Zertifikatdienste startet nicht

Mitglied: amgm2006

amgm2006 (Level 1) - Jetzt verbinden

20.11.2017 um 19:56 Uhr, 2912 Aufrufe, 13 Kommentare, 1 Danke

Hallo,

auf einem 2003er Server startet der Zertifikatdienste startet nicht mehr.

1 Meldung in den Anwendungen:
Die Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden.
DOMAIN Die Signatur des Zertifikats konnte nicht bestätigt werden. 0x80096004 (-2146869244).

2. Meldung in den Anwendungen:
Es konnte keine Zertifikatkette für das Zertifizierungsstellenzertifikat 0 für DOMAIN erstellt werden.
Die Signatur des Zertifikats konnte nicht bestätigt werden. 0x80096004 (-2146869244).

Meldung im System:
Der Dienst "Zertifikatdienste" wurde mit folgendem dienstspezifischem Fehler beendet: 2148098052 (0x80096004).

hat einer ne idee wo ich anfangen kann zu suchen?
Mitglied: Dani
20.11.2017 um 20:08 Uhr
Moin,
1) ein oder zweistufige PKI?
2) Ist die Sperliste der PKI von den Servern/Clients aus erreichbar?
3) Ist die (Delta)Speerliste vorhanden bzw. gültig?
4) Das Zertifikatskette ist gültig, wenn du das Zertifikat auf dem Server öffnest?
5) Was wurde verändert?


Gruß,
Dani
Bitte warten ..
Mitglied: Pjordorf
20.11.2017 um 20:11 Uhr
Hallo,

Zitat von amgm2006:
hat einer ne idee wo ich anfangen kann zu suchen?
Ja, in der Ereignissanzeige und dann dort in der Reihenfolge des Fehlers vorgehen (Erster Fehler nachgehen bevor du an dem ende der Fehlersite dran gehst). Und am besten schaust du zuerst in System rein, bevor du bei Anwendungen reinschaust.

Selbstausgestelltes Zertifikat?

https://www.administrator.de/forum/zertifizierungsstellenzertifikat-inst ...
https://technet.microsoft.com/de-de/library/bb331963(v=exchg.141).aspx

Gruß,
Peter
Bitte warten ..
Mitglied: amgm2006
21.11.2017, aktualisiert um 06:15 Uhr
//Ja, in der Ereignissanzeige und dann dort in der Reihenfolge des Fehlers vorgehen (Erster Fehler nachgehen bevor du an dem ende der Fehlersite dran gehst) .

- Der Fehler erscheint zeitlich genau in der oberen reihenfolge (die ersten beiden in den anwendungen und dann im System)

@Dani
1) ein oder zweistufige PKI?
2) Ist die Sperliste der PKI von den Servern/Clients aus erreichbar?
3) Ist die (Delta)Speerliste vorhanden bzw. gültig?
4) Das Zertifikatskette ist gültig, wenn du das Zertifikat auf dem Server öffnest?
5) Was wurde verändert?


In der Materie bin ich nicht ganz firm und das System hatte ich mal so übernommen.
Zu 1. : Ich vermute das es einstufig ist (wenn ich die Zertifikatsstelle öffne und über auswählen gehe / Anderer Computer durchsuchen) ist nur der Locale aufgeführt. Wenn ich den dann aufrufe kommt der fehler (zugriff verweigert 0x8007005 (Win32:5)


Das einzigste was ich gemacht habe, ist über SelfSSL ein neues Zertifikat erstellt habe.
Kann das daran liegen? Vieleicht mit nem falschen Parameter was falsch gemacht ?
Bitte warten ..
Mitglied: Dani
21.11.2017 um 12:34 Uhr
Moin,
Das einzigste was ich gemacht habe, ist über SelfSSL ein neues Zertifikat erstellt habe.
Für den Server auf dem die Rolle für die bzw. der PKI oder für einen Rechner? Trifft ersteres zu, hast du die Ursache gefunden. Darf man fragen, warum du

a) das Zertifikat über SelfSSL generiert hast?
b) Welches Zertifikat muss ersetzt werden?


Gruß,
Dani
Bitte warten ..
Mitglied: amgm2006
21.11.2017 um 12:51 Uhr
Hallo Dani,

Da war ich bei der Erstellung wohl zu voreilig.
Es gibt ein Problem mit dem Zertifikat des Exchangeservers.
Das wollte ich damit nur neu erstellen. Wie mache ich das jetzt wieder rückgängig??

LG Alex
Bitte warten ..
Mitglied: Dani
21.11.2017 um 13:10 Uhr
Moin,
Wie mache ich das jetzt wieder rückgängig??
hast du das alte Zertifikat noch? Dieses erstmal wieder einbinden und alles testen. Das Self Signed Zertifikat anschließlich vollständig löschen.
Allerdings bin ich bei Windows Server 2003 raus, da das vor meiner Zeit noch war und ich keine praktische Erfarhung habe.


Gruß,
Dani
Bitte warten ..
Mitglied: amgm2006
21.11.2017, aktualisiert um 13:24 Uhr
Hi,

da bin ich ja jetzt schonmal was schaluer, bin da jetzt was vorsichtiger geworden.
Wo befindet sich diese Zertifikate?

LG Alex
Bitte warten ..
Mitglied: amgm2006
21.11.2017, aktualisiert um 14:48 Uhr
Hallo Peter,

ist ein 2003er.
Klar habe ich schon Google gefragt...
Da gibt es viel dazu, nur frage ich lieber hier nach rat, bevor ich mich da von einem fund zum anderen hangel.

LG alex
Bitte warten ..
Mitglied: amgm2006
22.11.2017 um 05:52 Uhr
Guten Morgen nochmal,

https://support.microsoft.com/de-de/help/842210/certificate-services-may ...

wäre das der richtige schritt um das problem zu lösen???

MfG Alex
Bitte warten ..
Mitglied: makaroni
22.11.2017 um 21:29 Uhr
Zitat von amgm2006:

Hallo,

auf einem 2003er Server startet der Zertifikatdienste startet nicht mehr.

Auf diesem 2003er Server ist auch die Rolle der CA installiert?

1 Meldung in den Anwendungen:
Die Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden.
DOMAIN Die Signatur des Zertifikats konnte nicht bestätigt werden. 0x80096004 (-2146869244).

Das Zertifizierungsstellenzertifikat ist das entweder das Zertifikat der Root/Issuing CA oder bei bei einer zweistufigen PKI das der Issuing CA

2. Meldung in den Anwendungen:
Es konnte keine Zertifikatkette für das Zertifizierungsstellenzertifikat 0 für DOMAIN erstellt werden.
Die Signatur des Zertifikats konnte nicht bestätigt werden. 0x80096004 (-2146869244).

Die Kette besteht aus dem Zertifikat der Root und der Issuing CA ( bei einer zweistufigen / es gibt noch noch mehrstufige in der noch die PolCAs auftauchen aber ich gehe mal davon aus, dass ihr davon keine im Einsatz habt)


Schau bitte einmal im Zertifikatsstore nach, ob dort die Kette von der CA vorhanden ist.
Führ auf dem Server auf dem sich die Roller der PKI befindet einmal pkiview.msc aus und kontrolliere ob alle Sperrlisten gültig und abrufbar sind. (Ich hoffe pkiview gab es auf den 2003er Systemen schon?)
Bitte warten ..
Mitglied: amgm2006
23.11.2017 um 14:41 Uhr
Hallo makaroni,

pkiview.msc gibt es da leider noch nicht.
In den Zertifikatsstore komme ich über die Konsole rein.
Das system ist einstufig.
Bei Zertifikaten fehlt mir noch was wissen.....
Bitte warten ..
Mitglied: Dani
27.01.2018 um 19:41 Uhr
Moin,
Bei Zertifikaten fehlt mir noch was wissen.....
an der Stelle ist ein IT-Dienstleister eine sinvolle Investition. Denn PKI ist an sich schon ein komplexes Thema und sowas über ein Forum zu lösen ist nicht nur schwierig sondern auch zeitintensiv.


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 1 TagAllgemeinWünsch Dir was24 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Festplatten, SSD, Raid
SATA Treiber für HP
gelöst ben1300Vor 1 TagFrageFestplatten, SSD, Raid21 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 1 TagFrageHardware17 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Outlook & Mail
Gibt es ein allgemeines Outlook senden Problem zur Zeit?
gelöst StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, habe gerade kurz hinterander 2 völlig getrennte Kunden mit dem gleichen Wirren Problem in Outlook. A) Outlook 2019, Exchange bei Busymouse24 (Hoster), Mit ...

Windows Systemdateien
Sql Server 2014 mit extrem vielen DBs auf neuen Server migrieren
gelöst itnirvanaVor 1 TagFrageWindows Systemdateien6 Kommentare

SQL DB Migration auf anderen Server eigentlich ok. Management Studio export . Anderer Server Imporr. Berevhtigung neu setzen SQL User ersteölen etc Jetzt habe ...

Netzwerkgrundlagen
Cisco IOS: shut?
gelöst ral9004Vor 1 TagFrageNetzwerkgrundlagen15 Kommentare

Hallo Auf dem Cisco Switch läuft IOS XE Gibraltar (16.12) Die Dokumentation des Config Scripts enthält diese Anweisung "shut" wird die Abkürzung für "shutdown" ...

Microsoft
Massenumbenennung von Dateien und Ordnern
breakballVor 1 TagFrageMicrosoft9 Kommentare

Hallo zusammen, falls der Beitrag in dieser Kategorie falsch ist, bitte in die richtige verschieben. Stehe vor folgender Aufgabe, in einem Datenverzeichnis befinden sich ...

Netzwerke
Neues Netzwerk, Segmentierung KMU
surreal1Vor 1 TagFrageNetzwerke4 Kommentare

Hallo an alle, seit langem lese ich schon im Forum aus Interesse mit, jedoch hatte ich noch nie die Gelegenheit aktiv an der Community ...