Eigene CA: Serverzertifikat auf DC abgelaufen

Mitglied: peakfinder

peakfinder (Level 1) - Jetzt verbinden

04.05.2021 um 17:45 Uhr, 546 Aufrufe, 5 Kommentare

Hallo,

ich betreibe eine CA und über die Gruppenrichtlinien lassen sich alle Rechner ein Clientauthentifizierungszertifikat von der CA ausstellen und erneuern dieses auch bei Ablauf.
Nur die DC erneuern das nicht und es lässt sich auch nicht manuell erneuern. Das ist auch kein Problem, da das Zertifikat nicht benötigt wird. Andere Zertifikate bspw. das Zertifikat für Kerberos können jedoch erneuert werden.

Nun zur meiner Frage: Warum kann ein DC sein Computer-Zertifikat (das ausgestellt wurde, als dieser noch Member-Server war) nicht erneuern?
Hintergrund: Ich versuche das genauer zu verstehen?
Mitglied: lcer00
LÖSUNG 04.05.2021 um 19:53 Uhr
Hallo,

Du musst einmal schauen, ob die Gruppenrichtline zur Registrierungsrichtline auch für die DCs gilt. Weiterhin muss die Zertifikatsvorlage unter Sicherheit für die DCs mit Automatisch Registrieren erlaubt werden. Domänencontroller sind keine Domänencomputer. Dann sollte es Klappen.

Grüße

lcer
Bitte warten ..
Mitglied: RalphT
LÖSUNG 05.05.2021 um 08:08 Uhr
Ja das war auch gerade mein Gedanke. Hat der DC selber auch das Recht dazu? Das müsstest du mal überprüfen.
Bitte warten ..
Mitglied: peakfinder
05.05.2021 um 10:01 Uhr
Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
Bitte warten ..
Mitglied: lcer00
LÖSUNG 05.05.2021 um 10:26 Uhr
Hallo,
Zitat von @peakfinder:

Ja, diese Gruppenrichtlinie wird auch auf die DC angewandt und die Einstellungen werden von der DDCP auch nicht blockiert oder überschrieben.
Zumal die DC die anderen Zertifikate der CA erneuern.
schön, und die Zerifikatsvorlage? sind die Berechtigungen für "Automatisch Registrieren" korrekt? Welche Zertifikatsvorlage ist denn überhaupt für die DCs aktiviert?

Grüße

lcer
Bitte warten ..
Mitglied: peakfinder
05.05.2021, aktualisiert um 14:25 Uhr
Hallo,

ja richtig, die Zertifikatsvorlage Computer ist nur zum "Registrieren" von Domänencomputern aktiviert. Daher wird also das Zertifikat nicht erneuert.
Da jeder DC zunächst erstmal ein Domänencomputer war bevor er hochgestuft wurde, hat er ein Computerzertifikat welches dann irgendwann ausläuft.

Danke für die Hilfe
Bitte warten ..
Heiß diskutierte Inhalte
Hyper-V
Spricht was gegen die Virtualisierung mit Hyper-V?
bauinformatikerVor 1 TagFrageHyper-V32 Kommentare

Seit 10 Jahren betreiben mein Kollege und ich 2 Hosts mit ESXi. Nun sollen die neu beschafft und neu installiert werden. Bis auf einen ...

Off Topic
Vom IT-Systemelektroniker zurück zur "IT"
xsheynVor 1 TagFrageOff Topic8 Kommentare

Schönen guten Abend, vor einigen Wochen hatte ich schonmal einen Thread erstellt, dass ich IT-Systemelektroniker bin aber kaum Erfahrung in der "Typischen IT" habe. ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Video & Streaming
Netzwerkspeicher IPTV
uridium69Vor 1 TagFrageVideo & Streaming8 Kommentare

Hallo Ich möchte gerne meine beiden Android IPTV Receiver das NAS als Netzwerkspeicher und als Aufnahmemedium hinzufügen, ich habe unter den Optionen "Netzwerkspeicher hinzufügen" ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 22 StundenFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Outlook & Mail
Outlook export to PST schlägt fehl - Alternativen?
gelöst StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, ich versuche gerade ca. 20 Postfächer von einem Hosted Exchange-Anbieter in PST-Dateien zu sichern/archivieren. Bei 3 Postfächer schläft dies mit "unbekannter Fehler" fehl. ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 21 StundenFrageNetzwerke8 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...