dertowa
Goto Top

Zertifizierungsstelle neu installieren (Server 2022)?

Hallo zusammen,
ich habe heute etwas verwundert festgestellt, dass die Zertifizierungsstelle auf unserem Server 2022 Core zwar läuft, aber keine Zertifikatsanfragen mehr bearbeitet.
err
Ich habe nun diverse Dinge durch und komme zu dem Entschluss, dass der Server die Domain nicht findet:

Ereignis ID 91:
Die Beschreibung für die Ereignis-ID "91" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert:

Das Handle ist ungültig

Gefolgt von:

Ereignis ID 94:
Die Beschreibung für die Ereignis-ID "94" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert:

CA-INTERN

Das Handle ist ungültig

Danach Ereignis ID 44, die egal sein soll wenn danach ID 26 kommt:

Die Beschreibung für die Ereignis-ID "44" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert:

Windows-Standard
Initialize
0x8007054b (1355)
Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.

Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Das Handle ist ungültig

ID 26 kommt auch, ist aber für mich hier keine Entwarnung:

Die Beschreibung für die Ereignis-ID "26" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

Die folgenden Informationen wurden mit dem Ereignis gespeichert:

CA-INTERN
DC=

Das Handle ist ungültig

Die Nadel im Heuhaufen habe ich leider noch nicht gefunden, ich würde die CA nun natürlich einfach gern im AD neu registrieren oder reparieren, aber dazu finde ich keine Option/Ergebnisse?
Bleibt dabei also nur die CA zu entfernen und neu zu installieren, muss ich da auf etwas achten?

Grüße
ToWa

Content-Key: 4897750300

Url: https://administrator.de/contentid/4897750300

Printed on: February 25, 2024 at 11:02 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Dec 08, 2022 at 22:03:18 (UTC)
Goto Top
Moin,

läuft denn der RPC Dienst und ist auch erreichbar? Befindet sich alles in einem Netz?
RPC handelt pro Stream sessions mit high Ports aus. Daher reicht es z.b. nicht nur RPC selbst in einer FW zu erlauben.

Gruß
Spirit
Member: Celiko
Celiko Dec 09, 2022 at 00:16:15 (UTC)
Goto Top
Moin,

Wenn du noch direkten Zugriff auf deine CA hast kannst du tatsächlich eine migration auf einen neuen CA server vornehmen.
Microsoft hat hier ausnahmsweise Dokumentation die sehr gut sind und die du step by step folgen kannst.

Vg
Member: dertowa
dertowa Dec 09, 2022 at 05:39:13 (UTC)
Goto Top
Guten Morgen,

Port 445 hatte ich hauptsächlich gelesen dort passt die Kommunikation.
Ja, alles in einem Netz, er gibt in den Fehlern bei der Informationen ID26 gar keinen DC aus, ich vermute das Problem also dort:

Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
DC=
Das Handle ist ungültig

Grüße
ToWa
Member: dertowa
dertowa Dec 09, 2022 at 05:45:59 (UTC)
Goto Top
Hey,
ja, Zugriff besteht und ich komme an Zertifikate und Templates aus den Zertifikatvorlagen.

Ich hatte gelesen, dass bei Entfernung der CA einige Einträge im AD zurückbleiben.
Daher war die Überlegung die Rolle vom System zu entfernen und 1:1 wieder hinzufügen und zu konfigurieren.

Dazu habe ich aber leider nichts gefunden, ob dies ein sinnvoller/möglicher Weg sein kann.

Grüße
ToWa
Member: dertowa
dertowa Dec 09, 2022 at 09:33:18 (UTC)
Goto Top
So, ich werde das Thema heute Abend mal angehen, da ich den Server sicherlich mal neustarten muss.
Das Backup der CA ist schon mal erledigt.
Ich versuche dann mal die Rolle vom Bestandssystem zu entfernen und diese anschließend wieder hinzuzufügen.

Gelingt das nicht, wird eine neue VM hochgezogen.

Wenn noch jemand eine Idee hat, was ich versuchen könnte um die Domainconnection wiederherzustellen, probiere ich das gern. face-smile
Member: dertowa
Solution dertowa Dec 09, 2022 at 14:30:21 (UTC)
Goto Top
So, die Kollegen, die von dem System noch Lizenzen beziehen waren schon weg.
Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.
Basiskonfiguration durchlaufen und den CA-Dienst beendet.
Den Befehl für den Restore über Powershell fix rausgesucht (Parameter -f ist erforderlich, da er sonst die Verzeichnisse nicht überschreibt) und danach noch den Registrykey wieder eingefügt.
CA-Dienst wieder gestartet, alle Zertifikate wieder in der GUI enthalten.

Mein WSUS WebServer Zertifikat beantragt (den hatte ich gestern dann von HTTPs auf HTTP umgestellt, damit das heute noch läuft) und siehe da, es fluppt. face-big-smile

"A thing of beauty" zum Wochenende...

Übrigens, ich habe das mal noch versucht ein wenig einzugrenzen.
Ich vermute, dass er sich die CA zerschossen hat, als der Server 2019 Datacenter zum Server 2022 Datacenter aktualisiert wurde (was schon ne ganze Weile her ist).
Ich muss mir hinter die Löffel schreiben, dass ich nach solchen Aktionen die Ereignisanzeige im Auge behalte und nicht nur schaue ob die Dienste grundlegend laufen. face-wink

Angenehmes Wochenende an alle.

ToWa
Member: Celiko
Celiko Dec 10, 2022 at 17:30:19 (UTC)
Goto Top
Moin,

Danke für die Infos.
Freut uns dass es funktioniert.
Viel Spaß mit der frischen CA face-smile

VG
Member: Dani
Dani Dec 12, 2022 at 21:56:55 (UTC)
Goto Top
Moin,
CA-Dienst wieder gestartet, alle Zertifikate wieder in der GUI enthalten.
die Pfade auf dem die/das Zertifkat/e der CA als auch Sperrlisten bereitgestellt werden, stimmen nach wie vor?!


Gruß,
Dani
Member: dertowa
dertowa Dec 13, 2022 at 13:24:00 (UTC)
Goto Top
Zitat von @Dani:
die Pfade auf dem die/das Zertifkat/e der CA als auch Sperrlisten bereitgestellt werden, stimmen nach wie vor?!

Hallo Dani,
was möchtest du mir damit sagen?
Am Server hat sich ja nichts geändert, am AD ebenfalls nicht.

Es gibt unter C:\Windows\system32\CertSrv\CertEnroll
das
- Zertifikat
- Sperrliste
- Sperrliste+

Das System erzeugt wieder ganz brav Zertifikate, auch automatisch an PCs und Server.
Einzig was mir im Ereignislog auffällt, er gibt als ID Ereignis 26 nur den sekundären DC aus:

Die Active Directory-Zertifikatdienste für CA-INTERN wurden gestartet. DC=Srv-DC02.intern.domain.work

Vom Srv-DC01 lese ich nichts, steht für das Wartungswochenende aber am Programm, um mal zu schauen was er macht, wenn der DC02 down ist. face-smile

Grüße
ToWa
Member: Dani
Dani Dec 13, 2022 updated at 13:51:26 (UTC)
Goto Top
Moin,
was möchtest du mir damit sagen?
Am Server hat sich ja nichts geändert, am AD ebenfalls nicht.
nichts mehr. Ich habe gedacht du hast einen neuen Computernamen. face-sad


Gruß,
Dani
Member: dertowa
dertowa Dec 13, 2022 at 14:12:40 (UTC)
Goto Top
Zitat von @Dani:
nichts mehr. Ich habe gedacht du hast einen neuen Computernamen. face-sad

Nö, Migration hätte ich nur gemacht, wenn das nicht geklappt hätte. face-smile

Zitat von @dertowa:

Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.