alchemy
Goto Top

CA zeigt nach Umzug auf alten Server

Hallo Community,

ich habe das Problem, dass nach einem CA Umzug der Exchangeserver und die DCs die CA zwar finden, aber auf dem alten Server suchen.

Ausgangssituation:

vSphere ESXi Cluster 7.0
Domäne 2016, mit Servern 2016 und 1019
2x DC 2019, Exchange 2016, div. APP und Fileserver

Was wurde geändert:

Einer der DCs (DC-01) hat keine Windowsupdates mehr eingespielt, Domäne war aber gesund
Um das Problem zu lösen wurde der defekte DC heruntergestuft, unter gleicher IP aber mit neuem Namen (DC-03) eine neue Windows 2019 Maschine installiert.

Problemkind CA

Auf dem defekten DC-01 lief eine CA, die natürlich vor der Operation runter musste. Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.

- Sicherung der CA und Registry
- Deinstallation auf alten Server, Installation auf neuem Server
- Sicherung zurückgespielt
- Unter Standort und Dienste bei Public Key Services ist der DC-02 aufgetaucht, der DC-01 wurde bereinigt
- In der CA selbst konnte man nach dem Umzug auf die Vorlagen nicht zugreifen, deswegen wurde das Root CA neu generiert, danach ging das auch

Der Fehler:

Nachdem alles lief und auch das CA Zertifikat des Exchange für die ECP gemeint haben, dass es ihm gut geht und der Pfad stimmt, musste nach einiger Zeit das Zertifikat nun verlängert werden. Also rechte Maustaste, erneuern. Dort findet der IIS des Exchange zwar die CA, Computer zeigt aber immer noch auf DC-01, nicht auf DC-02 wo die CA jetzt liegt. Manuelles ändern des Servers in der Eingabezeile lässt das Zertifikat dann aber verlängern und alles ist wieder grün.

In den Ereignislogs der DCs habe ich jetzt aber auch Fehlermeldungen, dass die Zertifikatsregistrierung für ein Zertifikat "DomainController" nicht klappt, weil die CA unter DC-01 nicht erreichbar ist.

Ich finde nicht den Eintrag, wo in der Domäne die falsche Information hinterlegt sind die sich hier immer wieder gezogen wird. Auch über die Microsoft Anleitungen über ADSIEdit komme ich auch nur zu den gleichen Infos die schon unter Standort und Dienste passen. In der Registry der neuen CA auf DC-02 habe ich noch Einträge von DC-01 gefunden und korrigiert, vermutlich durch den Import der Werte beim Umzug.

Ich bitte um Anregungen, was ich hier falsch gemacht habe. Kann ja nicht der Erste sein der ne CA umzieht und so einen Fehler hat. Die Anleitung ist eigentlich auch recht eindeutig was zu tun ist.

Danke an alle fürs lesen.

Celle

Content-ID: 8556844690

Url: https://administrator.de/forum/ca-zeigt-nach-umzug-auf-alten-server-8556844690.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 29.10.2023 um 14:58:19 Uhr
Goto Top
Moin,

ich nehme einfach mal an dass es nicht der einzige DC gewesen ist. Ansonsten hättest du deine Domäne verloren.

Der Name deiner CA wird noch so lauten wie der alte Server. Das lässt sich wahrscheinlich auch nicht ändern und führt hier bei dir zur Verwirrung. Wenn dem Export und Import Guide korrekt gefolgt bist, sollte das auch alles nur ein Schönheitsfehler sein.

Gruß
Spirit
lcer00
lcer00 29.10.2023 um 17:00:12 Uhr
Goto Top
Hallo,

durchforste mal das DNS nach irgendwelchen Verweisen auf den alten DC - und zwar in allen Unterordnern! Wenn da noch etwas vom alten DC steht, musst Du nochmal mit ADSI schauen, welche Reste da noch rumlungern.


Grüße

lcer
Dani
Dani 29.10.2023 aktualisiert um 22:38:15 Uhr
Goto Top
Moin,
Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
warum machst du den selben Fehler gleich nochmals? Auf einem DC hat auch eine CA nichts zu suchen. Die CA auf eine dedizierte VM packen und gut ist. Du hättest sogar den bisherigen Servernamen der VM geben können...

Also wurde die CA nach Anleitung von MS auf den bestehenden DC-02 umgezogen.
Bitte poste den Link.

In der CA selbst konnte man nach dem Umzug auf die Vorlagen nicht zugreifen, deswegen wurde das Root CA neu generiert, danach ging das auch
Die Vorlagen aus der Sicherung zeigen vermutlich auf den alten Server. Eine Neu Registrierung der Vorlagen hätte vermutlich ausgereicht. Weil mit einem neuen Zertifikat der CA hast du automatisch eine Portion an Mehrarbeit.

In den Ereignislogs der DCs habe ich jetzt aber auch Fehlermeldungen, dass die Zertifikatsregistrierung für ein Zertifikat "DomainController" nicht klappt, weil die CA unter DC-01 nicht erreichbar ist.
Wurde das abgelaufene Zertifikat noch mit einer Vorlage der alten CA ausgestellt?

By the way: Was hast du eigentlich mit dem CRL Entpoints gemacht? Weil die werden sicherlich auch den alten Servernamen beinhalten und damit auch ins Leere zeigen.

Ich bitte um Anregungen, was ich hier falsch gemacht habe. Kann ja nicht der Erste sein der ne CA umzieht und so einen Fehler hat. Die Anleitung ist eigentlich auch recht eindeutig was zu tun ist.
Das ist aus der Ferne immer schwierig. Weil du auch nicht einen Link zu den verwendeten Doku und/oder Anleitungen gepostet hast.

Kollegen haben vor kurzem 10 CAs auf Windows Server 2019 umgezogen. War innerhalb von 3 Tagen erledigt. Allerdings machen die Kollegen auch nichts anderes außer sich mit CAs zu beschäftigen. Grundsätzlich ist das alles kein Hexenwerk, wenn man weiß was man tut und bei der initialen Einrichtung ein paar Gedanken und Rahmenbedingungen beachtet. Dazu muss man eine CA wie ein Domain Controller, DNS-Server, etc. behandeln. Sprich Zeit, Wissen, Planungen, etc. aufwenden.


Gruß,
Dani
Alchemy
Alchemy 30.10.2023 um 10:19:40 Uhr
Goto Top
Hallo an alle

ich nehme einfach mal an dass es nicht der einzige DC gewesen ist. Ansonsten hättest du deine Domäne verloren.
Das hatte ich so beschrieben

Der Name deiner CA wird noch so lauten wie der alte Server.
Der Name ist natürlich noch gleich nach einem Umzug, aber die CA wurde damals schon so angelegt, dass sie serverneutral heißt.

durchforste mal das DNS nach irgendwelchen Verweisen auf den alten DC
Das ist passiert

warum machst du den selben Fehler gleich nochmals?
Kleinumgebung, Lizenzmangel, Wirtschaftskriese

Bitte poste den Link.
https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/m ...

Eigentlich dachte ich, dass ich der Anleitung hier sauber gefolgt bin, bin mir aber nicht mehr 100% sicher. Das ist nun auch wieder Monate her. Ich vermute ich hab in der Umstzung irgend eine Anpassung verpasst.

Was ich noch festgestellt hab ist, dass wenn ich CMD -> pkiview ausführe, versucht er auch auf den alten Server zu springen und sagt meine Unternehmens-PKI ist Offline. Wenn ich mich dort manuell auf den neuen Server verbinde, ist sie zu erreichen und ihr gehts gut. Das schließt (erstmal) Fehler in den Zertifikatsvorlagen und co aus, sondern deutet auf ein grundsätzliches Problem hin.

Allerdings machen die Kollegen auch nichts anderes außer sich mit CAs zu beschäftigen
Hast du die Möglichkeit ihn mal zu interviewen? Evtl. kennt er den Fehler und hat einen entscheidenden Tip.

Danke an alle die mithelfen.

Celle

PS:
Sprich Zeit, Wissen, Planungen, etc. aufwenden
Ja, die Aktion war ein Schnellschuss und nicht sehr schlau damals. Es ging um Hop/ Top eines lange geplanten Termins und die CA wurde dabei völlig vergessen. Deshalb wurde sie mit gefährlichem Halbwissen umgezogen.

Anleitungen wie diese vermitteln einem auch den Eindruck, dass es so schwer nicht sein kann.
https://www.windowspro.de/brandon-lee/active-directory-zertifikatdienste ...
Alchemy
Alchemy 30.10.2023 aktualisiert um 11:26:51 Uhr
Goto Top
Noch ein Nachtrag und wir kommen dem Übeltäter näher:

Beim Ausführen von certutil habe ich 2 Einträge mit gleichem CA Name, wobei Eintrag 0 auf den alten Server deutet und Eintrag 1 auf den Neuen.
Dani
Dani 30.10.2023 aktualisiert um 19:33:55 Uhr
Goto Top
Moin,
Kleinumgebung, Lizenzmangel, Wirtschaftskriese
Soso... ich will nicht wissen, wie viel Zeit du und evtl. auch andere bereits investiert haben. Rechnet man noch die Zeit der Forenteilnehmer, mit Lesen verbracht haben dazu, wäre die Lizenz vermutlich schon für 10 Jahre bezahlt. face-sad Wer eine CA haben möchte, muss auch investieren - Punkt!

Beim Ausführen von certutil habe ich 2 Einträge mit gleichem CA Name, wobei Eintrag 0 auf den alten Server deutet und Eintrag 1 auf den Neuen.
wenn du wirklich das Zertifikat der CA neu erstellt hast (die Frage hast du uns auch noch nicht beantwortet), ist das Verhalten normal und auch gewollt. Poste doch bitte immer den vollständigen certutilBefehl, den du ausgeführt hast. Das macht es allen Beteiligten leichter und man muss nicht immer nach Dingen Fragen die selbstverständlich sind!

Was ich noch festgestellt hab ist, dass wenn ich CMD -> pkiview ausführe, versucht er auch auf den alten Server zu springen und sagt meine Unternehmens-PKI ist Offline.
Kommt vermutlich durch die CRL Endpunkte. Die Frage habe ich dir bereits gestellt und ist leider unbeantwortet worden. Welche Protokolle kommen bei euch zum Einsatz und wie sin die jeweiligen Pfade konfiguriert?

Hast du die Möglichkeit ihn mal zu interviewen? Evtl. kennt er den Fehler und hat einen entscheidenden Tip.
Wo fange ich da an? Ich kenne deine Umgebung nicht, wissen nach wie vor nicht so ganz an welche Best Practises du dich gehalten hast (Installation, Konfiguration und Betrieb), was du wie umgestellt hast, etc. Das ist eine teure Zeitverschwendung, die keinen weiter bringen wird. Weil es mit dem Informationsstand zu viele Unbekannte und Fragen gibt.


Gruß,
Dani
Alchemy
Alchemy 03.11.2023 aktualisiert um 09:40:47 Uhr
Goto Top
Hallo,

entschuldigt die späte Antwort.

Dann holen wir einmal etwas weiter aus:

- Die CA ist im Fall dieser Umgebung nur für ein Zertifikat da und zwar das der ECP des Exchange
- Das Problem wäre vermutlich in 30min gelöst in dem man die CA deinstalliert, auf dem neuen zweiten DC installiert und das Zertifikat einfach neu ausstellt
- Ich würde gern mehr lernen über die Funktionen einer CA und wo mein Fehler im Umzug lag. Bei anderen Systemen hat es problemlos geklappt mit der verlinkten Anleitung.

Zum technischen:

Poste doch bitte immer den vollständigen certutilBefehl, den du ausgeführt hast
Ich bin in die GUI der CA gegangen und über Alle Aufgaben, Zertifizierungstellenzertifikat erneuern das Root CA erneuert

Welche Protokolle kommen bei euch zum Einsatz und wie sin die jeweiligen Pfade konfiguriert?
Ich weiß nicht was du mit Protokollen meinst, aber als Vorlage kommt Webserver zum Einsatz

Kommt vermutlich durch die CRL Endpunkte.
Wenn ich in das Zertifikat der ECP reinschaue, welches ich an der umgezogenen CA unter manueller Angabe des richtigen Server erneuert habe, dann steht da der richtige Server als Sperrlisten Verteilerpunkt. Möchte ich das nun wieder erneuern, schlägt er mir wieder den alten Server vor.

Welche Protokolle kommen bei euch zum Einsatz und wie sin die jeweiligen Pfade konfiguriert?
Hier kommme ich nicht weiter wo ich die Informationen auslesen kann. Evtl. kannst du mir da helfen.

MfG Celle
lcer00
lcer00 03.11.2023 um 11:10:04 Uhr
Goto Top
Hallo
Zitat von @Alchemy:

- Das Problem wäre vermutlich in 30min gelöst in dem man die CA deinstalliert, auf dem neuen zweiten DC installiert und das Zertifikat einfach neu ausstellt

hast Du die Antworten oben nicht gelesen? Die CA kommt niemals-nie auf einen DC! Ausser - Du stehst auf harte Sachen.

Grüße

lcer
Alchemy
Alchemy 03.11.2023 aktualisiert um 12:55:05 Uhr
Goto Top
hast Du die Antworten oben nicht gelesen? Die CA kommt niemals-nie auf einen DC! Ausser - Du stehst auf harte Sachen.

Dann streicht bitte die Aussage, die war eh nur hypothetischer Natur. Ich hab verstanden, dass eine CA auf einem DC nicht empfohlen ist. Das war es schon zu 2003 Zeiten nicht und trotzdem hat MS mehrfach den SBS Server herausgebracht wo von Haus aus alles auf einer Kiste war. Darüber können wir gern separat philosophieren, trägt hier aber nicht zur Lösung bei.

Ich möchte doch nur wissen wo beispielsweise der "pkiview" Befehl seine Informationen her bekommt, da in dieser der Trägerserver der CA fehlerhaft ausgegeben wird.

Der Rest der CA funktioniert ja (augenscheinlich) ordentlich. Die Zertzifikate sind alle gültig, die Ketten sind gültig, ausstellen von Zertifikaten funktioniert, auch das verlängern. Nur die Information des Servers auf dem die CA läuft ist irgendwo falsch hinterlegt.
lcer00
lcer00 03.11.2023 um 13:03:44 Uhr
Goto Top
Hallo,

mit "certutil -ADCA" kannst Du Dir die im AD hinterlegten Zertifizierungsstellen anzeigen lassen. Wenn da eine steht, die es nicht mehr gibt, musst Du die Einträge mittels ADSI suchen, finden und löschen.

Grüße

lcer
Alchemy
Alchemy 03.11.2023 um 13:11:38 Uhr
Goto Top
In den Eigenschaften der CA unter Erweiterungen stehen die Pfade der Sperrlisten drin. Beide Einträge sind identisch mit denen einer funktionierenden CA. Der LDAP Eintrag zeigt auf Konfiguration/services/PKS/CDP und dort auf den hinterlegten Server. Der Eintrag ist aber richtig und beinhaltet den neuen Server.
Spirit-of-Eli
Spirit-of-Eli 03.11.2023 um 13:17:37 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

mit "certutil -ADCA" kannst Du Dir die im AD hinterlegten Zertifizierungsstellen anzeigen lassen. Wenn da eine steht, die es nicht mehr gibt, musst Du die Einträge mittels ADSI suchen, finden und löschen.

Grüße

lcer

Oder diese, bei Umzug, ggf korrigieren falls die auf den alten Server zeigen.
Alchemy
Alchemy 03.11.2023 um 13:18:05 Uhr
Goto Top
mit "certutil -ADCA" kannst Du Dir die im AD hinterlegten Zertifizierungsstellen anzeigen lassen.

Danke! Das hilft weiter.

Es wird nur eine CA angezeigt, es stimmen auch alle Werte, ABER der Eintrag dNSHostName zeigt falsch.
Alchemy
Lösung Alchemy 03.11.2023 um 13:33:00 Uhr
Goto Top
adsiedit.msc

Konfiguration/CN=Configuration,CN=services,CN=Public Key Services, CN=Enrollment Services, CN="CA Name"

Hier war der dNSHostName noch der alte Server.

Jetzt funktioniert der pkiview Befehl auch wieder. Ich starte am WE mal alle Server durch und schaue ob sich der Exchange jetzt auch die richtigen Werte holt.

Danke an alle die geholfen haben!