Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

domänencontroller fordern ständig neue zertifikate von der zertifizierungsstelle an

Frage Microsoft Windows Server

Mitglied: sY3saD3mIn

sY3saD3mIn (Level 1) - Jetzt verbinden

20.03.2008, aktualisiert 26.03.2008, 8378 Aufrufe, 2 Kommentare

hallo,

habe folgendes problem:

habe 2 domänencontroller mit win2k3. weiters befindet sich ein exchange server (win2k3), auf dem auch die zertifizierungsstelle läuft im netzwerk. die zertifikate benötige ich für owa.

mein problem hierbei ist, dass meine domänencontroller ständig (ca. alle 2 stunden) neue zertifikate von der zertifizierungsstelle anfordern. zertifikat template ist "domänencontroller", name des antragsstellers: DOMAIN\SERVERNAME$. wenn ich das austellen des zertifikates in der zertifizierungsstelle manuell genehmige, bleibt der zertifikatsspeicher auf den domänencontrollern leer. unter "eigene zertifikate" werden keine zertifikate angezeigt. scheinbar schaffen es die zertifikate nicht in den zertifikatsspeicher.

selbst wenn ich das stammzertifikat manuell in der zertifizierungsstelle exportiere und anschließend auf den domänencontrollern unter "eigene zertifikate" importiere, bleiben die ständigen zertifikatsanforderungen bestehen. der domänencontroller will immer noch weitere zertifikate. das zertifikat wird aber bei dieser variante zumindest schon mal unter "eigene zertifikate" auf den domänencontrollern gespeichert und angezeigt.

in der ereignisanzeige auf den domänencontrollern befinden sich keine auffälligen warnmeldungen/fehler, jediglich folgende information: "Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss."

handelt es sich um ein berechtigungsproblem? wo ändere ich die berechtigungen für die zertifikatsvergabe/empfang. in den gruppenrichtlinien für domänencontroller und in den lokalen sicherheitsrichtlinien konnte ich keine passenden einträge finden. auch google weiss zu dem ganzen nicht viel.
zu welchem zweck benötigt der domänencontroller überhaupt ein zertifikat? benötige die zertifikate doch nur für owa, oder?
an der gültigkeit des zertifikates kann es jedenfalls nicht liegen, da diese über 1 jahr beträgt.

es gab schon mal einen ähnlichen beitrag "Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?". vielleicht kann jemand etwas damit anfangen. allerdings wurden bei diesem user die zertifikate zumindest automatisch gespeichert, was ja bei mir nicht der fall ist.

danke
Mitglied: Rafiki
20.03.2008 um 21:55 Uhr
Es hilft uns wenn du die Event ID mit angibst, bzw. auch selber danach suchst. Z.B. bei www.eventid.net

Ich kenne ein ähnliches Problem, das auftritt SP1 für Windows Server 2003 installiert wird. Kurz gesagt ändern sich die Berechtigungen für die CA und es gelingt nicht mehr das neue Zertifikat im Active Directory für den betreffenden DC abzulegen.

http://technet2.microsoft.com/windowsserver/en/library/d08181ca-4fac-4c ...
Windows Server 2003 Certificates and Publishing in Active Directory

Certificates, which are enrolled from an enterprise CA with the Domain Controller or the Directory Email Replication certificate template, are published by default into the requester’s object in Active Directory. When a certificate is auto-enrolled, the requestor is naturally a domain controller. These certificate templates publish certificates in Active Directory primarily to facilitate encrypted replication of Active Directory content with SMTP; both replication partners must have access to the public key (certificate) of their replication partner.

Only enterprise certification authorities publish certificates in Active Directory as an automatic process. If you enroll a Domain Controller certificate manually from a stand-alone CA, you must publish the certificate manually in Active Directory. Remember that stand-alone CAs do not offer the Domain Controller Authentication and Directory Email Replication certificate template format(s), so regardless of the CA version, you can only issue Domain Controller certificates from a stand-alone CA.

By default, certificates that have been built with the Domain Controller Authentication certificate template are not published in Active Directory because smart card logon requires the domain controller’s certificate in Active Directory. Therefore, it is not recommended that Domain Controller Authentication certificates be published in Active Directory by manipulating the default Domain Controller Authentication certificate template.


Prüfe deshalb bitte ob auf der CA im Eventlog Ereignis 53 vom CertSvc auftritt.
Wenn ja, dann befolge den KB Artikel: http://support.microsoft.com/kb/281271
(Ich lese lieber die englische Version, da die deutsch Übersetzung nicht so gut gelungen ist.)

Gruß Rafiki
Bitte warten ..
Mitglied: sY3saD3mIn
26.03.2008 um 13:09 Uhr
hallo,

habe noch folgendes herausgefunden:

genau zu dem zeitpunkt, an dem ein domänencontroller ein zertifikat anfordert, treten folgende ereignisse auf:

1.) ereignisanzeige der CA, unterpunkt "sicherheit"

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:02
Benutzer: DOMAIN\SERVERNAME$
Computer: CA-SERVERNAME
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0xE920EC3)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {b94a858a-004a-9dc8-23b3-537d90a8303d}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: xxx.xxx.xxx.xxx
Quellport: 1383


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

2.) ereignisanzeige eines domänencontrollers, unterpunkt "anwendung"

Ereignistyp: Informationen
Ereignisquelle: AutoEnrollment
Ereigniskategorie: Keine
Ereigniskennung: 21
Datum: 26.03.2008
Zeit: 03:27:10
Benutzer: Nicht zutreffend
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Die automatische Zertifikatregistrierung für "lokaler Computer" hat versucht, sich für ein Zertifikat "Domänencontroller" von der Zertifizierungsstelle "xxx.xxx.at" auf "SERVERNAME.xxx.xxx.at" zu registrieren. Die Anforderung wartet auf den Abschluss.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

unterpunkt "sicherheit"

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 576
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Besondere Rechte bei neuer Anmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Berechtigungen: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
SeEnableDelegationPrivilege

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

und:

Ereignistyp: Erfolgsüberw.
Ereignisquelle: Security
Ereigniskategorie: An-/Abmeldung
Ereigniskennung: 540
Datum: 26.03.2008
Zeit: 03:27:09
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: SERVERNAME-DOMÄNENCONTROLLER
Beschreibung:
Erfolgreiche Netzwerkanmeldung:
Benutzername: SERVERNAME$
Domäne: DOMAIN
Anmeldekennung: (0x0,0x7B6A3520)
Anmeldetyp: 3
Anmeldevorgang: Kerberos
Authentifizierungspaket: Kerberos
Arbeitsstationsname:
Anmelde-GUID: {9432c1b6-9490-3df8-b62c-cb477ee267a1}
Aufruferbenutzername: -
Aufruferdomäne: -
Aufruferanmeldekennung: -
Aufruferprozesskennung: -
Übertragene Dienste: -
Quellnetzwerkadresse: 127.0.0.1
Quellport: 1379


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.


leider helfen mir diese ereignisse aber auch nicht weiter.
ereignisse mit der kennung 53 habe ich keine.

danke,
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Domänencontroller als DC in neue Domäne bringen (13)

Frage von redhorse zum Thema Windows Server ...

Verschlüsselung & Zertifikate
S MIME Zertifikate für gesamtes Unternehmen implementieren (4)

Frage von Xartor zum Thema Verschlüsselung & Zertifikate ...

Windows Server
gelöst Zusätzlichen Windows Server 2012R2 Domänencontroller hinzufügen (5)

Frage von Mar-west zum Thema Windows Server ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...