Eigene CA: Serverzertifikat auf DC abgelaufen

Mitglied: peakfinder

peakfinder (Level 1) - Jetzt verbinden

04.05.2021 um 17:45 Uhr, 560 Aufrufe, 5 Kommentare

Hallo,

ich betreibe eine CA und über die Gruppenrichtlinien lassen sich alle Rechner ein Clientauthentifizierungszertifikat von der CA ausstellen und erneuern dieses auch bei Ablauf.
Nur die DC erneuern das nicht und es lässt sich auch nicht manuell erneuern. Das ist auch kein Problem, da das Zertifikat nicht benötigt wird. Andere Zertifikate bspw. das Zertifikat für Kerberos können jedoch erneuert werden.

Nun zur meiner Frage: Warum kann ein DC sein Computer-Zertifikat (das ausgestellt wurde, als dieser noch Member-Server war) nicht erneuern?
Hintergrund: Ich versuche das genauer zu verstehen?
Mitglied: lcer00
LÖSUNG 04.05.2021 um 19:53 Uhr
Hallo,

Du musst einmal schauen, ob die Gruppenrichtline zur Registrierungsrichtline auch für die DCs gilt. Weiterhin muss die Zertifikatsvorlage unter Sicherheit für die DCs mit Automatisch Registrieren erlaubt werden. Domänencontroller sind keine Domänencomputer. Dann sollte es Klappen.

Grüße

lcer
Bitte warten ..
Mitglied: RalphT
LÖSUNG 05.05.2021 um 08:08 Uhr
Ja das war auch gerade mein Gedanke. Hat der DC selber auch das Recht dazu? Das müsstest du mal überprüfen.
Bitte warten ..
Mitglied: peakfinder
05.05.2021 um 10:01 Uhr
Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
Bitte warten ..
Mitglied: lcer00
LÖSUNG 05.05.2021 um 10:26 Uhr
Hallo,
Zitat von @peakfinder:

Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
schön, und die Zerifikatsvorlage? sind die Berechtigungen für "Automatisch Registrieren" korrekt? Welche Zertifikatsvorlage ist denn überhaupt für die DCs aktiviert?

Grüße

lcer
Bitte warten ..
Mitglied: peakfinder
05.05.2021, aktualisiert um 14:25 Uhr
Hallo,

ja richtig, die Zertifikatsvorlage Computer ist nur zum "Registrieren" von Domänencomputern aktiviert. Daher wird also das Zertifikat nicht erneuert.
Da jeder DC zunächst erstmal ein Domänencomputer war bevor er hochgestuft wurde, hat er ein Computerzertifikat welches dann irgendwann ausläuft.

Danke für die Hilfe
Bitte warten ..
Heiß diskutierte Inhalte
Linux Netzwerk
NAS läßt sich unter Ubuntu-Server nicht anpingen, unter Windows jedoch schon?!
dr.zetoVor 1 TagFrageLinux Netzwerk52 Kommentare

Hallo, ich habe das Problem, dass ich eine Synology-NAS unter einem Ubuntu-Server nicht pingen kann. Unter einem Windows-Client jedoch wird der Ping beantwortet. Hierzu ...

CPU, RAM, Mainboards
Wohin geht die Zukunft?
cramtroniVor 1 TagFrageCPU, RAM, Mainboards6 Kommentare

Guten Tag zusammen, wir sind gerade dabei, uns eine neue IT-Infrastruktur anzuschaffen, bisher haben wir 2 physische Server, auf denen unsere 9 virtuellen Server ...

Netzwerke
Suche aktuelle Fernwartungsmöglichkeiten ab 2021?
watchdog76Vor 22 StundenFrageNetzwerke9 Kommentare

Hallo, das ist für viele vermutlich ein uraltes Thema und es gibt schon viele alte Threads, weshalb ich trotzdem einen eneue Thread geschrieben habe. ...

Batch & Shell
Accounts nach 6 Monaten löschen
lordofremixesVor 14 StundenFrageBatch & Shell6 Kommentare

Hallo Freunde der Sonne, tatsächlich bin ich jetzt kein ITler mehr, sondern so ein IT Datenschutztyp ITler. Muss leider die Kunden immer darauf hinweisen, ...

Multimedia & Zubehör
Suche Handy im Hallen und Außenbereich
gelöst favoriten-listeVor 1 TagFrageMultimedia & Zubehör6 Kommentare

Hallo Für die Produktion suchen wir aktuell Handy. Es reicht ein normales Tasten Telefon. ( Es muss kein Smartphone sein! ) Es sollte Robust ...

Netzwerke
DHCP IP passt nicht zu MAC-Adresse
KirschiVor 10 StundenFrageNetzwerke16 Kommentare

Hallo zusammen, wir haben einen Drucker dem die feste IP 192.168.0.10 per DHCP zugewiesen wird. Ebenso existiert ein PC, der die IP 192.168.0.19 auf ...

Server-Hardware
10" Server - für Netzwerkschrank
snop123Vor 23 StundenFrageServer-Hardware9 Kommentare

Hallo, im Bereich der Heimnetzwerk setzen sich immer mehr 10" Zoll Netzwerkschränke durch. Ich möchte hier keine Diskussion für das für und wider im ...

Netzwerkprotokolle
OPNVPN Docker Problem, kein Zugriff auf Fritzbox
gelöst Linuxuser27Vor 1 TagFrageNetzwerkprotokolle24 Kommentare

Hallo an alle VPN Experten, ich versuche gerade ein OpenVPN Docker unter meinem Unraid aufzusetzen. Erste Verbindung hat auch soweit funktioniert, allerdings bekomme ich ...