicht liegen, da diese über 1 jahr beträgt.
es gab schon mal einen ähnlichen beitrag "Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?". vielleicht kann jemand etwas damit anfangen. allerdings wurden bei diesem user die zertifikate zumindest automatisch gespeichert, was ja bei mir nicht der fall ist.
danke
habe folgendes problem:
habe 2 domänencontroller mit win2k3. weiters befindet sich ein exchange server (win2k3), auf dem auch die zertifizierungsstelle läuft im netzwerk. die zertifikate benötige ich für owa.
mein problem hierbei ist, dass meine domänencontroller ständig (ca. alle 2 stunden) neue zertifikate von der zertifizierungsstelle anfordern. zertifikat template ist "domänencontroller", name des antragsstellers: DOMAIN\SERVERNAME$. wenn ich das austellen des zertifikates in der zertifizierungsstelle manuell genehmige, bleibt der zertifikatsspeicher auf den domänencontrollern leer. unter "eigene zertifikate" werden keine zertifikate angezeigt. scheinbar schaffen es die zertifikate nicht in den zertifikatsspeicher.
selbst wenn ich das stammzertifikat manuell in der zertifizierungsstelle exportiere und anschließend auf den domänencontrollern unter "eigene zertifikate" importiere, bleiben die ständigen zertifikatsanforderungen bestehen. der domänencontroller will immer noch weitere zertifikate. das zertifikat wird aber bei dieser variante zumindest schon mal unter "eigene zertifikate" auf den domänencontrollern gespeichert und angezeigt.
in der ereignisanzeige auf den domänencontrollern befinden sich keine auffälligen warnmeldungen/fehler, jediglich folgende information: "Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss."
handelt es sich um ein berechtigungsproblem? wo ändere ich die berechtigungen für die zertifikatsvergabe/empfang. in den gruppenrichtlinien für domänencontroller und in den lokalen sicherheitsrichtlinien konnte ich keine passenden einträge finden. auch google weiss zu dem ganzen nicht viel.
zu welchem zweck benötigt der domänencontroller überhaupt ein zertifikat? benötige die zertifikate doch nur für owa, oder?
an der gültigkeit des zertifikates kann es jedenfalls nicht liegen, da diese über 1 jahr beträgt.
es gab schon mal einen ähnlichen beitrag "Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?". vielleicht kann jemand etwas damit anfangen. allerdings wurden bei diesem user die zertifikate zumindest automatisch gespeichert, was ja bei mir nicht der fall ist.
danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 83605
Url: https://administrator.de/contentid/83605
Printed on: April 25, 2024 at 19:04 o'clock
2 Comments
Latest comment
Es hilft uns wenn du die Event ID mit angibst, bzw. auch selber danach suchst. Z.B. bei www.eventid.net
Ich kenne ein ähnliches Problem, das auftritt SP1 für Windows Server 2003 installiert wird. Kurz gesagt ändern sich die Berechtigungen für die CA und es gelingt nicht mehr das neue Zertifikat im Active Directory für den betreffenden DC abzulegen.
http://technet2.microsoft.com/windowsserver/en/library/d08181ca-4fac-4c ...
Prüfe deshalb bitte ob auf der CA im Eventlog Ereignis 53 vom CertSvc auftritt.
Wenn ja, dann befolge den KB Artikel: http://support.microsoft.com/kb/281271
(Ich lese lieber die englische Version, da die deutsch Übersetzung nicht so gut gelungen ist.)
Gruß Rafiki
Ich kenne ein ähnliches Problem, das auftritt SP1 für Windows Server 2003 installiert wird. Kurz gesagt ändern sich die Berechtigungen für die CA und es gelingt nicht mehr das neue Zertifikat im Active Directory für den betreffenden DC abzulegen.
http://technet2.microsoft.com/windowsserver/en/library/d08181ca-4fac-4c ...
Windows Server 2003 Certificates and Publishing in Active Directory
Certificates, which are enrolled from an enterprise CA with the Domain Controller or the Directory Email Replication certificate template, are published by default into the requester’s object in Active Directory. When a certificate is auto-enrolled, the requestor is naturally a domain controller. These certificate templates publish certificates in Active Directory primarily to facilitate encrypted replication of Active Directory content with SMTP; both replication partners must have access to the public key (certificate) of their replication partner.
Only enterprise certification authorities publish certificates in Active Directory as an automatic process. If you enroll a Domain Controller certificate manually from a stand-alone CA, you must publish the certificate manually in Active Directory. Remember that stand-alone CAs do not offer the Domain Controller Authentication and Directory Email Replication certificate template format(s), so regardless of the CA version, you can only issue Domain Controller certificates from a stand-alone CA.
By default, certificates that have been built with the Domain Controller Authentication certificate template are not published in Active Directory because smart card logon requires the domain controller’s certificate in Active Directory. Therefore, it is not recommended that Domain Controller Authentication certificates be published in Active Directory by manipulating the default Domain Controller Authentication certificate template.
Certificates, which are enrolled from an enterprise CA with the Domain Controller or the Directory Email Replication certificate template, are published by default into the requester’s object in Active Directory. When a certificate is auto-enrolled, the requestor is naturally a domain controller. These certificate templates publish certificates in Active Directory primarily to facilitate encrypted replication of Active Directory content with SMTP; both replication partners must have access to the public key (certificate) of their replication partner.
Only enterprise certification authorities publish certificates in Active Directory as an automatic process. If you enroll a Domain Controller certificate manually from a stand-alone CA, you must publish the certificate manually in Active Directory. Remember that stand-alone CAs do not offer the Domain Controller Authentication and Directory Email Replication certificate template format(s), so regardless of the CA version, you can only issue Domain Controller certificates from a stand-alone CA.
By default, certificates that have been built with the Domain Controller Authentication certificate template are not published in Active Directory because smart card logon requires the domain controller’s certificate in Active Directory. Therefore, it is not recommended that Domain Controller Authentication certificates be published in Active Directory by manipulating the default Domain Controller Authentication certificate template.
Prüfe deshalb bitte ob auf der CA im Eventlog Ereignis 53 vom CertSvc auftritt.
Wenn ja, dann befolge den KB Artikel: http://support.microsoft.com/kb/281271
(Ich lese lieber die englische Version, da die deutsch Übersetzung nicht so gut gelungen ist.)
Gruß Rafiki
hallo,
habe noch folgendes herausgefunden:
genau zu dem zeitpunkt, an dem ein domänencontroller ein zertifikat anfordert, treten folgende ereignisse auf:
1.) ereignisanzeige der CA, unterpunkt "sicherheit"
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:02
Benutzer: DOMAIN\SERVERNAME$
Computer: CA-SERVERNAME
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0xE920EC3)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {b94a858a-004a-9dc8-23b3-537d90a8303d}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xxx.xxx.xxx
Quellport: 1383
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
2.) ereignisanzeige eines domänencontrollers, unterpunkt "anwendung"
Ereignistyp: Informationen
Ereignisquelle: AutoEnrollment
Ereigniskategorie: Keine
Ereigniskennung: 21
Datum: 26.03.2008
Zeit: 03:27:10
Benutzer: Nicht zutreffend
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
unterpunkt "sicherheit"
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {9432c1b6-9490-3df8-b62c-cb477ee267a1}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 127.0.0.1
Quellport: 1379
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
leider helfen mir diese ereignisse aber auch nicht weiter.
ereignisse mit der kennung 53 habe ich keine.
danke,
habe noch folgendes herausgefunden:
genau zu dem zeitpunkt, an dem ein domänencontroller ein zertifikat anfordert, treten folgende ereignisse auf:
1.) ereignisanzeige der CA, unterpunkt "sicherheit"
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:02
Benutzer: DOMAIN\SERVERNAME$
Computer: CA-SERVERNAME
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0xE920EC3)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {b94a858a-004a-9dc8-23b3-537d90a8303d}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xxx.xxx.xxx
Quellport: 1383
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
2.) ereignisanzeige eines domänencontrollers, unterpunkt "anwendung"
Ereignistyp: Informationen
Ereignisquelle: AutoEnrollment
Ereigniskategorie: Keine
Ereigniskennung: 21
Datum: 26.03.2008
Zeit: 03:27:10
Benutzer: Nicht zutreffend
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
unterpunkt "sicherheit"
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
und:
Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {9432c1b6-9490-3df8-b62c-cb477ee267a1}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 127.0.0.1
Quellport: 1379
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
leider helfen mir diese ereignisse aber auch nicht weiter.
ereignisse mit der kennung 53 habe ich keine.
danke,
