Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zertifikat am DC erneuern funktioniert nicht

Mitglied: takvorian

takvorian (Level 2) - Jetzt verbinden

21.08.2017 um 14:43 Uhr, 7017 Aufrufe, 16 Kommentare

Hallo zusammen,

ein einem Windows 2012R2 Domaincontroller ( es existiert nur dieser eine ) ist das Zertifikat seit April abgelaufen.zertifikat3 - Klicke auf das Bild, um es zu vergrößern
inkedzertifikat_li - Klicke auf das Bild, um es zu vergrößern
Bei dem Versuch von mir dies zu erneuern erhalte ich einen Fehler den ich Euch gerne bitten würde anzuschauen.
zertifikat2 - Klicke auf das Bild, um es zu vergrößern

Was kann ich tun um das Zertifikat zu erneuern?

Danke für Tipps..

Gruß Michael


Mitglied: beidermachtvongreyscull
21.08.2017, aktualisiert um 15:08 Uhr
Ich würde sagen, Deine CA ist Geschichte.
Wie ist denn Deine PKI aufgebaut?

Offline-Tier?

Denn aus Deinen Screenshots ist nicht ersichtlich, ob selbstsigniert oder wirklich ne CA dahinter.
Bitte warten ..
Mitglied: nepixl
21.08.2017, aktualisiert um 15:06 Uhr
Hallo,

ohne weiter nachgedacht zu haben, folgere ich aus dem Fehler, dass die Zertifizierungsstelle nicht als Rolle installiert ist:

Tipp: Klick

Gruß
Bitte warten ..
Mitglied: takvorian
21.08.2017 um 15:22 Uhr
Hallo HeMan

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

@PixL86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Gruß
Bitte warten ..
Mitglied: nepixl
21.08.2017 um 15:27 Uhr
Hallo takvorian,

falls damit deine Probleme behoben wurden, gerne den Beitrag auf gelöst setzen. -Danke!

Viel Erfolg!
Bitte warten ..
Mitglied: takvorian
21.08.2017 um 15:35 Uhr
Hallo,

hab jetzt mal die Zertiefizerungsstelle ausgemacht... tatsählich ein alter SBS2011 Server..zertifizierungsstelle - Klicke auf das Bild, um es zu vergrößern
Also muss ich die Zertifizierungsdienste zwingend installieren?

Gruß Michael
Bitte warten ..
Mitglied: beidermachtvongreyscull
21.08.2017, aktualisiert um 15:43 Uhr
Zitat von takvorian:

Hallo HeMan

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

Ja, ist ne Erklärung.


@PixL86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Ui!
Bitte gehe hier behutsam zu Werke. Sei Dir bewußt, was es bedeutet, eine CA bzw. PKI aufzubauen und zu betreiben. Ich selbst fahre meine Server allesamt ohne CA und somit selbstsigniert. Die erneuern ihre Zerts so wie es gebraucht wird und die Nutzer sind an das Prozedere gewöhnt.

Der Sicherheitsaspekt einer CA (kompromittierbar) ist nicht zu verachten.

https://support.microsoft.com/en-us/help/555151


Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Bitte warten ..
Mitglied: takvorian
21.08.2017 um 16:02 Uhr
Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Danke
Bitte warten ..
Mitglied: tomolpi
21.08.2017 um 16:10 Uhr
Zitat von takvorian:

Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Mir hat damals das hier geholfen: http://nolabnoparty.com/en/remove-ca-active-directory/

Hat prima geklappt und die neue CA läuft bis heute problemlos.

LG,

tomolpi
Bitte warten ..
Mitglied: beidermachtvongreyscull
22.08.2017 um 09:52 Uhr
Schau mal, ob Du diesem Blog folgenden kannst.

https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references ...

Deine CA ist ja schon weg. Der Server existiert ja nicht mehr, oder doch?

Erst mal also nur schauen.
Löschen kann man immer noch...
Bitte warten ..
Mitglied: takvorian
22.08.2017, aktualisiert um 11:19 Uhr
Hallo HeMan,

der alte Server ist definitv weg. Da gibts nix mehr zu machen...
sites_services - Klicke auf das Bild, um es zu vergrößern

Ich schau mir das mal an...
Da steht sogargenau das Verhalten drin, alter SBS entfernt ohne die CA rolle zuvor zu deinstallieren.
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @HeMan ( ist schneller zu schreiben als beidermachtvon.... ) folgen.

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?

Gruß Michael
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 22.08.2017 um 12:55 Uhr
Zitat von takvorian:

Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @HeMan ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Kein Problem. Alles gut.

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Ja. Sollte er. Aber auch immer schön das Windows Ereignislog im Auge behalten.

Gruß Michael
Bitte warten ..
Mitglied: takvorian
22.08.2017 um 13:53 Uhr
Hallo,

habe jetzt die Hinweise von HeMan sowie tomolpi abgearbeitet und den DC neu gestartet. Wie lange dauert es bis hier nuee Zertifikate ausgestellt werden, bzw. woran kann ich dies erkennen. in der Konsole (mmc) steht noch immer das alte Zertifikat drin. Die Einträge bei AD Sites an Services sind sauber.

Gruß Michael
Bitte warten ..
Mitglied: beidermachtvongreyscull
22.08.2017 um 15:50 Uhr
Noch eine Frage.
Wofür ist denn das alte Zertifikat eigentlich?
Bitte warten ..
Mitglied: takvorian
23.08.2017 um 08:20 Uhr
Guten Morgen,

das alte Zertifikat war wohl das welches der SBS ursprünglich immer ausgestellt hat. In den Details steht nru dass es für Client- und Serverautentifizierung ist. Mehr ist mir da leider nicht bekannt.

Gruß Michael
Bitte warten ..
Mitglied: beidermachtvongreyscull
23.08.2017 um 09:51 Uhr
Schmeiß es raus.
Nur weil es ungültig hindert es den Rechner nicht daran, es zu verwenden.

Gruß,
Andreas
Bitte warten ..
Mitglied: FishersFritz
23.08.2017 um 13:13 Uhr
Hallo,

solange sonst alles funktioniert, würde ich die Variante "Ignorieren" empfehlen.

Ich bin selbst direkt an einem funktionierenden SBS über ein abgelaufenes Zertifikat "gestolpert". Ich habe versucht, dies über alle mir bekannten Wege (Windows Zertifikatsverwaltung etc.) direkt am SBS zu aktualisieren, was aber immer scheiterte. Die einfache Lösung war, dass der SBS speziell zur Zertifikatsverwaltung bzw. -aktualisierung im Servermanager einen Menüpunkt für die Aktualisierung seiner Zertifikate mitbringt. Nachdem Dir diese nun fehlt, besteht m.E. keine Chance, auf der ursprünglichen SBS-CA irgendwas aufzubauen.
Bitte warten ..
Ähnliche Inhalte
Windows 10

Signieren - Zertifikat bei Adobe DC keine Funktion

gelöst Frage von MorslupatusWindows 101 Kommentar

Hallo zusammen. Ich habe das Problem, dass ich, nach dem ich "Gründe" eingeblendet habe, die Funktion des Signierens nicht ...

Windows Server

Automatisches DC Failover funktioniert nicht

Frage von snickers276Windows Server28 Kommentare

Guten Abend zusammen, ich habe folgendes Problem: Ich kriege irgendwie kein Failover hin, falls ein DC ausfällt. Hintergrund: In ...

Windows Server

Zertifikat Verzeichnis-E-Mail-Replikation auf DC

Frage von redhorseWindows Server

Hallo, wofür wird das Zertifikat "Verzeichnis-E-Mail-Replikation" verwendet? Alle unsere Domänencontroller besitzen ein Zertifikat aus dieser Vorlage, jedoch gibt es ...

Verschlüsselung & Zertifikate

SSL Zertifikat gekauft funktioniert aber nicht

gelöst Frage von TeKiLLa1895Verschlüsselung & Zertifikate27 Kommentare

Hi, Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen. Jetzt passt aber der ...

Neue Wissensbeiträge
Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 18 StundenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 1 TagOff Topic5 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 2 TagenRouter & Routing12 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Anleitung von aqui vor 2 TagenNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Heiß diskutierte Inhalte
Windows Server
Domäne nach Ausfall eines DC komplett gestört
Frage von thaddaeus93Windows Server44 Kommentare

Hallo Zusammen, wir haben hier zwei DC's (einen 2011 SBS und einen 2016 Standard) - ursprünglich sollte die Migration ...

Windows Server
GPO Kennwortrichtlinie wird nicht angewandt
Frage von SabSchapWindows Server39 Kommentare

Hallo, ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert. Das Kennwort soll nach 365 Tage ...

VB for Applications
VBS wird nach Anmeldung (Aufgabenplanung) nicht richtig ausgeführt
gelöst Frage von MrLabelVB for Applications30 Kommentare

Hallo, ich habe ein VB Script geschrieben, welches morgens mit der Aufgabenplanung gestartet wird. (Ich weiß die Lösung ist ...

Hyper-V
Hyper-V AD Umgebung "einfrieren" und später wiederverwenden
gelöst Frage von baddeitHyper-V18 Kommentare

Hallo liebe Gemeinde, ich habe eine Frage zu einer WIN2019 Umgebung, die aus diversen physischen hosts besteht, auf denen ...