Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?

Frage Microsoft Windows Server

Mitglied: SIELAN

SIELAN (Level 1) - Jetzt verbinden

06.06.2007, aktualisiert 14.06.2007, 11328 Aufrufe, 7 Kommentare

Hallo Leute,

ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.

wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen

Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
Mitglied: Rafiki
06.06.2007 um 21:36 Uhr
Ich kann nur raten, aber untersuche doch mal folgende Fragen. Evtl. fällt dir dabei selber auf was los ist oder du postest noch ein paar mehr Details.

1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?

2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
11.06.2007 um 15:58 Uhr
Hi, Dank erstmal!
also zu Frage 1)
Wie schon erwähnt, holt sich der DC via Domain Controller Template ein Zertifikat.
Requester ist der Computer (DOMAIN\COMPUTER$)
Intended Purpose des Zert. ist Client Auth, Server Auth und es ist 1Jahr Gültig (default)

zu Frage 2)
Alle angeforderten Zert. sind auch im Personal-Certificates Speicher drin. (ca 6000), da hatte sich einiges angesammelt
Im Eventlog hab ich noch nix gefunden, hab aber erstmal das 'Audit Object Access' in der group policy konfiguriert, damit ich was sehe.

Ich frag mich nur wo das Konfiguiert sein kann, dass der sich täglich mind. 2 Zert. holt ...
Bitte warten ..
Mitglied: Rafiki
11.06.2007 um 17:54 Uhr
na toll. 6000 Zertifikate. Verkauf doch ein paar bei ebay, evtl steigt der Kurs noch

Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.

Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 11:38 Uhr
So ich hab jetzt nochmal die Zeiten beobachtet. Alle 8h holt sich der DC ein neues DCZertifikat (Begin 7:44Uhr). Die sind auch in seinem Persönlichen Zertifikats Speicher zu finden.
Wir haben noch eine Sub-CA die in einer SubDomain hängt und dort macht der ProblemDC das selbe Spiel (3Zert/Tag).

Der DC vertraut auch beiden CAs und die CRL kann er auch erreichen.
Im Eventlog kann hab ich aber folgendes gefunden:

EVENT ID 13, Source Autoenrollment

"Automatic certificate enrollment for local system failed to enroll for one Domain Controller Authentication certificate (0x80070005). Access is denied."
und
"Automatic certificate enrollment for local system failed to enroll for one Directory Email Replication certificate (0x80070005). Access is denied."

ich schau jetzt mal obs das ist, denn davon hab ich recht viele events...
Bitte warten ..
Mitglied: SIELAN
13.06.2007 um 13:33 Uhr
Ich glaub jetzt hab ichs.
Der passende Event war

Event Type: Warning
Event Source: Winlogon
Event Category: None
Event ID: 1010
Date: 13.06.2007
Time: 07:55:09
User: N/A
Computer: WIEN
Description:
Automatic enrollment against the certification authority Munich1 for a certificate of type DomainController has failed. (0x80090016) Keyset does not exist
. Another certification authority will be tried.

-> dann ist er zu nächsten bekannten CA, die der Subdomain.
-> dort kam das selbe.

folgendes habe ich gemacht:
- Im Eventlog der CA (ID: 13, Source Autoenrollment) wurde Access denied für Autoenrollment für Template DC Zert.
- bei eventid.net gabs dann ein paar lösungshinweise
Service principle name (SPN) war korrekt ("setspn.exe -L" in den W2k3 Supp. Tools)
habe die Gruppe CERTSVC_DCOM_ACCESS gesucht und die fehlende DomainController Gruppe hinzugefügt und folgende Befehle abgesetzt

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

ob das des Rätsels lösung war weiß ich nich, aber es funktioniert jetzt.

Danke für die Hilfe
Bitte warten ..
Mitglied: Rafiki
13.06.2007 um 21:58 Uhr
Respekt, die meisten hätten aufgegeben. Das war nicht leicht zu finden.
Danke das du deine Lösung hier bekannt gibst, hoffen wir das andere dieses Problem jetzt schneller lösen können.

Hast du eine Idee warum die Berechtigung für den DC gefehlt hat?

Gruß Rafiki
Bitte warten ..
Mitglied: SIELAN
14.06.2007 um 10:26 Uhr
Hi,
ich hab bei nem Kollegen mal geschaut der sowas ähnliches als testaufbau hat und dort hat die DC SecGroup auch gefehlt, daher bin ich mir nich sicher obs das war...
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...