Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?

Frage Microsoft Windows Server

Mitglied: SIELAN

SIELAN (Level 1) - Jetzt verbinden

06.06.2007, aktualisiert 14.06.2007, 11587 Aufrufe, 7 Kommentare

Hallo Leute,

ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.

wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen

Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
Mitglied: Rafiki
06.06.2007 um 21:36 Uhr
Ich kann nur raten, aber untersuche doch mal folgende Fragen. Evtl. fällt dir dabei selber auf was los ist oder du postest noch ein paar mehr Details.

1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?

2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
11.06.2007 um 15:58 Uhr
Hi, Dank erstmal!
also zu Frage 1)
Wie schon erwähnt, holt sich der DC via Domain Controller Template ein Zertifikat.
Requester ist der Computer (DOMAIN\COMPUTER$)
Intended Purpose des Zert. ist Client Auth, Server Auth und es ist 1Jahr Gültig (default)

zu Frage 2)
Alle angeforderten Zert. sind auch im Personal-Certificates Speicher drin. (ca 6000), da hatte sich einiges angesammelt
Im Eventlog hab ich noch nix gefunden, hab aber erstmal das 'Audit Object Access' in der group policy konfiguriert, damit ich was sehe.

Ich frag mich nur wo das Konfiguiert sein kann, dass der sich täglich mind. 2 Zert. holt ...
Bitte warten ..
Mitglied: Rafiki
11.06.2007 um 17:54 Uhr
na toll. 6000 Zertifikate. Verkauf doch ein paar bei ebay, evtl steigt der Kurs noch

Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.

Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 11:38 Uhr
So ich hab jetzt nochmal die Zeiten beobachtet. Alle 8h holt sich der DC ein neues DCZertifikat (Begin 7:44Uhr). Die sind auch in seinem Persönlichen Zertifikats Speicher zu finden.
Wir haben noch eine Sub-CA die in einer SubDomain hängt und dort macht der ProblemDC das selbe Spiel (3Zert/Tag).

Der DC vertraut auch beiden CAs und die CRL kann er auch erreichen.
Im Eventlog kann hab ich aber folgendes gefunden:

EVENT ID 13, Source Autoenrollment

"Automatic certificate enrollment for local system failed to enroll for one Domain Controller Authentication certificate (0x80070005). Access is denied."
und
"Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied."

ich schau jetzt mal obs das ist, denn davon hab ich recht viele events...
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 13:33 Uhr
Ich glaub jetzt hab ichs.
Der passende Event war

Event Type: Warning
Event Source: Winlogon
Event Category: None
Event ID: 1010
Date: 13.06.2007
Time: 07:55:09
User: N/A
Computer: WIEN
Description:
Automatic enrollment against the certification authority Munich1 for a certificate of type DomainController has failed. (0x80090016) Keyset does not exist
. Another certification authority will be tried.

-> dann ist er zu nächsten bekannten CA, die der Subdomain.
-> dort kam das selbe.

folgendes habe ich gemacht:
- Im Eventlog der CA (ID: 13, Source Autoenrollment) wurde Access denied für Autoenrollment für Template DC Zert.
- bei eventid.net gabs dann ein paar lösungshinweise
Service principle name (SPN) war korrekt ("setspn.exe -L" in den W2k3 Supp. Tools)
habe die Gruppe CERTSVC_DCOM_ACCESS gesucht und die fehlende DomainController Gruppe hinzugefügt und folgende Befehle abgesetzt

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

ob das des Rätsels lösung war weiß ich nich, aber es funktioniert jetzt.

Danke für die Hilfe
Bitte warten ..
Mitglied: Rafiki
13.06.2007 um 21:58 Uhr
Respekt, die meisten hätten aufgegeben. Das war nicht leicht zu finden.
Danke das du deine Lösung hier bekannt gibst, hoffen wir das andere dieses Problem jetzt schneller lösen können.

Hast du eine Idee warum die Berechtigung für den DC gefehlt hat?

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
14.06.2007 um 10:26 Uhr
Hi,
ich hab bei nem Kollegen mal geschaut der sowas ähnliches als testaufbau hat und dort hat die DC SecGroup auch gefehlt, daher bin ich mir nich sicher obs das war...
Bitte warten ..
Ähnliche Inhalte
Windows Server
Neues Active Directory, Domain Forest und Domain Controller
Frage von DJScorpionWindows Server3 Kommentare

Hallo zusammen, ich habe hier jetzt das erste Mal den Fall, dass ich ein gänzlich neues, komplexes System aufsetzen ...

Windows Server
Neue Domäne aufbauen oder um neuen Domain Controller erweitern
Frage von westberlinerWindows Server11 Kommentare

Hallo Zusammen, ich habe hier ein bestehendes Netzwerk mit ca 120 Usern, 120 Clients, 20 Servern (VM) und 2 ...

Windows Server
Neuer DC, neue Domain - AD Replizieren
Frage von adrian138Windows Server8 Kommentare

Hallo zusammen, Ich habe einen 2012 r2 PDC welcher abgelöst wird. Neuer Server (2012 r2), neue Domain. Die alte ...

Windows Server
Frage zu Verbindung Domain Controller zu Clients und Verbindung zw. RO-DC und DC
Frage von Axel90Windows Server1 Kommentar

Hey Leute, wir wollen unsere beiden writable Domaincontroller in ein neues Netz umzuziehen. Dafür muss ich neue Firewallregeln erstellen, ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 6 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 13 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless17 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...