16
Zertifikat am DC erneuern funktioniert nicht
Hallo zusammen,
ein einem Windows 2012R2 Domaincontroller ( es existiert nur dieser eine ) ist das Zertifikat seit April abgelaufen.
Bei dem Versuch von mir dies zu erneuern erhalte ich einen Fehler den ich Euch gerne bitten würde anzuschauen.
Was kann ich tun um das Zertifikat zu erneuern?
Danke für Tipps..
Gruß Michael
ein einem Windows 2012R2 Domaincontroller ( es existiert nur dieser eine ) ist das Zertifikat seit April abgelaufen.
Was kann ich tun um das Zertifikat zu erneuern?
Danke für Tipps..
Gruß Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 346847
Url: https://administrator.de/contentid/346847
Printed on: April 20, 2024 at 02:04 o'clock
16 Comments
Latest comment
Ich würde sagen, Deine CA ist Geschichte.
Wie ist denn Deine PKI aufgebaut?
Offline-Tier?
Denn aus Deinen Screenshots ist nicht ersichtlich, ob selbstsigniert oder wirklich ne CA dahinter.
Wie ist denn Deine PKI aufgebaut?
Offline-Tier?
Denn aus Deinen Screenshots ist nicht ersichtlich, ob selbstsigniert oder wirklich ne CA dahinter.
Hallo,
ohne weiter nachgedacht zu haben, folgere ich aus dem Fehler, dass die Zertifizierungsstelle nicht als Rolle installiert ist:
Tipp: Klick
Gruß
ohne weiter nachgedacht zu haben, folgere ich aus dem Fehler, dass die Zertifizierungsstelle nicht als Rolle installiert ist:
Tipp: Klick
Gruß
Hallo HeMan 
das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.
@pixl86
korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.
Gruß
das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.
@pixl86
korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.
Gruß
Hallo takvorian,
falls damit deine Probleme behoben wurden, gerne den Beitrag auf gelöst setzen. -Danke!
Viel Erfolg!
falls damit deine Probleme behoben wurden, gerne den Beitrag auf gelöst setzen. -Danke!
Viel Erfolg!
Hallo,
hab jetzt mal die Zertiefizerungsstelle ausgemacht... tatsählich ein alter SBS2011 Server..
Also muss ich die Zertifizierungsdienste zwingend installieren?
Gruß Michael
hab jetzt mal die Zertiefizerungsstelle ausgemacht... tatsählich ein alter SBS2011 Server..
Gruß Michael
Zitat von @takvorian:
Hallo HeMan
das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.
Hallo HeMan
das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.
Ja, ist ne Erklärung.
@pixl86
korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.
Ui!
Bitte gehe hier behutsam zu Werke. Sei Dir bewußt, was es bedeutet, eine CA bzw. PKI aufzubauen und zu betreiben. Ich selbst fahre meine Server allesamt ohne CA und somit selbstsigniert. Die erneuern ihre Zerts so wie es gebraucht wird und die Nutzer sind an das Prozedere gewöhnt.
Der Sicherheitsaspekt einer CA (kompromittierbar) ist nicht zu verachten.
https://support.microsoft.com/en-us/help/555151
Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Hallo HeMan,
danke für Deinen Ratschlag
Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...
Danke
danke für Deinen Ratschlag
Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...
Danke
Zitat von @takvorian:
Hallo HeMan,
danke für Deinen Ratschlag
Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...
Hallo HeMan,
danke für Deinen Ratschlag
Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...
Mir hat damals das hier geholfen: http://nolabnoparty.com/en/remove-ca-active-directory/
Hat prima geklappt und die neue CA läuft bis heute problemlos.
LG,
tomolpi
Schau mal, ob Du diesem Blog folgenden kannst.
https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references ...
Deine CA ist ja schon weg. Der Server existiert ja nicht mehr, oder doch?
Erst mal also nur schauen.
Löschen kann man immer noch...
https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references ...
Deine CA ist ja schon weg. Der Server existiert ja nicht mehr, oder doch?
Erst mal also nur schauen.
Löschen kann man immer noch...
Hallo HeMan,
der alte Server ist definitv weg. Da gibts nix mehr zu machen...
Ich schau mir das mal an...
Da steht sogargenau das Verhalten drin, alter SBS entfernt ohne die CA rolle zuvor zu deinstallieren.
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Gruß Michael
der alte Server ist definitv weg. Da gibts nix mehr zu machen...
Ich schau mir das mal an...
Da steht sogargenau das Verhalten drin, alter SBS entfernt ohne die CA rolle zuvor zu deinstallieren.
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Gruß Michael
Zitat von @takvorian:
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Kein Problem. Alles gut. Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Gruß Michael
Hallo,
habe jetzt die Hinweise von HeMan sowie tomolpi abgearbeitet und den DC neu gestartet. Wie lange dauert es bis hier nuee Zertifikate ausgestellt werden, bzw. woran kann ich dies erkennen. in der Konsole (mmc) steht noch immer das alte Zertifikat drin. Die Einträge bei AD Sites an Services sind sauber.
Gruß Michael
habe jetzt die Hinweise von HeMan sowie tomolpi abgearbeitet und den DC neu gestartet. Wie lange dauert es bis hier nuee Zertifikate ausgestellt werden, bzw. woran kann ich dies erkennen. in der Konsole (mmc) steht noch immer das alte Zertifikat drin. Die Einträge bei AD Sites an Services sind sauber.
Gruß Michael
Noch eine Frage.
Wofür ist denn das alte Zertifikat eigentlich?
Wofür ist denn das alte Zertifikat eigentlich?
Guten Morgen,
das alte Zertifikat war wohl das welches der SBS ursprünglich immer ausgestellt hat. In den Details steht nru dass es für Client- und Serverautentifizierung ist. Mehr ist mir da leider nicht bekannt.
Gruß Michael
das alte Zertifikat war wohl das welches der SBS ursprünglich immer ausgestellt hat. In den Details steht nru dass es für Client- und Serverautentifizierung ist. Mehr ist mir da leider nicht bekannt.
Gruß Michael
Schmeiß es raus.
Nur weil es ungültig hindert es den Rechner nicht daran, es zu verwenden.
Gruß,
Andreas
Nur weil es ungültig hindert es den Rechner nicht daran, es zu verwenden.
Gruß,
Andreas
Hallo,
solange sonst alles funktioniert, würde ich die Variante "Ignorieren" empfehlen.
Ich bin selbst direkt an einem funktionierenden SBS über ein abgelaufenes Zertifikat "gestolpert". Ich habe versucht, dies über alle mir bekannten Wege (Windows Zertifikatsverwaltung etc.) direkt am SBS zu aktualisieren, was aber immer scheiterte. Die einfache Lösung war, dass der SBS speziell zur Zertifikatsverwaltung bzw. -aktualisierung im Servermanager einen Menüpunkt für die Aktualisierung seiner Zertifikate mitbringt. Nachdem Dir diese nun fehlt, besteht m.E. keine Chance, auf der ursprünglichen SBS-CA irgendwas aufzubauen.
solange sonst alles funktioniert, würde ich die Variante "Ignorieren" empfehlen.
Ich bin selbst direkt an einem funktionierenden SBS über ein abgelaufenes Zertifikat "gestolpert". Ich habe versucht, dies über alle mir bekannten Wege (Windows Zertifikatsverwaltung etc.) direkt am SBS zu aktualisieren, was aber immer scheiterte. Die einfache Lösung war, dass der SBS speziell zur Zertifikatsverwaltung bzw. -aktualisierung im Servermanager einen Menüpunkt für die Aktualisierung seiner Zertifikate mitbringt. Nachdem Dir diese nun fehlt, besteht m.E. keine Chance, auf der ursprünglichen SBS-CA irgendwas aufzubauen.
