ADCS lässt sich nicht mehr starten - DB nicht mehr vorhanden
Hallo zusammen,
vorab, ich bin nicht der Fitteste was PKI etc. angeht, also entschuldigt, falls ich beim Thema Lücken habe.
Zum Problem, ich bin derzeit dabei einen Server 2008 R2 (VM) auseinanderzuziehen, den uns seinerzeit ein Dienstleister aufgesetzt und leider mit etlichen Funktionen und Rollen vollgeknallt hat. Nun fiel mir auf, als ich die Zertifikatsdienste migrieren wollte, dass der Dienst überhaupt nicht mehr läuft. Wenn ich den starten will, meldet mir das Eventlog, dass die Datenbank dazu nicht vorhanden ist (erstmals bereits im September geloggt):
- System
- Provider
[ Name] Microsoft-Windows-CertificationAuthority
[ Guid] {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
[ EventSourceName] CertSvc
- EventID 17
[ Qualifiers] 49754
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2016-02-01T08:50:53.000000000Z
EventRecordID 658422
Correlation
- Execution
[ ProcessID] 0
[ ThreadID] 0
Channel Application
Computer Server.domain
- Security
[ UserID] S-1-5-18
- EventData
CACommonName XXX-CA
ErrorCode Die Datei wurde nicht gefunden. 0xc8000713 (ESE: -1811)
Kurzerhand im System32\CertLog nachgeschaut und die DB ist tatsächlich nicht mehr vorhanden, nur noch die Logfiles sind im Ordner. Beim Versuch den Ordner aus unserer Sicherung wiederherzustellen (BackupExec) musste ich feststellen, dass der Ordner in allen vorhandenen Sicherungen komplett leer ist, nicht einmal die Logfiles sind dort vorhanden. Auch über die SystemState-Sicherung lässt sich nichts machen. Nun google ich seit Freitag munter herum, aber finde keine passende Lösung, da alle Lösungsansätze darauf basieren, dass man noch eine DB hat. Das Zertifikat und den Private Key konnte ich mittels certutil noch sichern, aber ansonsten lässt sich nicht mehr viel machen. Wenn ich es richtig sehe, dann ist der Server RootCA.
Die Frage wäre nun, kann ich mit den Dingen, die ich noch habe die Rolle neu installieren oder wie würdet Ihr daran gehen?
Danke im voraus, falls ich Infos vergessen haben sollte, dann fragt bitte und ich liefer die nach.
Gruß
Han
vorab, ich bin nicht der Fitteste was PKI etc. angeht, also entschuldigt, falls ich beim Thema Lücken habe.
Zum Problem, ich bin derzeit dabei einen Server 2008 R2 (VM) auseinanderzuziehen, den uns seinerzeit ein Dienstleister aufgesetzt und leider mit etlichen Funktionen und Rollen vollgeknallt hat. Nun fiel mir auf, als ich die Zertifikatsdienste migrieren wollte, dass der Dienst überhaupt nicht mehr läuft. Wenn ich den starten will, meldet mir das Eventlog, dass die Datenbank dazu nicht vorhanden ist (erstmals bereits im September geloggt):
- System
- Provider
[ Name] Microsoft-Windows-CertificationAuthority
[ Guid] {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
[ EventSourceName] CertSvc
- EventID 17
[ Qualifiers] 49754
Version 0
Level 2
Task 0
Opcode 0
Keywords 0x80000000000000
- TimeCreated
[ SystemTime] 2016-02-01T08:50:53.000000000Z
EventRecordID 658422
Correlation
- Execution
[ ProcessID] 0
[ ThreadID] 0
Channel Application
Computer Server.domain
- Security
[ UserID] S-1-5-18
- EventData
CACommonName XXX-CA
ErrorCode Die Datei wurde nicht gefunden. 0xc8000713 (ESE: -1811)
Kurzerhand im System32\CertLog nachgeschaut und die DB ist tatsächlich nicht mehr vorhanden, nur noch die Logfiles sind im Ordner. Beim Versuch den Ordner aus unserer Sicherung wiederherzustellen (BackupExec) musste ich feststellen, dass der Ordner in allen vorhandenen Sicherungen komplett leer ist, nicht einmal die Logfiles sind dort vorhanden. Auch über die SystemState-Sicherung lässt sich nichts machen. Nun google ich seit Freitag munter herum, aber finde keine passende Lösung, da alle Lösungsansätze darauf basieren, dass man noch eine DB hat. Das Zertifikat und den Private Key konnte ich mittels certutil noch sichern, aber ansonsten lässt sich nicht mehr viel machen. Wenn ich es richtig sehe, dann ist der Server RootCA.
Die Frage wäre nun, kann ich mit den Dingen, die ich noch habe die Rolle neu installieren oder wie würdet Ihr daran gehen?
Danke im voraus, falls ich Infos vergessen haben sollte, dann fragt bitte und ich liefer die nach.
Gruß
Han
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294832
Url: https://administrator.de/contentid/294832
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
das sieht nicht so gut aus. Hast du mal aus Jux ein neues Zertifikat mit der Zertifizierungsstelle ausgestellt? Sodass eventuell eine neue Datenbank angelegt wird?
Falls das nichts bringt:
Da du sowieso migrieren wolltest, solltest du besser eine neue PKI aufsetzen. Am besten eine zweistufige.
Diese Anleitung sollte dir helfen. Sie besteht aus drei Teilen/Seiten:
https://www.fabian-niesen.de/allgemein/grundlegendes-einer-zertifizierun ...
Grüße Winary
das sieht nicht so gut aus. Hast du mal aus Jux ein neues Zertifikat mit der Zertifizierungsstelle ausgestellt? Sodass eventuell eine neue Datenbank angelegt wird?
Falls das nichts bringt:
Da du sowieso migrieren wolltest, solltest du besser eine neue PKI aufsetzen. Am besten eine zweistufige.
Diese Anleitung sollte dir helfen. Sie besteht aus drei Teilen/Seiten:
https://www.fabian-niesen.de/allgemein/grundlegendes-einer-zertifizierun ...
Grüße Winary
Alle deine bisher genutzten Zertifikate, welche durch die alte CA erstellt wurden können nicht mehr erneuert werden. D.h. sie laufen noch so lange bis sie ablaufen. Zeit (genug) um eine neue CA aufzusetzen und alte Zertifikate gegen neue auszutauschen.
Sobald du die CA deinstallierst wird deine Sperrliste nicht mehr aktualisiert werden. Zertifikate, die durch ihre Sperrliste nicht auf Gültigkeit überprüft werden können, sind automatisch ungültig/vertrauensunwürdig. Deshalb auch das "genug" in Klammern.
Wie es sich im Detail verhält wenn man eine CA austauscht, kann ich in deinem Fall nicht genau sagen. Das kann sehr spezifisch werden.
Sobald du die CA deinstallierst wird deine Sperrliste nicht mehr aktualisiert werden. Zertifikate, die durch ihre Sperrliste nicht auf Gültigkeit überprüft werden können, sind automatisch ungültig/vertrauensunwürdig. Deshalb auch das "genug" in Klammern.
Wie es sich im Detail verhält wenn man eine CA austauscht, kann ich in deinem Fall nicht genau sagen. Das kann sehr spezifisch werden.