joe2017
Goto Top

Benötige Hilfe bei CA Update Windows Server 2012 R2 to 2019

Hallo zusammen,

ich wollte heute meine beiden Windows Certificate Authorities updaten. Aktuell habe ich hier noch Windows Server 2012 R2 installiert. Bei dem Wechsel auf Windows Server 2019 bekomme ich die CA jetzt nicht mehr gestartet.

Folgendes habe ich durchgeführt:
Alter Server
- Backup CA
- Backup CA Registry (HKEYLM\System\CurrentControlSet\Services\CertSvc\Configuration)
- Backup auf neuen Server kopiert
- CA Rollen deinstalliert
- Server heruntergefahren

Neuer Server (gleicher Name/IP)
- Server + Updates installiert
- Rollen (CA, OSCP, Web Enrollment) installiert
- CA konfiguration abgeschlossen (mit import Backup)
- certsrv geöffnet und Backup von CA importiert

Wenn ich jetzt versuche den Zertifikatsdienst zu starten erhalte ich folgende Fehlermeldung:
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

ich habe auch schon über das certutil versuch die crl neu zu erstellen
certutil -crl
FEHLER: Der RPC-Server ist nicht vrfügbar

Kann mir jemand hierbei weiterhelfen?

Content-ID: 4545334514

Url: https://administrator.de/contentid/4545334514

Ausgedruckt am: 12.11.2024 um 22:11 Uhr

Dani
Dani 08.11.2022 aktualisiert um 12:52:18 Uhr
Goto Top
Moin,
vermutlich ist bei den Eigenschaften der Sperrlisten der alte/bisherige Servername konfiguriert. Auf die Schnelle habe ich bei Google folgenden Artikel gefunden, Abschnitt 6.

Wenn dort ein DNS Alias eingetragen ist, reicht es wenn du den CNAME-Eintrag im DNS-Server auf den neuen Server konfigurierst.

Wenn dort der Computername des alten/bisherigen Servers drin steht, musst du wohl oder übel den Computernamen des neuen Servers entspechend anpassen. Alternativ die Einstellungen anpassen und alle Zertifikate neu ausstellen.


Gruß,
Dani

P.S. Wie lange beschäftigst du dich mit dem Thema CA schon?
joe2017
joe2017 08.11.2022 um 13:05:11 Uhr
Goto Top
Hallo Dani,

am Servernamen und IP hat sich nichts geändert. Diese sind identisch geblieben.
em-pie
em-pie 08.11.2022 um 13:15:32 Uhr
Goto Top
Moin,

könnte ggf. dies dein Problem sein (könnte analog zu @Dani s Links sein):
https://www.gradenegger.eu/?p=1649

Ferner die Frage, ob du ALLES vorher exportiert hast.
Hier eine ANleitung für die Migration:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/m ...
joe2017
joe2017 08.11.2022 um 13:43:31 Uhr
Goto Top
Die Links habe ich leider beide schon vorher gefunden und überprüft.
Ich denke es hängt an dem RPC Server unter W2K19
Dani
Dani 08.11.2022 um 14:35:46 Uhr
Goto Top
Moin,
wir sollten uns an das Ausschlussverfahren halten.

Bitte die Konfigiuration der Sperrlisten bzw. der Speicherort auslesen. Anschließend prüfen, ob der Pfad und ggf. auch die CRL Datei zu finden sind. Es könnte schon alleine an der Art der Sperrliste (Datei, LDAP, HTTP) scheitern. Das sehen wir von hier aus nicht.


Gruß,
Dani
dertowa
dertowa 08.11.2022 um 18:43:04 Uhr
Goto Top
Zitat von @joe2017:

Ich denke es hängt an dem RPC Server unter W2K19

Hier läuft ein CA-Server unter W2K19 als Core vollkommen problemlos.
Wird also eher kein pauschales Problem sein - allerdings ist da auch nichts migriert.