albertminrich
Goto Top

Domänen CA Logging für Autoenrollment

Hallo,

wir haben eine Windows Domäne mit einer Domänen-CA. Zertifikatsserver ist ein Windows Server 2016.
Das funktioniert auch alles ganz gut. Zertifikate manuell registrieren, Autoenrollment auch.
Nur wenn es mal hakt, vor allem beim Autoenrollment, wo sehe ich, woran es hakt, wo wird geloggt?

Ich lese immer wieder, z.B. auch hier https://www.gradenegger.eu/en/troubleshooting-for-automatic-certificate- ... von einem Eventlog namens Microsoft-Windows-CertificateServicesClient-AutoEnrollment.
Das gibt es aber bei meinem Client nicht. Ich hab nur:
  • CertificateServicesClient-CredentialRoaming
  • CertificateServicesClient-Lifecycle-System
  • CertificateServicesClient-Lifecycle-User
  • CertPolEng

Danke
Martin

Content-ID: 91905085533

Url: https://administrator.de/forum/domaenen-ca-logging-fuer-autoenrollment-91905085533.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Dani
Dani 12.02.2024 um 22:18:07 Uhr
Goto Top
Moin,
Das gibt es aber bei meinem Client nicht. Ich hab nur:
hast du das Log Level auf 4 gesetzt?!


Gruß,
Dani
DerWoWusste
DerWoWusste 13.02.2024 um 11:11:35 Uhr
Goto Top
und beachte bitte auch, was dein Link ansagt, wohin geloggt wird. Das ist kein separates Log, sondern das Application Event Log:
---
The following command line command can be used to activate logging for both the user and the system context (all events of the types "Error", "Warning" and "Information" are output):

certutil -setreg Enroll\LogLevel 4
The changes become active directly without a new login or restart.

A certificate request can then be triggered. Corresponding events should now be found in the application event log.
---
AlbertMinrich
AlbertMinrich 20.02.2024 um 19:57:05 Uhr
Goto Top
Ja, das Log Level hatte ich auf 4 gesetzt.
Im Application Log hatte ich auch geschaut, auch da kann ich nichts finden zu Autoenreollment-Aktionen.

Gruß
Martin
DerWoWusste
DerWoWusste 20.02.2024 um 20:47:07 Uhr
Goto Top
Ich schaue es mir morgen mal bei uns an.
DerWoWusste
DerWoWusste 21.02.2024 aktualisiert um 09:19:51 Uhr
Goto Top
Hier auf Win10 22H2 tut es, was es soll:

elevated command prompt am Client:
certutil -setreg Enroll\LogLevel 4

Dann als normaler User cmd geöffnet,
certutil -user -pulse 
ausgeführt und den Zertifikatswizard angestartet (es gab bei diesem Nutzer auch etwas zu auto-enrollen) und schon bei der 2. Seite des Wizards, wo die Cert-Templates angezeigt werden, wird das Log beschrieben mit Event 1,64,65,4,58 alle aus dem Bereich Certificate Services-CertEnroll.