122678
19.06.2015, aktualisiert um 16:25:09 Uhr
2607
6
0
Kein Zugriff auf die PKI
Hallo und guten Morgen,
ich bin neu hier und möchte mich "superkurz" vorstellen. Ich war über 30 Jahre in der IT als Partner-Manager tätig, war allerdings nie tief in die Materie eingebunden, da genügend Unternehmens-Resourcen zur Verfügung stand. In den letzten eineinhalb Jahren habe ich mich mit dem Thema Virtualisierung beschäftigt und mir hier mittlerweile ein recht, für meine Ansprüche, komplexes System "erbaut". Grundsätzlich besteht es aus einem Server (Dell T20, 32GB ECC, Xeon CPU), der mir als Host für diverse VM´s dient (DC, Exchange, PKI, VPN, WSUS, ipFire, Veeam). Des Weiteren dient mir ein HP Mikroserver Gen8 unter N4f mit ZFS1 und 24TB Nettokapazität als NAS, der selbe noch einmal als Backup-Server (der über rsync allmorgendlich das NAS sichert - also auch die veeam-Backups). Als Arbeitsstation dient mir ein iMac, der auch in die Domäne eingebunden ist. Ein Cisco-Switch stellt alle Verbindungen, auch die VLANS zur Verfügung!
Jetzt zu meinem Problem:
Irgendetwas war mit dem PKI-Server passiert, der sich nicht mehr starten lies. Ich stellte ihn per veeam wieder her, nannte ihn dann aber um. Den alten PKI-Server habe ich herunter gefahren.
Auf den wiederhergestellten kann ich nicht zugreifen, da bekomme ich die Meldung:
"Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne kann nicht hergestellt werden"
Jetzt habe ich dazu einiges gelesen. Aber wie soll ich etwas machen können, wenn ich nicht auf die VM zugreifen kann?
Kann mir jemand einen Rat geben, der sich als "best practice" heraus gestellt hat?
DANKE DAFÜR
Oberhausener
ich bin neu hier und möchte mich "superkurz" vorstellen. Ich war über 30 Jahre in der IT als Partner-Manager tätig, war allerdings nie tief in die Materie eingebunden, da genügend Unternehmens-Resourcen zur Verfügung stand. In den letzten eineinhalb Jahren habe ich mich mit dem Thema Virtualisierung beschäftigt und mir hier mittlerweile ein recht, für meine Ansprüche, komplexes System "erbaut". Grundsätzlich besteht es aus einem Server (Dell T20, 32GB ECC, Xeon CPU), der mir als Host für diverse VM´s dient (DC, Exchange, PKI, VPN, WSUS, ipFire, Veeam). Des Weiteren dient mir ein HP Mikroserver Gen8 unter N4f mit ZFS1 und 24TB Nettokapazität als NAS, der selbe noch einmal als Backup-Server (der über rsync allmorgendlich das NAS sichert - also auch die veeam-Backups). Als Arbeitsstation dient mir ein iMac, der auch in die Domäne eingebunden ist. Ein Cisco-Switch stellt alle Verbindungen, auch die VLANS zur Verfügung!
Jetzt zu meinem Problem:
Irgendetwas war mit dem PKI-Server passiert, der sich nicht mehr starten lies. Ich stellte ihn per veeam wieder her, nannte ihn dann aber um. Den alten PKI-Server habe ich herunter gefahren.
Auf den wiederhergestellten kann ich nicht zugreifen, da bekomme ich die Meldung:
"Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne kann nicht hergestellt werden"
Jetzt habe ich dazu einiges gelesen. Aber wie soll ich etwas machen können, wenn ich nicht auf die VM zugreifen kann?
Kann mir jemand einen Rat geben, der sich als "best practice" heraus gestellt hat?
DANKE DAFÜR
Oberhausener
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275023
Url: https://administrator.de/forum/kein-zugriff-auf-die-pki-275023.html
Ausgedruckt am: 26.04.2025 um 21:04 Uhr
6 Kommentare
Neuester Kommentar
... nannte ihn dann aber um
Das überlebt - meines Wissens - die CA nicht."Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne kann nicht hergestellt werden"
Wie alt war das Backup? Hier sollte ein einfaches Aus- und Wiedereintreten in die Domäne helfen.Ich würde Dir raten:
- Die alte VM ausgeschaltet lassen.
- Die VM nocheinmal wiederherstellen.
- Hochfahren, mit lokalem Admin anmelden und Domänenbeitritt wiederholen.
E.
Hallo @emeriks,
erst einmal vielen Danke für Deine Hilfe. Das die CA Schaden genommen hat, dass kann ich mir vorstellen. Aber die Frage, die ich mir stelle ist, wie sich das "nicht funktionieren" der CA wann bemerkbar macht? Sie war ja für den Exchange-Server eingerichtet...meine Mails bekomme und versende ich noch ohne Probleme. Es wäre für mich einmal wichtig, dass Du mir mal "sagst" wann und woran ich das merke.
Das zweite: ich habe mir eine 2stufige CA erstellt, sie soweit eingerichtet, dass ich mir das Zertifikat ansehen kann, wenn ich mit dem IE das "Sicherheitsschloss" anklicke. Beide CA´s, die Root- als auch die Sub sind Mitglied der Domäne. Ich weiß einfach nicht mehr, wie ich die CA für meine Mails nutzen kann? Könntest Du mir hier einen Tip geben?
DANKE und Gruß
Oberhausener
erst einmal vielen Danke für Deine Hilfe. Das die CA Schaden genommen hat, dass kann ich mir vorstellen. Aber die Frage, die ich mir stelle ist, wie sich das "nicht funktionieren" der CA wann bemerkbar macht? Sie war ja für den Exchange-Server eingerichtet...meine Mails bekomme und versende ich noch ohne Probleme. Es wäre für mich einmal wichtig, dass Du mir mal "sagst" wann und woran ich das merke.
Das zweite: ich habe mir eine 2stufige CA erstellt, sie soweit eingerichtet, dass ich mir das Zertifikat ansehen kann, wenn ich mit dem IE das "Sicherheitsschloss" anklicke. Beide CA´s, die Root- als auch die Sub sind Mitglied der Domäne. Ich weiß einfach nicht mehr, wie ich die CA für meine Mails nutzen kann? Könntest Du mir hier einen Tip geben?
DANKE und Gruß
Oberhausener
Welche CA ist denn jetzt defekt? Die Root- oder die Intermediate-CA?
Ich will jetzt keine Halbwahrheiten verbreiten, aber soweit ich das noch zusammenbekomme:
Solange ein Client von allen noch gültigen Zertifikaten eigene, lokale Kopien hat, wird er diese nicht anmeckern und anstandslos verwenden.
Wenn also einer Deiner Clients den Exchange über SSL anspricht, dann lädt der Client das öffentliche Zertifikat des Servers vom Server selbst herunter und prüft, ob er diesem vertrauen kann. Die Prüfung erfolgt dadurch, dass a) das Zertifikat auf Ablauf geprüft wird, ob es in der Sperrliste steht und ob er dem Zertifizierungspfad des Zertifikats trauen kann, also allen dort genannten Zwischenzertifizierungsstellen und letztlich der Root. Entweder kann er das prüfen, indem er die Zertifierunsgstellen anruft oder - wenn diese nicht greifbar sind - er in seinem lokalen Speicher unter "vertrauenswürdigen Zwischenzertifizierungsstellen" bzw. "vertrauenswürdige Stammzertifierungsstellen" gültige öffentliche Zertifikate dieser CA's gespeichert hat. In einer Domäne sollte dem so sein, wenn die CA in der Domäne veröffentlicht war/ist. Dann habe sich alle Clients diese Zertifikate heruntergeladen. Und solange diese noch nicht abgelaufen sind, gelten sie weiter, auch wenn die CA nicht mehr reagiert.
(Wenn ich hier Mist geschrieben habe und jemand das besser (korrekter) weiß, so möge er/sie mich bitte korrigieren.)
Wenn von diesem Zertifikat auch den privaten Schlüssel hat (der Normalfall), dann kann er damit z.B. im Outlook seine Mails signieren.
Wenn er Mails verschlüsseln will, dann benötigt er vom Empfänger der Mail den öffentlichen Schlüssel des Benutzerzertifikats des Empfängers. Der Empfänger kann dann diese Mail mit dem privaten Schlüssel seines Zertifikats entschlüsseln.
E.
Dass die CA Schaden genommen hat, das kann ich mir vorstellen. Aber die Frage, die ich mir stelle ist, wie sich das "nicht funktionieren" der CA wann bemerkbar macht?
Na, Du kannst nicht auf sie zugreifen. Weder per Browser noch per MMC. Und das Abrufen von Zertifikaten und Sperrlisten geht nicht mehr.Sie war ja für den Exchange-Server eingerichtet
Du meinst, der Exchange Server hatte ein von dieser CA ausgestelltes SSL-Zertifikat?Ich will jetzt keine Halbwahrheiten verbreiten, aber soweit ich das noch zusammenbekomme:
Solange ein Client von allen noch gültigen Zertifikaten eigene, lokale Kopien hat, wird er diese nicht anmeckern und anstandslos verwenden.
Wenn also einer Deiner Clients den Exchange über SSL anspricht, dann lädt der Client das öffentliche Zertifikat des Servers vom Server selbst herunter und prüft, ob er diesem vertrauen kann. Die Prüfung erfolgt dadurch, dass a) das Zertifikat auf Ablauf geprüft wird, ob es in der Sperrliste steht und ob er dem Zertifizierungspfad des Zertifikats trauen kann, also allen dort genannten Zwischenzertifizierungsstellen und letztlich der Root. Entweder kann er das prüfen, indem er die Zertifierunsgstellen anruft oder - wenn diese nicht greifbar sind - er in seinem lokalen Speicher unter "vertrauenswürdigen Zwischenzertifizierungsstellen" bzw. "vertrauenswürdige Stammzertifierungsstellen" gültige öffentliche Zertifikate dieser CA's gespeichert hat. In einer Domäne sollte dem so sein, wenn die CA in der Domäne veröffentlicht war/ist. Dann habe sich alle Clients diese Zertifikate heruntergeladen. Und solange diese noch nicht abgelaufen sind, gelten sie weiter, auch wenn die CA nicht mehr reagiert.
(Wenn ich hier Mist geschrieben habe und jemand das besser (korrekter) weiß, so möge er/sie mich bitte korrigieren.)
Ich weiß einfach nicht mehr, wie ich die CA für meine Mails nutzen kann? Könntest Du mir hier einen Tip geben?
Dem Benutzer muss ein Zertifkat ausgestellt worden sein, mit dem er seine Identität belegen kann. Das müsste die Vorlage "Benutzer" sein.Wenn von diesem Zertifikat auch den privaten Schlüssel hat (der Normalfall), dann kann er damit z.B. im Outlook seine Mails signieren.
Wenn er Mails verschlüsseln will, dann benötigt er vom Empfänger der Mail den öffentlichen Schlüssel des Benutzerzertifikats des Empfängers. Der Empfänger kann dann diese Mail mit dem privaten Schlüssel seines Zertifikats entschlüsseln.
E.
@emericks,
die neu erstellte 2stufige CA ist nicht defekt! Die habe ich gestern ja erst neu erstellt. Im Dezember hatte ein Bekannter, durchzertifiziert bis in alle Bereiche...mir die PKI erstellt (keine 2stufige), die dann, warum auch immer, nicht mehr startete und ich wiederherstellte. Sie ist jetzt herunter gefahren
Also..zum besseren Verständnis beschreibe ich es noch mal: die wiederhergestellte SRV-PKn (vorher SRV-PKI) ist hochgefahren...aber eben nicht "ansprechbar". Die neuerstellte 2stufige läuft jetzt auch - und wenn mir jemand mitteilen kann, wie man prüfen kann, dass Sie online ist, dann wäre das toll. Wie schon erwähnt kann ich sie (die Sub) über den IE "ansprechen" und es wird mir auch das Zertifikat angezeigt.
Aber...würde sie ihren Job tun, dass der Exchange davon profitiert? Soweit ich weiß gilt doch folgendes: Sobald eine Enterprise PKI installierst ist, ist diese doch produktiv, da sie sich über das Active Directory publiziert. Aber müssen nicht noch etliche Einträge in der ADS geprüft oder eingegeben werden?
die neu erstellte 2stufige CA ist nicht defekt! Die habe ich gestern ja erst neu erstellt. Im Dezember hatte ein Bekannter, durchzertifiziert bis in alle Bereiche...mir die PKI erstellt (keine 2stufige), die dann, warum auch immer, nicht mehr startete und ich wiederherstellte. Sie ist jetzt herunter gefahren
Also..zum besseren Verständnis beschreibe ich es noch mal: die wiederhergestellte SRV-PKn (vorher SRV-PKI) ist hochgefahren...aber eben nicht "ansprechbar". Die neuerstellte 2stufige läuft jetzt auch - und wenn mir jemand mitteilen kann, wie man prüfen kann, dass Sie online ist, dann wäre das toll. Wie schon erwähnt kann ich sie (die Sub) über den IE "ansprechen" und es wird mir auch das Zertifikat angezeigt.
Aber...würde sie ihren Job tun, dass der Exchange davon profitiert? Soweit ich weiß gilt doch folgendes: Sobald eine Enterprise PKI installierst ist, ist diese doch produktiv, da sie sich über das Active Directory publiziert. Aber müssen nicht noch etliche Einträge in der ADS geprüft oder eingegeben werden?
Ach so.
Also der Exchange wird nicht freiwillig ein anderes Zertifikat benutzen. Das musst Du diesem explizit angeben. (Managing Certificates in Exchange Server 2010)
Wenn Du allgemein automatisch Zertifikate an die Clients und Benutzer verteilen willst, dann heißt das Stichwort "Autoenrollment" (Configure Certificate Autoenrollment)
Also der Exchange wird nicht freiwillig ein anderes Zertifikat benutzen. Das musst Du diesem explizit angeben. (Managing Certificates in Exchange Server 2010)
Wenn Du allgemein automatisch Zertifikate an die Clients und Benutzer verteilen willst, dann heißt das Stichwort "Autoenrollment" (Configure Certificate Autoenrollment)
GENAU...das war es
Autoenrollment!!! Ich habe im wahrsten Sinne des Wortes auf meinem NAS viele Hunderte Dokumente und Attachments durchsuchen lassen - und aus einem PKI-Kurs, den mein besagter Bekannter geleitet hatte eben dieses Attachment gefunden. Dort ist nicht nur bis ins Detail die Installation/Konfiguration beschrieben....sondern auch das Auto Enrollment!
ICH DANKE DIR FÜR DEN ZÜNDENDEN GEDANKEN!!!!!
Oberhausener
Autoenrollment!!! Ich habe im wahrsten Sinne des Wortes auf meinem NAS viele Hunderte Dokumente und Attachments durchsuchen lassen - und aus einem PKI-Kurs, den mein besagter Bekannter geleitet hatte eben dieses Attachment gefunden. Dort ist nicht nur bis ins Detail die Installation/Konfiguration beschrieben....sondern auch das Auto Enrollment!ICH DANKE DIR FÜR DEN ZÜNDENDEN GEDANKEN!!!!!
Oberhausener
