Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Smartcard logon mit third party ca

Mitglied: grice82

grice82 (Level 1) - Jetzt verbinden

11.04.2008, aktualisiert 04.06.2008, 6411 Aufrufe, 1 Kommentar

Hallo,
ich sitzt hier und bin am verzweifeln.
Ich versuche vergeblich eine Windows 2003 Active Directory umgebund mit XP Cients so zu konfigurieren, dass Smartcard logon mit third party Zertifikaten Funktioniert.

Also unser Domäne läuft seit 2 Jahren, ich hatte hier auch Testweise mal eine Windows PKI Umgebung am laufen womit dies alles tadellos funktionierte.
Jedoch hat sich mein Chef entschieden die Zertifikate vom DFN zu nehmen.
Ich habe nun die Windows PKI Umgebung entfernt (wie in Technet beschrieben) und auch alles Zertifikate fachgerecht entfernt.

Nun habe ich DomainController Zertifikate mit den geforderten Spezifikationen (DomainController Extension, GUID) ausgestellt und auf den DC's installiert.
Die Zertifikate der Stammzertifizierungstelle wurden auch im NTAuth Speicher veröffentlicht und sind auf allen Clients verteilt.
Das Benutzerzertifikat wurde auch nach den erforderlichen Spezifikationen (UPN, Extension etc) ausgestellt und mit den Stammzertifikaten auf der Smartcard gepackt.

"certutil -scinfo" behauptet das mit dem Smartcardzertifikat alles OK ist, das Zertifikat wurde auch unter Namenszuordnung im AD dem Benutzer zugeordnet und wird auch als gültig angezeigt, jedoch wenn ich mich versuche anzumelden tauch im Eventlog die Meldung auf "Dieses Ereignis gibt an, dass ein Versuch unternommen wurde die Smartcard-Anmeldung zu verwenden, aber das KDC kann das PKINIT-Protokoll nicht laden, weil ein geeignetes Zertifikat fehlt.".
Jetzt weiß ich nicht weiter, also die Zusammenfassung:
- Domaincontroller Zertifikate da
- Benutzerzertifikat da
- Stammzertifizierung im NTAuth Speicher
- Stammzertifikate in der GPO unter Vertrauenswürde Stammzertifizierung
- Namenszuordnung enthält Benutzerzertifikat
- Namesnzurordnung Kerboros stimmt mit UPN überein und ohne Smartcard kann der User sich auch einloggen mit dem Prinzipal
- Zertifikate vom Benutzer und Stammzertifizierung sind auch im Lokalen Speicher des Benutzers

Wo ist der Fehler? Muss bei einer third party ca trotzdem eine Windows ca in der Domäne sein um Clientzertifikate auszustellen oder mag mich Windows nicht?

Ich hoffe ein Profi kann mir Amateur den rechten Weg weisen
Mitglied: engst03
04.06.2008 um 23:06 Uhr
1. Ist die CRL verfuegbar? Bzw. haben die Client Zertifikate einen CRL Eintrag? (MUSS SEIN)
2. Der Domain Controller braucht auch ein Zert! Sonst geht es eh nicht......

Wie bekommt man denn Zertifikate vom DFN?
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Third-Party-CRM Add-In kann im Outlook nicht mehr gestartet werden

Frage von J.SwitlinskiOutlook & Mail1 Kommentar

Hallo, ich habe seit kurzem das Problem, dass unser CRM-Add-In (CAS genesisWorld) im Outlook nicht mehr mitstartet und auch ...

Windows 10

BitLocker mit Smartcard??

gelöst Frage von trallerWindows 1012 Kommentare

Hallo, ist folgendes unter Windows 10 mit BitLocker möglich? Entsperren einer BitLocker Systemlaufwerksverschlüsselung mit SmartCard Wenn SmartCard drin, soll ...

Windows 10

Windows 10 Smartcard Login ohne Domäne?

gelöst Frage von anteNopeWindows 102 Kommentare

Hallo zusammen, ich habe hier folgendes Szenario: 2 lokale Rechner Windows 10 Pro x64 Kein Mitglied einer Domäne (es ...

LAN, WAN, Wireless

Playstation Party Portweiterleitung

Frage von MarkowitschLAN, WAN, Wireless1 Kommentar

Hallo zusammen, ich war heute bei einem Bekannten der das Playstation 4 Party (Teamspeak) nutzt. Hierfür hat er den ...

Neue Wissensbeiträge
Backup

2016 - Restore mit WBAdmin - iSCSI Device als Sicherungsziel

Erfahrungsbericht von Henere vor 1 TagBackup1 Kommentar

Servus zusammen, was mich eben einige graue Haare gekostet hat Server 2016. Ich habe meinem Server eine weitere M2 ...

Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)9 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 4 TagenExchange Server9 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 5 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Heiß diskutierte Inhalte
E-Mail
Deutsche e-Mail Adresse auf iPhone in Katar. Nur Probleme
gelöst Frage von vanTastE-Mail32 Kommentare

Moin, ich habe hier in Deutschland auf einem Exchange 2013 eine e-Mail Adresse (name@domain.de) für einen Kollegen in Katar ...

Windows Server
Server verliert Dateien und Ordner
gelöst Frage von routeserverWindows Server15 Kommentare

Hallo Freunde, ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob ...

Windows Tools
User Self Service und Client Management
Frage von OrkansonWindows Tools13 Kommentare

Hallo zusammen, ich hab ein paar verschiedene Fragen: 1. Was benutzt ihr um Software im Unternehmen zu verteilen? 2. ...

Windows Server
Domäne beitreten nicht möglich, unter VMWare windows Server 2016 Core
Frage von AmanuelWindows Server12 Kommentare

Ich habe auf meinem Mac unter VMWare Windows Server 2016 Core und Windows Server 2016 Desktopversion installiert. Beide Systeme ...