CA zeigt nach Umzug auf alten Server
Hallo Community,
ich habe das Problem, dass nach einem CA Umzug der Exchangeserver und die DCs die CA zwar finden, aber auf dem alten Server suchen.
Ausgangssituation:
vSphere ESXi Cluster 7.0
Domäne 2016, mit Servern 2016 und 1019
2x DC 2019, Exchange 2016, div. APP und Fileserver
Was wurde geändert:
Einer der DCs (DC-01) hat keine Windowsupdates mehr eingespielt, Domäne war aber gesund
Um das Problem zu lösen wurde der defekte DC heruntergestuft, unter gleicher IP aber mit neuem Namen (DC-03) eine neue Windows 2019 Maschine installiert.
Problemkind CA
Auf dem defekten DC-01 lief eine CA, die natürlich vor der Operation runter musste. Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
- Sicherung der CA und Registry
- Deinstallation auf alten Server, Installation auf neuem Server
- Sicherung zurückgespielt
- Unter Standort und Dienste bei Public Key Services ist der DC-02 aufgetaucht, der DC-01 wurde bereinigt
- In der CA selbst konnte man nach dem Umzug auf die Vorlagen nicht zugreifen, deswegen wurde das Root CA neu generiert, danach ging das auch
Der Fehler:
Nachdem alles lief und auch das CA Zertifikat des Exchange für die ECP gemeint haben, dass es ihm gut geht und der Pfad stimmt, musste nach einiger Zeit das Zertifikat nun verlängert werden. Also rechte Maustaste, erneuern. Dort findet der IIS des Exchange zwar die CA, Computer zeigt aber immer noch auf DC-01, nicht auf DC-02 wo die CA jetzt liegt. Manuelles ändern des Servers in der Eingabezeile lässt das Zertifikat dann aber verlängern und alles ist wieder grün.
In den Ereignislogs der DCs habe ich jetzt aber auch Fehlermeldungen, dass die Zertifikatsregistrierung für ein Zertifikat "DomainController" nicht klappt, weil die CA unter DC-01 nicht erreichbar ist.
Ich finde nicht den Eintrag, wo in der Domäne die falsche Information hinterlegt sind die sich hier immer wieder gezogen wird. Auch über die Microsoft Anleitungen über ADSIEdit komme ich auch nur zu den gleichen Infos die schon unter Standort und Dienste passen. In der Registry der neuen CA auf DC-02 habe ich noch Einträge von DC-01 gefunden und korrigiert, vermutlich durch den Import der Werte beim Umzug.
Ich bitte um Anregungen, was ich hier falsch gemacht habe. Kann ja nicht der Erste sein der ne CA umzieht und so einen Fehler hat. Die Anleitung ist eigentlich auch recht eindeutig was zu tun ist.
Danke an alle fürs lesen.
Celle
ich habe das Problem, dass nach einem CA Umzug der Exchangeserver und die DCs die CA zwar finden, aber auf dem alten Server suchen.
Ausgangssituation:
vSphere ESXi Cluster 7.0
Domäne 2016, mit Servern 2016 und 1019
2x DC 2019, Exchange 2016, div. APP und Fileserver
Was wurde geändert:
Einer der DCs (DC-01) hat keine Windowsupdates mehr eingespielt, Domäne war aber gesund
Um das Problem zu lösen wurde der defekte DC heruntergestuft, unter gleicher IP aber mit neuem Namen (DC-03) eine neue Windows 2019 Maschine installiert.
Problemkind CA
Auf dem defekten DC-01 lief eine CA, die natürlich vor der Operation runter musste. Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
- Sicherung der CA und Registry
- Deinstallation auf alten Server, Installation auf neuem Server
- Sicherung zurückgespielt
- Unter Standort und Dienste bei Public Key Services ist der DC-02 aufgetaucht, der DC-01 wurde bereinigt
- In der CA selbst konnte man nach dem Umzug auf die Vorlagen nicht zugreifen, deswegen wurde das Root CA neu generiert, danach ging das auch
Der Fehler:
Nachdem alles lief und auch das CA Zertifikat des Exchange für die ECP gemeint haben, dass es ihm gut geht und der Pfad stimmt, musste nach einiger Zeit das Zertifikat nun verlängert werden. Also rechte Maustaste, erneuern. Dort findet der IIS des Exchange zwar die CA, Computer zeigt aber immer noch auf DC-01, nicht auf DC-02 wo die CA jetzt liegt. Manuelles ändern des Servers in der Eingabezeile lässt das Zertifikat dann aber verlängern und alles ist wieder grün.
In den Ereignislogs der DCs habe ich jetzt aber auch Fehlermeldungen, dass die Zertifikatsregistrierung für ein Zertifikat "DomainController" nicht klappt, weil die CA unter DC-01 nicht erreichbar ist.
Ich finde nicht den Eintrag, wo in der Domäne die falsche Information hinterlegt sind die sich hier immer wieder gezogen wird. Auch über die Microsoft Anleitungen über ADSIEdit komme ich auch nur zu den gleichen Infos die schon unter Standort und Dienste passen. In der Registry der neuen CA auf DC-02 habe ich noch Einträge von DC-01 gefunden und korrigiert, vermutlich durch den Import der Werte beim Umzug.
Ich bitte um Anregungen, was ich hier falsch gemacht habe. Kann ja nicht der Erste sein der ne CA umzieht und so einen Fehler hat. Die Anleitung ist eigentlich auch recht eindeutig was zu tun ist.
Danke an alle fürs lesen.
Celle
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8556844690
Url: https://administrator.de/forum/ca-zeigt-nach-umzug-auf-alten-server-8556844690.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
ich nehme einfach mal an dass es nicht der einzige DC gewesen ist. Ansonsten hättest du deine Domäne verloren.
Der Name deiner CA wird noch so lauten wie der alte Server. Das lässt sich wahrscheinlich auch nicht ändern und führt hier bei dir zur Verwirrung. Wenn dem Export und Import Guide korrekt gefolgt bist, sollte das auch alles nur ein Schönheitsfehler sein.
Gruß
Spirit
ich nehme einfach mal an dass es nicht der einzige DC gewesen ist. Ansonsten hättest du deine Domäne verloren.
Der Name deiner CA wird noch so lauten wie der alte Server. Das lässt sich wahrscheinlich auch nicht ändern und führt hier bei dir zur Verwirrung. Wenn dem Export und Import Guide korrekt gefolgt bist, sollte das auch alles nur ein Schönheitsfehler sein.
Gruß
Spirit
Moin,
By the way: Was hast du eigentlich mit dem CRL Entpoints gemacht? Weil die werden sicherlich auch den alten Servernamen beinhalten und damit auch ins Leere zeigen.
Kollegen haben vor kurzem 10 CAs auf Windows Server 2019 umgezogen. War innerhalb von 3 Tagen erledigt. Allerdings machen die Kollegen auch nichts anderes außer sich mit CAs zu beschäftigen. Grundsätzlich ist das alles kein Hexenwerk, wenn man weiß was man tut und bei der initialen Einrichtung ein paar Gedanken und Rahmenbedingungen beachtet. Dazu muss man eine CA wie ein Domain Controller, DNS-Server, etc. behandeln. Sprich Zeit, Wissen, Planungen, etc. aufwenden.
Gruß,
Dani
Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
warum machst du den selben Fehler gleich nochmals? Auf einem DC hat auch eine CA nichts zu suchen. Die CA auf eine dedizierte VM packen und gut ist. Du hättest sogar den bisherigen Servernamen der VM geben können...Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
Bitte poste den Link.In der CA selbst konnte man nach dem Umzug auf die Vorlagen nicht zugreifen, deswegen wurde das Root CA neu generiert, danach ging das auch
Die Vorlagen aus der Sicherung zeigen vermutlich auf den alten Server. Eine Neu Registrierung der Vorlagen hätte vermutlich ausgereicht. Weil mit einem neuen Zertifikat der CA hast du automatisch eine Portion an Mehrarbeit.In den Ereignislogs der DCs habe ich jetzt aber auch Fehlermeldungen, dass die Zertifikatsregistrierung für ein Zertifikat "DomainController" nicht klappt, weil die CA unter DC-01 nicht erreichbar ist.
Wurde das abgelaufene Zertifikat noch mit einer Vorlage der alten CA ausgestellt?By the way: Was hast du eigentlich mit dem CRL Entpoints gemacht? Weil die werden sicherlich auch den alten Servernamen beinhalten und damit auch ins Leere zeigen.
Ich bitte um Anregungen, was ich hier falsch gemacht habe. Kann ja nicht der Erste sein der ne CA umzieht und so einen Fehler hat. Die Anleitung ist eigentlich auch recht eindeutig was zu tun ist.
Das ist aus der Ferne immer schwierig. Weil du auch nicht einen Link zu den verwendeten Doku und/oder Anleitungen gepostet hast.Kollegen haben vor kurzem 10 CAs auf Windows Server 2019 umgezogen. War innerhalb von 3 Tagen erledigt. Allerdings machen die Kollegen auch nichts anderes außer sich mit CAs zu beschäftigen. Grundsätzlich ist das alles kein Hexenwerk, wenn man weiß was man tut und bei der initialen Einrichtung ein paar Gedanken und Rahmenbedingungen beachtet. Dazu muss man eine CA wie ein Domain Controller, DNS-Server, etc. behandeln. Sprich Zeit, Wissen, Planungen, etc. aufwenden.
Gruß,
Dani
Moin,
Gruß,
Dani
Kleinumgebung, Lizenzmangel, Wirtschaftskriese
Soso... ich will nicht wissen, wie viel Zeit du und evtl. auch andere bereits investiert haben. Rechnet man noch die Zeit der Forenteilnehmer, mit Lesen verbracht haben dazu, wäre die Lizenz vermutlich schon für 10 Jahre bezahlt. Wer eine CA haben möchte, muss auch investieren - Punkt!Beim Ausführen von certutil habe ich 2 Einträge mit gleichem CA Name, wobei Eintrag 0 auf den alten Server deutet und Eintrag 1 auf den Neuen.
wenn du wirklich das Zertifikat der CA neu erstellt hast (die Frage hast du uns auch noch nicht beantwortet), ist das Verhalten normal und auch gewollt. Poste doch bitte immer den vollständigen certutilBefehl, den du ausgeführt hast. Das macht es allen Beteiligten leichter und man muss nicht immer nach Dingen Fragen die selbstverständlich sind!Was ich noch festgestellt hab ist, dass wenn ich CMD -> pkiview ausführe, versucht er auch auf den alten Server zu springen und sagt meine Unternehmens-PKI ist Offline.
Kommt vermutlich durch die CRL Endpunkte. Die Frage habe ich dir bereits gestellt und ist leider unbeantwortet worden. Welche Protokolle kommen bei euch zum Einsatz und wie sin die jeweiligen Pfade konfiguriert?Hast du die Möglichkeit ihn mal zu interviewen? Evtl. kennt er den Fehler und hat einen entscheidenden Tip.
Wo fange ich da an? Ich kenne deine Umgebung nicht, wissen nach wie vor nicht so ganz an welche Best Practises du dich gehalten hast (Installation, Konfiguration und Betrieb), was du wie umgestellt hast, etc. Das ist eine teure Zeitverschwendung, die keinen weiter bringen wird. Weil es mit dem Informationsstand zu viele Unbekannte und Fragen gibt.Gruß,
Dani
Hallo
hast Du die Antworten oben nicht gelesen? Die CA kommt niemals-nie auf einen DC! Ausser - Du stehst auf harte Sachen.
Grüße
lcer
Zitat von @Alchemy:
- Das Problem wäre vermutlich in 30min gelöst in dem man die CA deinstalliert, auf dem neuen zweiten DC installiert und das Zertifikat einfach neu ausstellt
- Das Problem wäre vermutlich in 30min gelöst in dem man die CA deinstalliert, auf dem neuen zweiten DC installiert und das Zertifikat einfach neu ausstellt
hast Du die Antworten oben nicht gelesen? Die CA kommt niemals-nie auf einen DC! Ausser - Du stehst auf harte Sachen.
Grüße
lcer
Zitat von @lcer00:
Hallo,
mit "certutil -ADCA" kannst Du Dir die im AD hinterlegten Zertifizierungsstellen anzeigen lassen. Wenn da eine steht, die es nicht mehr gibt, musst Du die Einträge mittels ADSI suchen, finden und löschen.
Grüße
lcer
Hallo,
mit "certutil -ADCA" kannst Du Dir die im AD hinterlegten Zertifizierungsstellen anzeigen lassen. Wenn da eine steht, die es nicht mehr gibt, musst Du die Einträge mittels ADSI suchen, finden und löschen.
Grüße
lcer
Oder diese, bei Umzug, ggf korrigieren falls die auf den alten Server zeigen.