Zertifikatsvorlagen teilweise nicht sichtbar
Hallöchen zusammen,
ich hab folgendes Problem / Konstellation:
U.a. 2 DCs, ein paar Server, eine Root CA (normalerweise ausgeschaltet, wird nur für Updates und zum Veröffentlichen der Sperrlisten eingeschaltet), eine Issuing CA. Sperrlisten gehen aktuell ausschließlich übers AD / LDAP, OCSP haben wir keinen im Einsatz, in den Zertifikaten wird auch nur der LDAP-Speicherort eingetragen.
Die Issuing CA hat Anfang August ein neues Zertifizierungsstellenzertifikat bekommen, weil das alte Ende August abgelaufen ist (weiß nicht, inwiweit das relevant sein könnte).
Es gibt unter anderem ein Template "Computer-AutoDeploy", damit sich die Computer selbstständig ein Zertifikat ziehen/erneuern können (u.a. für WLAN mit 802.1x oder SSL für den WSUS). Lesen dürfen Authentifizierte Benutzer, Registrieren und automatisch registrieren dürfen Domaincontroller und Domänencomputer.
Einige Server (DCs, Root CA, Issuing CA) können ganz normal Zertifikate abrufen, andere Server (WSUS, Dienstserver mit Fachanwendung, Admin-Jumphost) rufen kein Zertifikat automatisch ab (hat früher funktioniert mittels GPO). GPOs wurden nicht geändert. Wenn ich manuell das Computerzertifikat-MMC öffne und dort versuche, ein Zertifikat über die AD-Templates zu ziehen, findet er kein einziges, auf DCs und CAs geht es.
Ich bin auch schon im ADSI-Editor gewesen, Authentifizierte Benutzer dürfen von Configuration -> Services -> Public Key Services -> alle Container lesen (insbesondere auch die Templates). Eine Auswertung "effektiven Zugriff anzeigen" auf das betreffende Template-Objekt zeigt, dass die betreffenden Server, auf denen keine Zertifikate registriert werden können, lesenden Zugriff haben. Das Template ist auf der Issuing CA auch in den Zertifikatsvorlagen verknüpft (wie gesagt bei manchen Servern gehts ja).
Was mir aufgefallen ist: In der MMC "Computerzertifikate" laden die Vorlagen auf den funktionierenden Servern extrem lange, bis sie mal auftauchen, selbiges in der certsrv-MMC der CAs. Das war früher recht flott (max. 1-2 Sekunden). Ich kann aber nicht genau sagen, wann sich das geändert hat, da wir eigentlich nie Anpassungen an den Vorlagen gemacht haben.
Vor allem für den WSUS ist das problematisch, weil der sein Zertifikat natürlich entsprechend für die WSUS-Dienste nutzt (SSL und so).
Ob es was damit zu tun hat weiß ich nicht, aber es sei noch erwähnt, dass wir folgende GPOs aktiv / konfiguriert haben:
Außerdem wird mir bei einem gpupdate auf dem WSUS folgender Fehler ausgespuckt (hängt evtl. auch mit dem Ganzen zusammen):
Ereignisanzeige spuckt dann bei den Details "Der Benutzername oder das Kennwort ist falsch." aus. Kann aber eigentlich nicht sein, anmelden kann ich mich ja per RDP.
Ich hab dann folgendes versucht, um evtl. beide Fehler zu beheben:
WSUS raus aus der Domäne, Neustart, mit nem lokalen Admin das Domänenprofil gelöscht, Computerkonto gelöscht und neu angelegt in der richtigen OU, Neustart, rein in die Domäne, Neustart. Aber beide Fehler bestehen weiterhin.
Kann mir hier vielleicht einer weiterhelfen, ich komm hier nicht weiter. Falls ihr noch weitere Infos braucht stell ich die natürlich gern zur Verfügung.
Danke schonmal!
Viele Grüße
Ketanest
ich hab folgendes Problem / Konstellation:
U.a. 2 DCs, ein paar Server, eine Root CA (normalerweise ausgeschaltet, wird nur für Updates und zum Veröffentlichen der Sperrlisten eingeschaltet), eine Issuing CA. Sperrlisten gehen aktuell ausschließlich übers AD / LDAP, OCSP haben wir keinen im Einsatz, in den Zertifikaten wird auch nur der LDAP-Speicherort eingetragen.
Die Issuing CA hat Anfang August ein neues Zertifizierungsstellenzertifikat bekommen, weil das alte Ende August abgelaufen ist (weiß nicht, inwiweit das relevant sein könnte).
Es gibt unter anderem ein Template "Computer-AutoDeploy", damit sich die Computer selbstständig ein Zertifikat ziehen/erneuern können (u.a. für WLAN mit 802.1x oder SSL für den WSUS). Lesen dürfen Authentifizierte Benutzer, Registrieren und automatisch registrieren dürfen Domaincontroller und Domänencomputer.
Einige Server (DCs, Root CA, Issuing CA) können ganz normal Zertifikate abrufen, andere Server (WSUS, Dienstserver mit Fachanwendung, Admin-Jumphost) rufen kein Zertifikat automatisch ab (hat früher funktioniert mittels GPO). GPOs wurden nicht geändert. Wenn ich manuell das Computerzertifikat-MMC öffne und dort versuche, ein Zertifikat über die AD-Templates zu ziehen, findet er kein einziges, auf DCs und CAs geht es.
Ich bin auch schon im ADSI-Editor gewesen, Authentifizierte Benutzer dürfen von Configuration -> Services -> Public Key Services -> alle Container lesen (insbesondere auch die Templates). Eine Auswertung "effektiven Zugriff anzeigen" auf das betreffende Template-Objekt zeigt, dass die betreffenden Server, auf denen keine Zertifikate registriert werden können, lesenden Zugriff haben. Das Template ist auf der Issuing CA auch in den Zertifikatsvorlagen verknüpft (wie gesagt bei manchen Servern gehts ja).
Was mir aufgefallen ist: In der MMC "Computerzertifikate" laden die Vorlagen auf den funktionierenden Servern extrem lange, bis sie mal auftauchen, selbiges in der certsrv-MMC der CAs. Das war früher recht flott (max. 1-2 Sekunden). Ich kann aber nicht genau sagen, wann sich das geändert hat, da wir eigentlich nie Anpassungen an den Vorlagen gemacht haben.
Vor allem für den WSUS ist das problematisch, weil der sein Zertifikat natürlich entsprechend für die WSUS-Dienste nutzt (SSL und so).
Ob es was damit zu tun hat weiß ich nicht, aber es sei noch erwähnt, dass wir folgende GPOs aktiv / konfiguriert haben:
Domänencontroller: Signaturanforderungen für LDAP-Server Signatur erforderlich
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) Aktiviert
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) Aktiviert
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) Aktiviert
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) Aktiviert
Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Aktiviert
Netzwerksicherheit: LAN Manager-Authentifizierungsebene Nur NTLMv2-Antworten senden. LM & NTLM verweigern
Netzwerksicherheit: Signaturanforderungen für LDAP-Clients Signatur erforderlich
Domänencontroller: Anforderungen an das LDAP-Serverkanal-Bindungstoken Immer
Die Benutzerrichtlinie konnte nicht erfolgreich aktualisiert werden. Folgende Probleme sind aufgetreten:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Es wurde versucht, neue Gruppenrichtlinieneinstellungen für diesen Benutzer oder Computer abzurufen. Den Fehlercode und eine Beschreibung finden Sie auf der Registerkarte "Details". Dieser Vorgang wird automatisch beim nächsten Aktualisierungszyklus wiederholt. Computer, die der Domäne beigetreten sind, müssen über eine geeignete Namensauflösung sowie über eine Netzwerkverbindung zu einem Domänencontroller zum Ermitteln von neuen Gruppenrichtlinienobjekten und -einstellungen verfügen. Wenn die Gruppenrichtlinie erfolgreich ist, wird ein Ereignis protokolliert.
Ich hab dann folgendes versucht, um evtl. beide Fehler zu beheben:
WSUS raus aus der Domäne, Neustart, mit nem lokalen Admin das Domänenprofil gelöscht, Computerkonto gelöscht und neu angelegt in der richtigen OU, Neustart, rein in die Domäne, Neustart. Aber beide Fehler bestehen weiterhin.
Kann mir hier vielleicht einer weiterhelfen, ich komm hier nicht weiter. Falls ihr noch weitere Infos braucht stell ich die natürlich gern zur Verfügung.
Danke schonmal!
Viele Grüße
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667823
Url: https://administrator.de/contentid/667823
Ausgedruckt am: 01.11.2024 um 02:11 Uhr
20 Kommentare
Neuester Kommentar
Fehler bei der Verarbeitung der Gruppenrichtlinie.
Nur ne "alte" DFS-R Meldung von heute morgen, die ich aber schon geprüft hab, die Replikation funktioniert.
Hast du zwei oder mehrere Domain Controller? Evtl ist der SYSVOL Ordner nicht synchron. Dann fehlt auf einem DC eine GPO und dann kommt sowas auch zustande.
Es gibt 3 mögliche Fehlerursachen für sowas:
1) DNS Probleme,
2) DNS Probleme und
3) DNS Probleme
Und zusätzlich kann ich immer noch keine Zertifikatsvorlagen sehen
Lösche mal den Cache der MMC Konsolen und starte sie neu. Datei => Optionen > Dateien löschen.Gruß
Werf mal ProcessMonitor an um zu sehen was im Background schief läuft.
Die Name "not found" sind in der Regel uninteressant, dein genannter wäre ein Policy-Schlüssel der nur auf Inhalt gecheckt wird, wenn nicht vorhanden aber ignoriert wird. Interessant wären evt. AccessDenied Geschichten.
Die Issuing CA hat Anfang August ein neues Zertifizierungsstellenzertifikat bekommen
Das sieht wie aus? Mal alle Eigenschaften hier auflisten vielleicht hat sich da was reingemogelt was da nichts zu suchen hat.