7
Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?
Hallo Leute,
ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.
wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen
Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.
wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen
Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 60720
Url: https://administrator.de/contentid/60720
Printed on: April 26, 2024 at 20:04 o'clock
7 Comments
Latest comment
Ich kann nur raten, aber untersuche doch mal folgende Fragen. Evtl. fällt dir dabei selber auf was los ist oder du postest noch ein paar mehr Details.
1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?
2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.
Gruß Rafiki
1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?
2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.
Gruß Rafiki
Hi, Dank erstmal!
also zu Frage 1)
Wie schon erwähnt, holt sich der DC via Domain Controller Template ein Zertifikat.
Requester ist der Computer (DOMAIN\COMPUTER$)
Intended Purpose des Zert. ist Client Auth, Server Auth und es ist 1Jahr Gültig (default)
zu Frage 2)
Alle angeforderten Zert. sind auch im Personal-Certificates Speicher drin. (ca 6000), da hatte sich einiges angesammelt
Im Eventlog hab ich noch nix gefunden, hab aber erstmal das 'Audit Object Access' in der group policy konfiguriert, damit ich was sehe.
Ich frag mich nur wo das Konfiguiert sein kann, dass der sich täglich mind. 2 Zert. holt ...
also zu Frage 1)
Wie schon erwähnt, holt sich der DC via Domain Controller Template ein Zertifikat.
Requester ist der Computer (DOMAIN\COMPUTER$)
Intended Purpose des Zert. ist Client Auth, Server Auth und es ist 1Jahr Gültig (default)
zu Frage 2)
Alle angeforderten Zert. sind auch im Personal-Certificates Speicher drin. (ca 6000), da hatte sich einiges angesammelt
Im Eventlog hab ich noch nix gefunden, hab aber erstmal das 'Audit Object Access' in der group policy konfiguriert, damit ich was sehe.
Ich frag mich nur wo das Konfiguiert sein kann, dass der sich täglich mind. 2 Zert. holt ...
na toll. 6000 Zertifikate. Verkauf doch ein paar bei ebay, evtl steigt der Kurs noch 
Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.
Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.
Gruß Rafiki
Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.
Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.
Gruß Rafiki
So ich hab jetzt nochmal die Zeiten beobachtet. Alle 8h holt sich der DC ein neues DCZertifikat (Begin 7:44Uhr). Die sind auch in seinem Persönlichen Zertifikats Speicher zu finden.
Wir haben noch eine Sub-CA die in einer SubDomain hängt und dort macht der ProblemDC das selbe Spiel (3Zert/Tag).
Der DC vertraut auch beiden CAs und die CRL kann er auch erreichen.
Im Eventlog kann hab ich aber folgendes gefunden:
EVENT ID 13, Source Autoenrollment
"Automatic certificate enrollment for local system failed to enroll for one Domain Controller Authentication certificate (0x80070005). Access is denied."
und
"Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied."
ich schau jetzt mal obs das ist, denn davon hab ich recht viele events...
Wir haben noch eine Sub-CA die in einer SubDomain hängt und dort macht der ProblemDC das selbe Spiel (3Zert/Tag).
Der DC vertraut auch beiden CAs und die CRL kann er auch erreichen.
Im Eventlog kann hab ich aber folgendes gefunden:
EVENT ID 13, Source Autoenrollment
"Automatic certificate enrollment for local system failed to enroll for one Domain Controller Authentication certificate (0x80070005). Access is denied."
und
"Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied."
ich schau jetzt mal obs das ist, denn davon hab ich recht viele events...
Ich glaub jetzt hab ichs.
Der passende Event war
Event Type: Warning
Event Source: Winlogon
Event Category: None
Event ID: 1010
Date: 13.06.2007
Time: 07:55:09
User: N/A
Computer: WIEN
Description:
Automatic enrollment against the certification authority Munich1 for a certificate of type DomainController has failed. (0x80090016) Keyset does not exist
. Another certification authority will be tried.
-> dann ist er zu nächsten bekannten CA, die der Subdomain.
-> dort kam das selbe.
folgendes habe ich gemacht:
- Im Eventlog der CA (ID: 13, Source Autoenrollment) wurde Access denied für Autoenrollment für Template DC Zert.
- bei eventid.net gabs dann ein paar lösungshinweise
Service principle name (SPN) war korrekt ("setspn.exe -L" in den W2k3 Supp. Tools)
habe die Gruppe CERTSVC_DCOM_ACCESS gesucht und die fehlende DomainController Gruppe hinzugefügt und folgende Befehle abgesetzt
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
ob das des Rätsels lösung war weiß ich nich, aber es funktioniert jetzt.
Danke für die Hilfe
Der passende Event war
Event Type: Warning
Event Source: Winlogon
Event Category: None
Event ID: 1010
Date: 13.06.2007
Time: 07:55:09
User: N/A
Computer: WIEN
Description:
Automatic enrollment against the certification authority Munich1 for a certificate of type DomainController has failed. (0x80090016) Keyset does not exist
. Another certification authority will be tried.
-> dann ist er zu nächsten bekannten CA, die der Subdomain.
-> dort kam das selbe.
folgendes habe ich gemacht:
- Im Eventlog der CA (ID: 13, Source Autoenrollment) wurde Access denied für Autoenrollment für Template DC Zert.
- bei eventid.net gabs dann ein paar lösungshinweise
Service principle name (SPN) war korrekt ("setspn.exe -L" in den W2k3 Supp. Tools)
habe die Gruppe CERTSVC_DCOM_ACCESS gesucht und die fehlende DomainController Gruppe hinzugefügt und folgende Befehle abgesetzt
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc
ob das des Rätsels lösung war weiß ich nich, aber es funktioniert jetzt.
Danke für die Hilfe
Respekt, die meisten hätten aufgegeben. Das war nicht leicht zu finden.
Danke das du deine Lösung hier bekannt gibst, hoffen wir das andere dieses Problem jetzt schneller lösen können.
Hast du eine Idee warum die Berechtigung für den DC gefehlt hat?
Gruß Rafiki
Danke das du deine Lösung hier bekannt gibst, hoffen wir das andere dieses Problem jetzt schneller lösen können.
Hast du eine Idee warum die Berechtigung für den DC gefehlt hat?
Gruß Rafiki
Hi,
ich hab bei nem Kollegen mal geschaut der sowas ähnliches als testaufbau hat und dort hat die DC SecGroup auch gefehlt, daher bin ich mir nich sicher obs das war...
ich hab bei nem Kollegen mal geschaut der sowas ähnliches als testaufbau hat und dort hat die DC SecGroup auch gefehlt, daher bin ich mir nich sicher obs das war...