Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

domänencontroller fordern ständig neue zertifikate von der zertifizierungsstelle an

Frage Microsoft Windows Server

Mitglied: sY3saD3mIn

sY3saD3mIn (Level 1) - Jetzt verbinden

20.03.2008, aktualisiert 26.03.2008, 8659 Aufrufe, 2 Kommentare

hallo,

habe folgendes problem:

habe 2 domänencontroller mit win2k3. weiters befindet sich ein exchange server (win2k3), auf dem auch die zertifizierungsstelle läuft im netzwerk. die zertifikate benötige ich für owa.

mein problem hierbei ist, dass meine domänencontroller ständig (ca. alle 2 stunden) neue zertifikate von der zertifizierungsstelle anfordern. zertifikat template ist "domänencontroller", name des antragsstellers: DOMAIN\SERVERNAME$. wenn ich das austellen des zertifikates in der zertifizierungsstelle manuell genehmige, bleibt der zertifikatsspeicher auf den domänencontrollern leer. unter "eigene zertifikate" werden keine zertifikate angezeigt. scheinbar schaffen es die zertifikate nicht in den zertifikatsspeicher.

selbst wenn ich das stammzertifikat manuell in der zertifizierungsstelle exportiere und anschließend auf den domänencontrollern unter "eigene zertifikate" importiere, bleiben die ständigen zertifikatsanforderungen bestehen. der domänencontroller will immer noch weitere zertifikate. das zertifikat wird aber bei dieser variante zumindest schon mal unter "eigene zertifikate" auf den domänencontrollern gespeichert und angezeigt.

in der ereignisanzeige auf den domänencontrollern befinden sich keine auffälligen warnmeldungen/fehler, jediglich folgende information: "Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss."

handelt es sich um ein berechtigungsproblem? wo ändere ich die berechtigungen für die zertifikatsvergabe/empfang. in den gruppenrichtlinien für domänencontroller und in den lokalen sicherheitsrichtlinien konnte ich keine passenden einträge finden. auch google weiss zu dem ganzen nicht viel.
zu welchem zweck benötigt der domänencontroller überhaupt ein zertifikat? benötige die zertifikate doch nur für owa, oder?
an der gültigkeit des zertifikates kann es jedenfalls nicht liegen, da diese über 1 jahr beträgt.

es gab schon mal einen ähnlichen beitrag "Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?". vielleicht kann jemand etwas damit anfangen. allerdings wurden bei diesem user die zertifikate zumindest automatisch gespeichert, was ja bei mir nicht der fall ist.

danke
Mitglied: Rafiki
20.03.2008 um 21:55 Uhr
Es hilft uns wenn du die Event ID mit angibst, bzw. auch selber danach suchst. Z.B. bei www.eventid.net

Ich kenne ein ähnliches Problem, das auftritt SP1 für Windows Server 2003 installiert wird. Kurz gesagt ändern sich die Berechtigungen für die CA und es gelingt nicht mehr das neue Zertifikat im Active Directory für den betreffenden DC abzulegen.

http://technet2.microsoft.com/windowsserver/en/library/d08181ca-4fac-4c ...
Windows Server 2003 Certificates and Publishing in Active Directory

Certificates, which are enrolled from an enterprise CA with the Domain Controller or the Directory Email Replication certificate template, are published by default into the requester’s object in Active Directory. When a certificate is auto-enrolled, the requestor is naturally a domain controller. These certificate templates publish certificates in Active Directory primarily to facilitate encrypted replication of Active Directory content with SMTP; both replication partners must have access to the public key (certificate) of their replication partner.

Only enterprise certification authorities publish certificates in Active Directory as an automatic process. If you enroll a Domain Controller certificate manually from a stand-alone CA, you must publish the certificate manually in Active Directory. Remember that stand-alone CAs do not offer the Domain Controller Authentication and Directory Email Replication certificate template format(s), so regardless of the CA version, you can only issue Domain Controller certificates from a stand-alone CA.

By default, certificates that have been built with the Domain Controller Authentication certificate template are not published in Active Directory because smart card logon requires the domain controller’s certificate in Active Directory. Therefore, it is not recommended that Domain Controller Authentication certificates be published in Active Directory by manipulating the default Domain Controller Authentication certificate template.


Prüfe deshalb bitte ob auf der CA im Eventlog Ereignis 53 vom CertSvc auftritt.
Wenn ja, dann befolge den KB Artikel: http://support.microsoft.com/kb/281271
(Ich lese lieber die englische Version, da die deutsch Übersetzung nicht so gut gelungen ist.)

Gruß Rafiki
Bitte warten ..
Mitglied: sY3saD3mIn
26.03.2008 um 13:09 Uhr
hallo,

habe noch folgendes herausgefunden:

genau zu dem zeitpunkt, an dem ein domänencontroller ein zertifikat anfordert, treten folgende ereignisse auf:

1.) ereignisanzeige der CA, unterpunkt "sicherheit"

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:02
Benutzer: DOMAIN\SERVERNAME$
Computer: CA-SERVERNAME
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0xE920EC3)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {b94a858a-004a-9dc8-23b3-537d90a8303d}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xxx.xxx.xxx
Quellport: 1383


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

2.) ereignisanzeige eines domänencontrollers, unterpunkt "anwendung"

Ereignistyp: Informationen
Ereignisquelle: AutoEnrollment
Ereigniskategorie: Keine
Ereigniskennung: 21
Datum: 26.03.2008
Zeit: 03:27:10
Benutzer: Nicht zutreffend
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

unterpunkt "sicherheit"

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

und:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {9432c1b6-9490-3df8-b62c-cb477ee267a1}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 127.0.0.1
Quellport: 1379


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


leider helfen mir diese ereignisse aber auch nicht weiter.
ereignisse mit der kennung 53 habe ich keine.

danke,
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
RDP Zertifikat ohne Zertifizierungsstelle
Frage von s.dechVerschlüsselung & Zertifikate1 Kommentar

Hallo Zusammen, ich habe einen Server wo Remotedesktopdienste drauf laufen. HIer ist nun das Zertifikat abgelaufen und mann kann ...

Verschlüsselung & Zertifikate
Erinnerung: Die Zertifizierungsstelle Startcom vergibt ab Anfang 2018 keine neuen Zertifikate mehr
Information von FrankVerschlüsselung & Zertifikate4 Kommentare

Ab dem 01.01.2018 ist endgültig Schluss. Startcom vergibt ab Anfang des Jahres keine neuen Zertifikate mehr und beendet damit ...

Exchange Server
SBS 2003 Zertifikat erneuern über neue Zertifizierungsstelle auf 2012 R2
gelöst Frage von valkoshExchange Server

Hallo liebe Community, Bei folgendem bin ich mir nicht ganz sicher und möchte daher kurz nachfragen. Ein bestehender SBS2003 ...

Windows Server
Domänencontroller herabstufen - Betriebssystem neu installieren - Domänencontroller heraufstufen
gelöst Frage von JuckieWindows Server4 Kommentare

Hallo zusammen, wir haben 2 Domänencontroller im Einsatz (1mal Windows Server 2003 R2 x86 und 1 mal Windows Server ...

Neue Wissensbeiträge
Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 10 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 17 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 19 StundenWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Microsoft Office

Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei

Anleitung von SarekHL vor 22 StundenMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1018 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...