freeman22
Goto Top

AutoEnrollment Fehler (ID 13)

Hallo, habe einen Win 2003 SRV (R2 + SP2) der Fileserver, 2. DC und 2. DNS in meiner Domäne ist. In der Ereignisanzeige unter Anwendungen bekomme immer diesen Fehler:

Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar.

Quelle: AutoEnrollment
Ereigniskennung: 13

Was kann da sein?

Danke!

Content-Key: 89182

Url: https://administrator.de/contentid/89182

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: prival
prival 10.06.2008 um 10:33:58 Uhr
Goto Top
In der Domäne können automatisch Zertifikate für Benutzer und Computer verteilt werden. Die Einstellung wird in der GPO vorgenommen (Benutzer od. Computer --> Windows-Einstellungen --> Richtlinien öffentlicher Schlüssel --> Einstellung für die autom. Registrierung)

Dein DC kann sich das Zertifikat "Domänencontroller" nicht registrieren. Das bedeutet du hast vermutlich keine PKI oder der Zertifikatdienst wurde nicht gestartet. Möglicherweise liegt der Fehler auch an der Verbindung zu deiner Zertifizierungsstelle.
Mitglied: freeman22
freeman22 10.06.2008 um 11:23:23 Uhr
Goto Top
Zertifizierungsdienst läuft auf diesem Server keiner...
Sollte dieser dort laufen?
Mitglied: prival
prival 10.06.2008 um 11:53:26 Uhr
Goto Top
Sorry. Da habe ich mich nicht genau ausgedrückt. Der Zertifikatdienst muss auf deiner Zertifizierungsstelle laufen. Ich vermute dieser Dienst läuft auf deinem ersten DC. Mögliche Probleme mit den Zertifikaten können einmal auf der Zert.-Stelle in den Eventlogs und im Snapin "Zertifizierungsstelle" unter dem Punkt
"Fehlgeschlagene Anforderungen". Suche dort nach dem Problem.
Mitglied: freeman22
freeman22 10.06.2008 um 11:57:34 Uhr
Goto Top
Stimmt läuft auf dem ersten DC.
Habe diese Snap in "Fehlgeschlagene Anforderungen" gefunden allerdings steht da nicht drein...
Mitglied: prival
prival 10.06.2008 um 12:18:44 Uhr
Goto Top
Was sagen die Eventlogs des 1. DC?
Hat der 2. DC bereits ein Computer-Zertifikat?
Erreicht der 2. DC den 1. DC? Falls ja, steht eine FW dazwischen?
Mitglied: freeman22
freeman22 16.06.2008 um 08:28:52 Uhr
Goto Top
Wie kann ich überprüfen ob der 1. DC den 2. erreicht bzw. dass sie von einander wissen?
Im AD unter Sites und Service sind sie mal beide drein als DC...
Mitglied: prival
prival 16.06.2008 um 10:25:27 Uhr
Goto Top
Melde dich am 2. DC an und ruf über deinen Browser deinen Zert.Server (1. DC) auf. Die URL sollte so lauten "https://<server>/certsrv/". Versuche ein Zertifikat zu erstellen und schau ob da Fehler aufkommen. So kannst du zum einen ein gültiges Computerkonto erstellen, zum anderen deine Cert-Services prüfen.
Mitglied: freeman22
freeman22 16.06.2008 um 11:40:11 Uhr
Goto Top
Hab ich gemacht und hat auch ohne Probleme funktioniert. Am Ende hab ich dann noch das Zertifikat installiert.
Was hat es i mit diesem Zertifikat vom 1.DC auf sich?

Sollten nun die Kommunikation zw. 1. DC und 2. DC (besser) funktionieren?

Danke für deine Hilfe!
Mitglied: prival
prival 16.06.2008 um 12:34:14 Uhr
Goto Top
Computerzertifikate werden für verschlüsselte Verbindungen und der Identifizierung/Authentifizierung genutzt. Nur mit einem gültigen Konto kann bspw. IPSec (im PKI-Mode) funktionieren. Aber auch viele andere Dienste benötigen ein solches "Schriftstück".

Das Zertifikat "Domänencontroller", das kannst du dir auch selber mal anschauen indem du das reg. Zert. öffnest, dient zur Identitätsprüfung. Deswegen läuft der Server/Verkehr nicht besser, aber dafür ist er für bestimmte Dienste nun vorbereitet.

Zu deinem ursprünglichen Problem: Solange du ein gültiges DC-Zertifikat auf dem Server hast, kannst du die FM ignorieren. Allerdings würde ich in einer freien Minute genauer schauen, warum die autom. Registrierung nicht funktioniert. Das können so viele Faktoren sein, dass du selbst erst einmal eingrenzen musst. Punkte sind:

- phys. Erreichbarkeit (Netzsegmentierung, FW, Konfiguration)
- Funktionalität der Server (Fehlkonfiguration?)
- GPO's prüfen
- Ereignisprotokolle und sonst. Logs