Benötige Hilfe bei CA Update Windows Server 2012 R2 to 2019
Hallo zusammen,
ich wollte heute meine beiden Windows Certificate Authorities updaten. Aktuell habe ich hier noch Windows Server 2012 R2 installiert. Bei dem Wechsel auf Windows Server 2019 bekomme ich die CA jetzt nicht mehr gestartet.
Folgendes habe ich durchgeführt:
Alter Server
- Backup CA
- Backup CA Registry (HKEYLM\System\CurrentControlSet\Services\CertSvc\Configuration)
- Backup auf neuen Server kopiert
- CA Rollen deinstalliert
- Server heruntergefahren
Neuer Server (gleicher Name/IP)
- Server + Updates installiert
- Rollen (CA, OSCP, Web Enrollment) installiert
- CA konfiguration abgeschlossen (mit import Backup)
- certsrv geöffnet und Backup von CA importiert
Wenn ich jetzt versuche den Zertifikatsdienst zu starten erhalte ich folgende Fehlermeldung:
ich habe auch schon über das certutil versuch die crl neu zu erstellen
Kann mir jemand hierbei weiterhelfen?
ich wollte heute meine beiden Windows Certificate Authorities updaten. Aktuell habe ich hier noch Windows Server 2012 R2 installiert. Bei dem Wechsel auf Windows Server 2019 bekomme ich die CA jetzt nicht mehr gestartet.
Folgendes habe ich durchgeführt:
Alter Server
- Backup CA
- Backup CA Registry (HKEYLM\System\CurrentControlSet\Services\CertSvc\Configuration)
- Backup auf neuen Server kopiert
- CA Rollen deinstalliert
- Server heruntergefahren
Neuer Server (gleicher Name/IP)
- Server + Updates installiert
- Rollen (CA, OSCP, Web Enrollment) installiert
- CA konfiguration abgeschlossen (mit import Backup)
- certsrv geöffnet und Backup von CA importiert
Wenn ich jetzt versuche den Zertifikatsdienst zu starten erhalte ich folgende Fehlermeldung:
Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)
ich habe auch schon über das certutil versuch die crl neu zu erstellen
certutil -crl
FEHLER: Der RPC-Server ist nicht vrfügbar
Kann mir jemand hierbei weiterhelfen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4545334514
Url: https://administrator.de/contentid/4545334514
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
vermutlich ist bei den Eigenschaften der Sperrlisten der alte/bisherige Servername konfiguriert. Auf die Schnelle habe ich bei Google folgenden Artikel gefunden, Abschnitt 6.
Wenn dort ein DNS Alias eingetragen ist, reicht es wenn du den CNAME-Eintrag im DNS-Server auf den neuen Server konfigurierst.
Wenn dort der Computername des alten/bisherigen Servers drin steht, musst du wohl oder übel den Computernamen des neuen Servers entspechend anpassen. Alternativ die Einstellungen anpassen und alle Zertifikate neu ausstellen.
Gruß,
Dani
P.S. Wie lange beschäftigst du dich mit dem Thema CA schon?
vermutlich ist bei den Eigenschaften der Sperrlisten der alte/bisherige Servername konfiguriert. Auf die Schnelle habe ich bei Google folgenden Artikel gefunden, Abschnitt 6.
Wenn dort ein DNS Alias eingetragen ist, reicht es wenn du den CNAME-Eintrag im DNS-Server auf den neuen Server konfigurierst.
Wenn dort der Computername des alten/bisherigen Servers drin steht, musst du wohl oder übel den Computernamen des neuen Servers entspechend anpassen. Alternativ die Einstellungen anpassen und alle Zertifikate neu ausstellen.
Gruß,
Dani
P.S. Wie lange beschäftigst du dich mit dem Thema CA schon?
Moin,
könnte ggf. dies dein Problem sein (könnte analog zu @Dani s Links sein):
https://www.gradenegger.eu/?p=1649
Ferner die Frage, ob du ALLES vorher exportiert hast.
Hier eine ANleitung für die Migration:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/m ...
könnte ggf. dies dein Problem sein (könnte analog zu @Dani s Links sein):
https://www.gradenegger.eu/?p=1649
Ferner die Frage, ob du ALLES vorher exportiert hast.
Hier eine ANleitung für die Migration:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/m ...
Moin,
wir sollten uns an das Ausschlussverfahren halten.
Bitte die Konfigiuration der Sperrlisten bzw. der Speicherort auslesen. Anschließend prüfen, ob der Pfad und ggf. auch die CRL Datei zu finden sind. Es könnte schon alleine an der Art der Sperrliste (Datei, LDAP, HTTP) scheitern. Das sehen wir von hier aus nicht.
Gruß,
Dani
wir sollten uns an das Ausschlussverfahren halten.
Bitte die Konfigiuration der Sperrlisten bzw. der Speicherort auslesen. Anschließend prüfen, ob der Pfad und ggf. auch die CRL Datei zu finden sind. Es könnte schon alleine an der Art der Sperrliste (Datei, LDAP, HTTP) scheitern. Das sehen wir von hier aus nicht.
Gruß,
Dani
Hier läuft ein CA-Server unter W2K19 als Core vollkommen problemlos.
Wird also eher kein pauschales Problem sein - allerdings ist da auch nichts migriert.