goldfuchs
Goto Top

Active Directory Certificate Services. Bei Veröffentlichung der CRT Fehlermedlung "ERROR LOGON FAILURE"

Moin,
so ich tüftele grad mit dem ADCS Tool herum und arbeite mich in die Thematik ein. Soweit läuft meine Serverinfrastruktur ganz gut.

1 physischer Server mit Windows Server 2019 Essentials
3 virtuelle Server (WSE, Debian10 usw)

Auf einem Hyper-v habe ich einen Server 2019 Essentials installiert. Dieser fungiert als ADCA. Auf dem selbigen Server ist auch der IIS installiert.

Zertifikatsname, Domain sind mit "*" unkenntlich gemacht.


Mein Problem ist, dass ich im WAC stänig fehlermeldungen folgender Art bekomme:

Active Directory Certificate Services could not publish a Delta CRL for key 0 to the following location: file:\\zfs.*/pki/l-ca+.crl. Der Benutzername oder das Kennwort ist falsch. 0x8007052e (WIN32: 1326 ERROR_LOGON_FAILURE).

Active Directory Certificate Services could not publish a Delta CRL for key 0 to the following location: file:
\\*\pki\-ca+.crl. Vorgang abgebrochen 0x80004004 (-2147467260 E_ABORT).

Das klingt ja erstmal logisch nach einem Anmeldefehler, die Frage ist nur wo er sich anmelden will? Ich kann den geteilten Ordner so im Netz aufrufen, ohne Passwort und Benutzername, die Website ist ebenfalls erreichbar, wobei dort schon eine ungereimtheit ist. Website ist nur von "aussen" erreichbar, also wenn ich z.b auf dem Server selber die URL eingebe findet er diese nicht. Könnte daran liegen dass er den DNS Eintrag nicht lesen kann, aber auch mit der IP 172.xxx.xxx.xx/pki findet er diese nich

"Pingen" kann ich jeden Server, auch den CNAME zfs.
***.

PkiView.msc zeigt mir folgendes an
adcs

Wenn ich die URLS so nehme und in den Browser eingebe lädt er diese runter, sprich keine Probleme.

Wenn ich in certsrv.msc auf publish CRL gehe bekomme ich gesagt, dass das Passwort falsch wäre - was für ein Passwort???

Es werden auch Zertifikate ausgestellt.


Kann es sein, dass Windows Essentials dafür einfach nicht freigeschaltet ist, sprich erst ab Standard oder Datacenter? In den Versionsvergleichen steht *1 ADCS Instanz aber publishing wäre nicht integriert

-getreg ca spuckt folgendes aus:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\xxxx.xxxxx-ca:

Keys:
CSP
EncryptionCSP
ExitModules
PolicyModules

Values:
DSConfigDN REG_SZ = CN=Configuration,DC=xxxxx,DC=xxxxx
DSDomainDN REG_SZ = DC=xxxx,DC=xxxxx
ViewAgeMinutes REG_DWORD = 10 (16)
ViewIdleMinutes REG_DWORD = 8
CAType REG_DWORD = 0
ENUM_ENTERPRISE_ROOTCA -- 0

UseDS REG_DWORD = 1
ForceTeletex REG_DWORD = 12 (18)
ENUM_TELETEX_AUTO -- 2
ENUM_TELETEX_UTF8 -- 10 (16)

SignedAttributes REG_MULTI_SZ =
0: RequesterName

EKUOIDsForPublishExpiredCertInCRL REG_MULTI_SZ =
0: 1.3.6.1.5.5.7.3.3 Code Signing
1: 1.3.6.1.4.1.311.61.1.1 Kernel Mode Code Signing

CommonName REG_SZ = xxxxxxx-ca

Enabled REG_DWORD = 1
PolicyFlags REG_DWORD = 0
CertEnrollCompatible REG_DWORD = 0
CRLEditFlags REG_DWORD = 100 (256)
EDITF_ENABLEAKIKEYID -- 100 (256)

CRLFlags REG_DWORD = 2
CRLF_DELETE_EXPIRED_CRLS -- 2

InterfaceFlags REG_DWORD = 641 (1601)
IF_LOCKICERTREQUEST -- 1
IF_NOREMOTEICERTADMINBACKUP -- 40 (64)
IF_ENFORCEENCRYPTICERTREQUEST -- 200 (512)
IF_ENFORCEENCRYPTICERTADMIN -- 400 (1024)

EnforceX500NameLengths REG_DWORD = 1
SubjectTemplate REG_MULTI_SZ =
0: EMail
1: CommonName
2: OrganizationalUnit
3: Organization
4: Locality
5: State
6: DomainComponent
7: Country
8: UnstructuredName
9: UnstructuredAddress
10: DeviceSerialNumber

ClockSkewMinutes REG_DWORD = a (10)
LogLevel REG_DWORD = 3

HighSerial REG_DWORD = 22 (34)
CAServerName REG_SZ = xxxxxx.xxxxxx
ValidityPeriod REG_SZ = Years
ValidityPeriodUnits REG_DWORD = 2
KRACertHash REG_MULTI_SZ =

KRACertCount REG_DWORD = 0
KRAFlags REG_DWORD = 0

CRLPublicationURLs REG_MULTI_SZ =
0: 65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl
CSURL_SERVERPUBLISH -- 1
CSURL_SERVERPUBLISHDELTA -- 40 (64)

1: 6:http://zfs.xxx.xxxxx/pki/%3%8%9.crl
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4

2: 65:file:\\zfs.xxxxx.xxxx/pki/%3%8%9.crl
CSURL_SERVERPUBLISH -- 1
CSURL_SERVERPUBLISHDELTA -- 40 (64)

3: 65:file:
\\xxxx.xxxxxx\pki\%3%8%9.crl
CSURL_SERVERPUBLISH -- 1
CSURL_SERVERPUBLISHDELTA -- 40 (64)


CRLPeriod REG_SZ = Weeks
CRLPeriodUnits REG_DWORD = 1

CRLOverlapPeriod REG_SZ = Hours
CRLOverlapUnits REG_DWORD = 0
CRLDeltaPeriod REG_SZ = Days
CRLDeltaPeriodUnits REG_DWORD = 1
CRLDeltaOverlapPeriod REG_SZ = Minutes

CRLDeltaOverlapUnits REG_DWORD = 0
CAXchgValidityPeriod REG_SZ = Weeks
CAXchgValidityPeriodUnits REG_DWORD = 1
CAXchgOverlapPeriod REG_SZ = Days
CAXchgOverlapPeriodUnits REG_DWORD = 1

MaxIncomingMessageSize REG_DWORD = 10000 (65536)
MaxIncomingAllocSize REG_DWORD = 10000 (65536)
CACertPublicationURLs REG_MULTI_SZ =
0: 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
CSURL_SERVERPUBLISH -- 1

1: 2:http://zfs.xxxx.xxxxx/pki/%1_%3%4.crt
CSURL_ADDTOCERTCDP -- 2

2: 2:file://\\xxxx.xxxxx\pki\%1%3%4.crl
CSURL_ADDTOCERTCDP -- 2


CACertHash REG_MULTI_SZ =
0: cf ad bd 16 c6 6d 01 a7 73 3a 36 9c 9c 54 72 cc df 7f 36 b9

Security REG_BINARY =
Allow Enroll NT-AUTORITÄT\Authentifizierte Benutzer
Allow CA Administrator Certificate Manager xxxx\Domänen-Admins
Allow Read Enroll xxxxx\Domänen-Benutzer
Allow CA Administrator Certificate Manager xxxxxx\Organisations-Admins
Allow CA Administrator Certificate Manager VORDEFINIERT\Administratoren
Allow Enroll xxxxx\ndesservice


SetupStatus REG_DWORD = 1
SETUP_SERVER_FLAG -- 1

CRLNextPublish REG_BINARY = 9/29/2020 12:54 PM
CRLDeltaNextPublish REG_BINARY = 9/23/2020 12:54 PM
CRLAttemptRepublish REG_DWORD = 1
CAXchgCertHash REG_MULTI_SZ =
0: c0 92 c5 c0 b0 ae 8a 33 f9 df 8e b5 e6 45 04 88 6c 21 3a 32

AuditFilter REG_DWORD = 4
CertUtil: -getreg command completed successfully.
Ich hoffe dass ihr mit meinem Kauderwelsch was anfangen könnt.

VG Goldfuchs

Content-ID: 606597

Url: https://administrator.de/contentid/606597

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

Dani
Lösung Dani 22.09.2020 aktualisiert um 13:40:54 Uhr
Goto Top
Moin,
Wenn ich die URLS so nehme und in den Browser eingebe lädt er diese runter, sprich keine Probleme.
das sind zwei paar Schuhe. Denn es geht darum, dass er über die Methode file: nicht die (Delta) Sperrliste aktualisieren kann. Der Abruf erfolgt natürlich über http und greift auf die vorhandene, vermutlich alte Datei, zurück.

Wenn ich in certsrv.msc auf publish CRL gehe bekomme ich gesagt, dass das Passwort falsch wäre - was für ein Passwort???
Kann es sein, dass du den Eintrag file: in der Sperrlisten-Verteilungspunkt angepasst hast? Denn dessen Aufbau ist standardmäßig file:ServerDnsName/CertEnroll/<CaName><CrlNameSuffix><Delta>.crl.

Es werden auch Zertifikate ausgestellt.
Ja, denn das Austellen und die Sperrlisten stehen zu dem Zeitpunkt in keine Abhängigkeit.

file:\\zfs.*/pki/l-ca+.crl
Zeigt der Cname-Eintrag auf den Windows Server Essentials? SMB file server share access is unsuccessful through DNS CNAME alias

Unabhängig davon deaktiviert (nicht löschen!) man eigentlich den Eintrag file: in dem Sperrlisten-Verteilungspunkt.
Deine erste PKI? face-big-smile


Gruß,
Dani

P.S. Das Thema PKI ist weitreichend und Bedarf einer gründlichen Vorbereitungen und Überlegung verschiedener Szenarien. Das ist sicherlich nicht in 3 Werktagen geplant, installiert, konfiguriert, getestet und dokumentiert.
Goldfuchs
Goldfuchs 22.09.2020 um 18:20:23 Uhr
Goto Top
Ich hab das Problem gelöst indem ich einfach ADCS neu installiert habe. Nicht die feine englische Art weil ich dadurch leider dem Fehler nicht bis zum Schluss gefolgt bin.


Deine erste PKI? face-big-smile

Ja ;)