Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?

Mitglied: SIELAN

SIELAN (Level 1) - Jetzt verbinden

06.06.2007, aktualisiert 14.06.2007, 11648 Aufrufe, 7 Kommentare

Hallo Leute,

ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.

wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen

Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
Mitglied: Rafiki
06.06.2007 um 21:36 Uhr
Ich kann nur raten, aber untersuche doch mal folgende Fragen. Evtl. fällt dir dabei selber auf was los ist oder du postest noch ein paar mehr Details.

1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?

2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
11.06.2007 um 15:58 Uhr
Hi, Dank erstmal!
also zu Frage 1)
Wie schon erwähnt, holt sich der DC via Domain Controller Template ein Zertifikat.
Requester ist der Computer (DOMAIN\COMPUTER$)
Intended Purpose des Zert. ist Client Auth, Server Auth und es ist 1Jahr Gültig (default)

zu Frage 2)
Alle angeforderten Zert. sind auch im Personal-Certificates Speicher drin. (ca 6000), da hatte sich einiges angesammelt
Im Eventlog hab ich noch nix gefunden, hab aber erstmal das 'Audit Object Access' in der group policy konfiguriert, damit ich was sehe.

Ich frag mich nur wo das Konfiguiert sein kann, dass der sich täglich mind. 2 Zert. holt ...
Bitte warten ..
Mitglied: Rafiki
11.06.2007 um 17:54 Uhr
na toll. 6000 Zertifikate. Verkauf doch ein paar bei ebay, evtl steigt der Kurs noch

Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.

Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 11:38 Uhr
So ich hab jetzt nochmal die Zeiten beobachtet. Alle 8h holt sich der DC ein neues DCZertifikat (Begin 7:44Uhr). Die sind auch in seinem Persönlichen Zertifikats Speicher zu finden.
Wir haben noch eine Sub-CA die in einer SubDomain hängt und dort macht der ProblemDC das selbe Spiel (3Zert/Tag).

Der DC vertraut auch beiden CAs und die CRL kann er auch erreichen.
Im Eventlog kann hab ich aber folgendes gefunden:

EVENT ID 13, Source Autoenrollment

"Automatic certificate enrollment for local system failed to enroll for one Domain Controller Authentication certificate (0x80070005). Access is denied."
und
"Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied."

ich schau jetzt mal obs das ist, denn davon hab ich recht viele events...
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 13:33 Uhr
Ich glaub jetzt hab ichs.
Der passende Event war

Event Type: Warning
Event Source: Winlogon
Event Category: None
Event ID: 1010
Date: 13.06.2007
Time: 07:55:09
User: N/A
Computer: WIEN
Description:
Automatic enrollment against the certification authority Munich1 for a certificate of type DomainController has failed. (0x80090016) Keyset does not exist
. Another certification authority will be tried.

-> dann ist er zu nächsten bekannten CA, die der Subdomain.
-> dort kam das selbe.

folgendes habe ich gemacht:
- Im Eventlog der CA (ID: 13, Source Autoenrollment) wurde Access denied für Autoenrollment für Template DC Zert.
- bei eventid.net gabs dann ein paar lösungshinweise
Service principle name (SPN) war korrekt ("setspn.exe -L" in den W2k3 Supp. Tools)
habe die Gruppe CERTSVC_DCOM_ACCESS gesucht und die fehlende DomainController Gruppe hinzugefügt und folgende Befehle abgesetzt

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

ob das des Rätsels lösung war weiß ich nich, aber es funktioniert jetzt.

Danke für die Hilfe
Bitte warten ..
Mitglied: Rafiki
13.06.2007 um 21:58 Uhr
Respekt, die meisten hätten aufgegeben. Das war nicht leicht zu finden.
Danke das du deine Lösung hier bekannt gibst, hoffen wir das andere dieses Problem jetzt schneller lösen können.

Hast du eine Idee warum die Berechtigung für den DC gefehlt hat?

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
14.06.2007 um 10:26 Uhr
Hi,
ich hab bei nem Kollegen mal geschaut der sowas ähnliches als testaufbau hat und dort hat die DC SecGroup auch gefehlt, daher bin ich mir nich sicher obs das war...
Bitte warten ..
Ähnliche Inhalte
Windows Server

Neues Active Directory, Domain Forest und Domain Controller

Frage von DJScorpionWindows Server3 Kommentare

Hallo zusammen, ich habe hier jetzt das erste Mal den Fall, dass ich ein gänzlich neues, komplexes System aufsetzen ...

Windows Server

Neue Domäne aufbauen oder um neuen Domain Controller erweitern

Frage von westberlinerWindows Server11 Kommentare

Hallo Zusammen, ich habe hier ein bestehendes Netzwerk mit ca 120 Usern, 120 Clients, 20 Servern (VM) und 2 ...

Windows Server

Neuer DC, neue Domain - AD Replizieren

Frage von adrian138Windows Server8 Kommentare

Hallo zusammen, Ich habe einen 2012 r2 PDC welcher abgelöst wird. Neuer Server (2012 r2), neue Domain. Die alte ...

Windows Server

Frage zu Verbindung Domain Controller zu Clients und Verbindung zw. RO-DC und DC

Frage von Axel90Windows Server1 Kommentar

Hey Leute, wir wollen unsere beiden writable Domaincontroller in ein neues Netz umzuziehen. Dafür muss ich neue Firewallregeln erstellen, ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)8 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...