Domain Controller holt sich ständig neue DC Zertifikate von der CA, wieso?
Hallo Leute,
ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.
wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen
Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
ich hab ein bestehende Infrastuktur übernommen und da mal ein bissl aufgeräumt und geradegezogen.
Kurz zum Aufbau: eine Domäne (W2k3/W2k), 3 DCs, 1 CA, 1 Exch2k3.
Eins ist merkwürdig, ein DC holt sich sehr häufig von der CA neue Zertifikate (DC Zert. Template). In 3 Tagen schon 12Stück (1.Tag 7stk, 2.Tag 3stk, 3.Tag 2stk) Dieser DC ist nur Global Catalog.
wozu brauch der so viele Zertifikate? eins würde doch reichen um Client Authentifiz. zu machen
Wo könnte das konfiguriert sein dass der sich zertifikate holt? Komischer weise holen die anderen 2 DCs keine Zertfikate.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 60720
Url: https://administrator.de/forum/domain-controller-holt-sich-staendig-neue-dc-zertifikate-von-der-ca-wieso-60720.html
Ausgedruckt am: 23.12.2024 um 20:12 Uhr
7 Kommentare
Neuester Kommentar
Ich kann nur raten, aber untersuche doch mal folgende Fragen. Evtl. fällt dir dabei selber auf was los ist oder du postest noch ein paar mehr Details.
1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?
2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.
Gruß Rafiki
1) Auf der CA: Zu welchem Zweck holt sich der DC das Zertifikat und welches template wird dafür verwendet? Ist es ein Zertifikat für einen Benutzer, Web Server oder eine Sub-CA? In der CA sieht man die ausgestellten Zertifikate und welches Template dafür verwendet wurde. Wie lange ist das ausgestellte Zertifikat gültig (Stunden oder ein Jahr)?
Wer holt sich das Zertifikat (ein Dienst, Benutzer, oder Computer / Systemkonto)?
2) Auf dem DC: Nachsehen ob die Zertifikate auch wirklich in Zertifikatsspeicher angekommen sind. Wenn das nicht der Fall sein sollte liegt wahrscheinlich ein Berechtigungsproblem mit dem Systemkonto vor.
Auf dem DC mal das Eventlog prüfen, zu exakt der Zeit wenn das Zertifikat angefordert wird. Die Betreffenden Events bei www.eventid.net nachlesen.
Gruß Rafiki
na toll. 6000 Zertifikate. Verkauf doch ein paar bei ebay, evtl steigt der Kurs noch
Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.
Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.
Gruß Rafiki
Schön wenn die automatik funktioniert und der DC sich selber bedient und dann das Zert. auch bekommt. Wenn etwas Probleme bereitet dann ist es häufig, dass ein Zertifikat ausgestellt wird aber es dann bei dem Computer nicht ankommt. Da du schon so viele gesammelt hast fragt sich eigentlich nur warum der DC immer noch eines haben möchte.
Prüfe mal die Eigenschaften von einem der aktuellen Zertifikate. Ist eine Certificate Revoke Liste (was auch immer das auf deusch ist -> sperrliste?) eingetragen und ist diese auch erreichbar?
Das Zertifikat wird von der CA signiert. Akzeptert der DC auch dieses "höhere" Zertifikat? Wenn nicht dann das Stammzertifikat der CA exportieren (ohne private key!) und in den DC laden.
Gruß Rafiki