11
Zertifizierungsstelle neu installieren (Server 2022)?
Hallo zusammen,
ich habe heute etwas verwundert festgestellt, dass die Zertifizierungsstelle auf unserem Server 2022 Core zwar läuft, aber keine Zertifikatsanfragen mehr bearbeitet.
Ich habe nun diverse Dinge durch und komme zu dem Entschluss, dass der Server die Domain nicht findet:
Ereignis ID 91:
Gefolgt von:
Ereignis ID 94:
Danach Ereignis ID 44, die egal sein soll wenn danach ID 26 kommt:
ID 26 kommt auch, ist aber für mich hier keine Entwarnung:
Die Nadel im Heuhaufen habe ich leider noch nicht gefunden, ich würde die CA nun natürlich einfach gern im AD neu registrieren oder reparieren, aber dazu finde ich keine Option/Ergebnisse?
Bleibt dabei also nur die CA zu entfernen und neu zu installieren, muss ich da auf etwas achten?
Grüße
ToWa
ich habe heute etwas verwundert festgestellt, dass die Zertifizierungsstelle auf unserem Server 2022 Core zwar läuft, aber keine Zertifikatsanfragen mehr bearbeitet.
Ereignis ID 91:
Die Beschreibung für die Ereignis-ID "91" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Das Handle ist ungültig
Gefolgt von:
Ereignis ID 94:
Die Beschreibung für die Ereignis-ID "94" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
Das Handle ist ungültig
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
Das Handle ist ungültig
Danach Ereignis ID 44, die egal sein soll wenn danach ID 26 kommt:
Die Beschreibung für die Ereignis-ID "44" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Windows-Standard
Initialize
0x8007054b (1355)
Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.
Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
Das Handle ist ungültig
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
Windows-Standard
Initialize
0x8007054b (1355)
Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.
Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.
Das Handle ist ungültig
ID 26 kommt auch, ist aber für mich hier keine Entwarnung:
Die Beschreibung für die Ereignis-ID "26" aus der Quelle "Microsoft-Windows-CertificationAuthority" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
DC=
Das Handle ist ungültig
Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
DC=
Das Handle ist ungültig
Die Nadel im Heuhaufen habe ich leider noch nicht gefunden, ich würde die CA nun natürlich einfach gern im AD neu registrieren oder reparieren, aber dazu finde ich keine Option/Ergebnisse?
Bleibt dabei also nur die CA zu entfernen und neu zu installieren, muss ich da auf etwas achten?
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4897750300
Url: https://administrator.de/contentid/4897750300
Printed on: April 25, 2024 at 16:04 o'clock
11 Comments
Latest comment
Moin,
läuft denn der RPC Dienst und ist auch erreichbar? Befindet sich alles in einem Netz?
RPC handelt pro Stream sessions mit high Ports aus. Daher reicht es z.b. nicht nur RPC selbst in einer FW zu erlauben.
Gruß
Spirit
läuft denn der RPC Dienst und ist auch erreichbar? Befindet sich alles in einem Netz?
RPC handelt pro Stream sessions mit high Ports aus. Daher reicht es z.b. nicht nur RPC selbst in einer FW zu erlauben.
Gruß
Spirit
Moin,
Wenn du noch direkten Zugriff auf deine CA hast kannst du tatsächlich eine migration auf einen neuen CA server vornehmen.
Microsoft hat hier ausnahmsweise Dokumentation die sehr gut sind und die du step by step folgen kannst.
Vg
Wenn du noch direkten Zugriff auf deine CA hast kannst du tatsächlich eine migration auf einen neuen CA server vornehmen.
Microsoft hat hier ausnahmsweise Dokumentation die sehr gut sind und die du step by step folgen kannst.
Vg
Guten Morgen,
Port 445 hatte ich hauptsächlich gelesen dort passt die Kommunikation.
Ja, alles in einem Netz, er gibt in den Fehlern bei der Informationen ID26 gar keinen DC aus, ich vermute das Problem also dort:
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
DC=
Das Handle ist ungültig
Grüße
ToWa
Port 445 hatte ich hauptsächlich gelesen dort passt die Kommunikation.
Ja, alles in einem Netz, er gibt in den Fehlern bei der Informationen ID26 gar keinen DC aus, ich vermute das Problem also dort:
Die folgenden Informationen wurden mit dem Ereignis gespeichert:
CA-INTERN
DC=
Das Handle ist ungültig
Grüße
ToWa
Hey,
ja, Zugriff besteht und ich komme an Zertifikate und Templates aus den Zertifikatvorlagen.
Ich hatte gelesen, dass bei Entfernung der CA einige Einträge im AD zurückbleiben.
Daher war die Überlegung die Rolle vom System zu entfernen und 1:1 wieder hinzufügen und zu konfigurieren.
Dazu habe ich aber leider nichts gefunden, ob dies ein sinnvoller/möglicher Weg sein kann.
Grüße
ToWa
ja, Zugriff besteht und ich komme an Zertifikate und Templates aus den Zertifikatvorlagen.
Ich hatte gelesen, dass bei Entfernung der CA einige Einträge im AD zurückbleiben.
Daher war die Überlegung die Rolle vom System zu entfernen und 1:1 wieder hinzufügen und zu konfigurieren.
Dazu habe ich aber leider nichts gefunden, ob dies ein sinnvoller/möglicher Weg sein kann.
Grüße
ToWa
So, ich werde das Thema heute Abend mal angehen, da ich den Server sicherlich mal neustarten muss.
Das Backup der CA ist schon mal erledigt.
Ich versuche dann mal die Rolle vom Bestandssystem zu entfernen und diese anschließend wieder hinzuzufügen.
Gelingt das nicht, wird eine neue VM hochgezogen.
Wenn noch jemand eine Idee hat, was ich versuchen könnte um die Domainconnection wiederherzustellen, probiere ich das gern.
Das Backup der CA ist schon mal erledigt.
Ich versuche dann mal die Rolle vom Bestandssystem zu entfernen und diese anschließend wieder hinzuzufügen.
Gelingt das nicht, wird eine neue VM hochgezogen.
Wenn noch jemand eine Idee hat, was ich versuchen könnte um die Domainconnection wiederherzustellen, probiere ich das gern.
So, die Kollegen, die von dem System noch Lizenzen beziehen waren schon weg.
Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.
Basiskonfiguration durchlaufen und den CA-Dienst beendet.
Den Befehl für den Restore über Powershell fix rausgesucht (Parameter -f ist erforderlich, da er sonst die Verzeichnisse nicht überschreibt) und danach noch den Registrykey wieder eingefügt.
CA-Dienst wieder gestartet, alle Zertifikate wieder in der GUI enthalten.
Mein WSUS WebServer Zertifikat beantragt (den hatte ich gestern dann von HTTPs auf HTTP umgestellt, damit das heute noch läuft) und siehe da, es fluppt.
"A thing of beauty" zum Wochenende...
Übrigens, ich habe das mal noch versucht ein wenig einzugrenzen.
Ich vermute, dass er sich die CA zerschossen hat, als der Server 2019 Datacenter zum Server 2022 Datacenter aktualisiert wurde (was schon ne ganze Weile her ist).
Ich muss mir hinter die Löffel schreiben, dass ich nach solchen Aktionen die Ereignisanzeige im Auge behalte und nicht nur schaue ob die Dienste grundlegend laufen.
Angenehmes Wochenende an alle.
ToWa
Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.
Basiskonfiguration durchlaufen und den CA-Dienst beendet.
Den Befehl für den Restore über Powershell fix rausgesucht (Parameter -f ist erforderlich, da er sonst die Verzeichnisse nicht überschreibt) und danach noch den Registrykey wieder eingefügt.
CA-Dienst wieder gestartet, alle Zertifikate wieder in der GUI enthalten.
Mein WSUS WebServer Zertifikat beantragt (den hatte ich gestern dann von HTTPs auf HTTP umgestellt, damit das heute noch läuft) und siehe da, es fluppt.
"A thing of beauty" zum Wochenende...
Übrigens, ich habe das mal noch versucht ein wenig einzugrenzen.
Ich vermute, dass er sich die CA zerschossen hat, als der Server 2019 Datacenter zum Server 2022 Datacenter aktualisiert wurde (was schon ne ganze Weile her ist).
Ich muss mir hinter die Löffel schreiben, dass ich nach solchen Aktionen die Ereignisanzeige im Auge behalte und nicht nur schaue ob die Dienste grundlegend laufen.
Angenehmes Wochenende an alle.
ToWa
Moin,
Danke für die Infos.
Freut uns dass es funktioniert.
Viel Spaß mit der frischen CA
VG
Danke für die Infos.
Freut uns dass es funktioniert.
Viel Spaß mit der frischen CA
VG
Moin,
Gruß,
Dani
CA-Dienst wieder gestartet, alle Zertifikate wieder in der GUI enthalten.
die Pfade auf dem die/das Zertifkat/e der CA als auch Sperrlisten bereitgestellt werden, stimmen nach wie vor?!Gruß,
Dani
Zitat von @Dani:
die Pfade auf dem die/das Zertifkat/e der CA als auch Sperrlisten bereitgestellt werden, stimmen nach wie vor?!
die Pfade auf dem die/das Zertifkat/e der CA als auch Sperrlisten bereitgestellt werden, stimmen nach wie vor?!
Hallo Dani,
was möchtest du mir damit sagen?
Am Server hat sich ja nichts geändert, am AD ebenfalls nicht.
Es gibt unter C:\Windows\system32\CertSrv\CertEnroll
das
- Zertifikat
- Sperrliste
- Sperrliste+
Das System erzeugt wieder ganz brav Zertifikate, auch automatisch an PCs und Server.
Einzig was mir im Ereignislog auffällt, er gibt als ID Ereignis 26 nur den sekundären DC aus:
Die Active Directory-Zertifikatdienste für CA-INTERN wurden gestartet. DC=Srv-DC02.intern.domain.work
Vom Srv-DC01 lese ich nichts, steht für das Wartungswochenende aber am Programm, um mal zu schauen was er macht, wenn der DC02 down ist.
Grüße
ToWa
Moin,
Gruß,
Dani
was möchtest du mir damit sagen?
Am Server hat sich ja nichts geändert, am AD ebenfalls nicht.
nichts mehr. Ich habe gedacht du hast einen neuen Computernamen. Am Server hat sich ja nichts geändert, am AD ebenfalls nicht.
Gruß,
Dani
Nö, Migration hätte ich nur gemacht, wenn das nicht geklappt hätte.
Zitat von @dertowa:
Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.
Backup über die Powershell & Registry hatte ich ja schon gemacht, also Zertifizierungsstelle runtergeworfen, Server neugestartet, Zertifizierungsstelle wieder drauf.
