albertminrich
Goto Top

Domänen CA Logging für Autoenrollment

Hallo,

wir haben eine Windows Domäne mit einer Domänen-CA. Zertifikatsserver ist ein Windows Server 2016.
Das funktioniert auch alles ganz gut. Zertifikate manuell registrieren, Autoenrollment auch.
Nur wenn es mal hakt, vor allem beim Autoenrollment, wo sehe ich, woran es hakt, wo wird geloggt?

Ich lese immer wieder, z.B. auch hier https://www.gradenegger.eu/en/troubleshooting-for-automatic-certificate- ... von einem Eventlog namens Microsoft-Windows-CertificateServicesClient-AutoEnrollment.
Das gibt es aber bei meinem Client nicht. Ich hab nur:
  • CertificateServicesClient-CredentialRoaming
  • CertificateServicesClient-Lifecycle-System
  • CertificateServicesClient-Lifecycle-User
  • CertPolEng

Danke
Martin

Content-Key: 91905085533

Url: https://administrator.de/contentid/91905085533

Printed on: February 29, 2024 at 21:02 o'clock

Member: Dani
Dani Feb 12, 2024 at 21:18:07 (UTC)
Goto Top
Moin,
Das gibt es aber bei meinem Client nicht. Ich hab nur:
hast du das Log Level auf 4 gesetzt?!


Gruß,
Dani
Member: DerWoWusste
DerWoWusste Feb 13, 2024 at 10:11:35 (UTC)
Goto Top
und beachte bitte auch, was dein Link ansagt, wohin geloggt wird. Das ist kein separates Log, sondern das Application Event Log:
---
The following command line command can be used to activate logging for both the user and the system context (all events of the types "Error", "Warning" and "Information" are output):

certutil -setreg Enroll\LogLevel 4
The changes become active directly without a new login or restart.

A certificate request can then be triggered. Corresponding events should now be found in the application event log.
---
Member: AlbertMinrich
AlbertMinrich Feb 20, 2024 at 18:57:05 (UTC)
Goto Top
Ja, das Log Level hatte ich auf 4 gesetzt.
Im Application Log hatte ich auch geschaut, auch da kann ich nichts finden zu Autoenreollment-Aktionen.

Gruß
Martin
Member: DerWoWusste
DerWoWusste Feb 20, 2024 at 19:47:07 (UTC)
Goto Top
Ich schaue es mir morgen mal bei uns an.
Member: DerWoWusste
DerWoWusste Feb 21, 2024 updated at 08:19:51 (UTC)
Goto Top
Hier auf Win10 22H2 tut es, was es soll:

elevated command prompt am Client:
certutil -setreg Enroll\LogLevel 4

Dann als normaler User cmd geöffnet,
certutil -user -pulse 
ausgeführt und den Zertifikatswizard angestartet (es gab bei diesem Nutzer auch etwas zu auto-enrollen) und schon bei der 2. Seite des Wizards, wo die Cert-Templates angezeigt werden, wird das Log beschrieben mit Event 1,64,65,4,58 alle aus dem Bereich Certificate Services-CertEnroll.