10
Event 20 KDC Fehler
Hallo!
Habe auf meinem DC Win2003 Server in der Ereignisanzeige
Quelle: KDC
Event: 20
Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der öffentlichen Schlüsselinfrastruktur der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten.
Zur Info:
Wir haben erst vor kurzem einen Domaincontroller weggenommen!?
Hab auch schon gegoogelt und nur was gefunden das man die alten Zertifikatet löschen soll mit dem Befehl
certutil -dcinfo deleteBad
Hat jemand von euch das schon mal ausprobiert!?
MFG
Habe auf meinem DC Win2003 Server in der Ereignisanzeige
Quelle: KDC
Event: 20
Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. Die Smartcard-Anmeldung funktioniert vielleicht nicht richtig, wenn dieses Problem nicht behoben wird. Lassen Sie den Systemadministrator den Status der öffentlichen Schlüsselinfrastruktur der Domäne überprüfen. Der Kettenstatus ist in den Fehlerdaten.
Zur Info:
Wir haben erst vor kurzem einen Domaincontroller weggenommen!?
Hab auch schon gegoogelt und nur was gefunden das man die alten Zertifikatet löschen soll mit dem Befehl
certutil -dcinfo deleteBad
Hat jemand von euch das schon mal ausprobiert!?
MFG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 53877
Url: https://administrator.de/contentid/53877
Printed on: April 19, 2024 at 10:04 o'clock
10 Comments
Latest comment
Hi,
schau dich hier mal um:
http://eventid.net/display.asp?eventid=20&eventno=3396&source=K ...
Grüße
Dani
schau dich hier mal um:
http://eventid.net/display.asp?eventid=20&eventno=3396&source=K ...
Grüße
Dani
auf eventid war ich schon! Da hab ich auch das mit dem Befehl certutil -dcinfo deleteBad
her! Weiss nur nicht ob das irgendwelche Konsequenzen für die Domain hat??
her! Weiss nur nicht ob das irgendwelche Konsequenzen für die Domain hat??
Wahrscheinlich war der Domaincontroller, der jetzt nicht mehr erreichbar ist, für die Zertifikate zuständig. Am besten wird es wohl sein die CA- Certificate Authority (sorry alle meine Server sprechen Englisch) auf einem anderen DC einzurichten und die betreffenden Zertifikate durch neue Zertifikate, die von der neuen CA signiert wurden, zu ersetzen.
Gruß Rafiki
Gruß Rafiki
danke! und wie geht das!? hab sowas noch nie eingerichtet!?
Ganz einfach, eine CA installieren in den Komponenten vom Windows Server. Nun könnte ich das ganze Windows Server Handbuch dazu abschreiben, aber schneller geht es wenn du selber liest. Sollte es dann noch detaillierte Fragen geben versuche ich gerne noch zu helfen. Da mir bisher noch keine CA im Betrieb verloren gegangen ist habe ich bisher keine Erfahrung damit.
Gruß Rafiki
Im Microsoft Technet gibt es dazu zwei ausführliche Dokumente.
http://technet2.microsoft.com/windowsserver/en/technologies/featured/ge ...
Implementing and Administering Certificate Templates in Windows Server 2003
Troubleshooting Certificate Status and Revocation
Gruß Rafiki
Im Microsoft Technet gibt es dazu zwei ausführliche Dokumente.
http://technet2.microsoft.com/windowsserver/en/technologies/featured/ge ...
Implementing and Administering Certificate Templates in Windows Server 2003
Troubleshooting Certificate Status and Revocation
So hab mich jetzt noch ein bisschen schlauer gemacht und gelesen das der Fehler auch auftreten kann wenn der CERTSVC_DCOM_ACCESS User nicht existiert!
Und siehe da er existiert bei uns im AD wirklich nicht! Jetzt frage ich natürlich wie ich den User wiederherstellen kann? Oder reicht es wenn ich ihn einfach neu anlege??
Hier der Link zu dem Artikel
http://groups.google.de/group/microsoft.public.de.german.windows.server ...
Und siehe da er existiert bei uns im AD wirklich nicht! Jetzt frage ich natürlich wie ich den User wiederherstellen kann? Oder reicht es wenn ich ihn einfach neu anlege??
Hier der Link zu dem Artikel
http://groups.google.de/group/microsoft.public.de.german.windows.server ...
ausserdem habe ich keine Zertifizierungsstelle in meiner Domain!
evtl. gab es früher mal eine CA. In AD Sites and Services nachsehen:
In den Ordnern AIA bzw. Certificate Authorities ist die für die Domain bzw. das gesammte AD zuständige CA eingetragen.
Wenn keine CA eingetragen ist, oder keine erreichbar ist, dann kann auch kein Zertifikat ausgestellt werden. Wenn keine CA mehr vorhanden ist, dann "einfach" eine neue CA installieren.
Alternativ überlege ich gerade ob es möglich wäre dem DC, der versucht sein Zertifikat zu erneuern, dieses Verhalten abzuschalten.
Gruß Rafiki
Active Directory Sites and Services snap-in, click View, and then click Show Services Mode. This allows you to view the Services folder, which is hidden from view by default.
From the Active Directory Sites and Services snap-in, click Services, click Public Key Services,
http://support.microsoft.com/kb/271861/en-usFrom the Active Directory Sites and Services snap-in, click Services, click Public Key Services,
In den Ordnern AIA bzw. Certificate Authorities ist die für die Domain bzw. das gesammte AD zuständige CA eingetragen.
Wenn keine CA eingetragen ist, oder keine erreichbar ist, dann kann auch kein Zertifikat ausgestellt werden. Wenn keine CA mehr vorhanden ist, dann "einfach" eine neue CA installieren.
Alternativ überlege ich gerade ob es möglich wäre dem DC, der versucht sein Zertifikat zu erneuern, dieses Verhalten abzuschalten.
Gruß Rafiki
eine blöde frage aber zuwas braucht man dieses Zertifikat überhaupt!?
Wär natürlich interessant wie man es deaktivieren kann!?
Wär natürlich interessant wie man es deaktivieren kann!?
der Fehler dürfte mit der W32 Time Synchronisation zusammenhängen!
Seitdem die Zeit Synchronisation am Domaincontroller wieder einwandfrei funktioniert kommt auch der KDC Fehler nicht mehr!
Also wer diesen Fehler hat - einfach mal checken ob die Synchro mit dem Internet Zeitserver funktioniert!
Seitdem die Zeit Synchronisation am Domaincontroller wieder einwandfrei funktioniert kommt auch der KDC Fehler nicht mehr!
Also wer diesen Fehler hat - einfach mal checken ob die Synchro mit dem Internet Zeitserver funktioniert!
