none
Event ID 82 / 13 / 6 in Kombination RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Tag,

    wir setzen bei uns drei Domänencontroller (2x Server 2012 R2 und 1x Server 2016) ein.
    Auf DC1 läuft eine lokale Zertifizierungsstelle.

    Jetzt ist mir aufgefallen, das DC2 und DC3 im regelmäßigen Intervall die Fehlermeldungen 82, 13 und 6 protokollieren.
    Hinweise zur Fehlerbehebung gibt es im Netz ja zu Hauf, aber bisher hat keine bei mir geholfen.

    Den Empfehlungen des BPA bin ich auch schon nachgegangen und der ist nun konform. Laut einem Hinweis aus einem anderen TN-Beitrag soll in der Zertifikatsvorlagenverwaltung (mmc -> Snap-In) die Sicherheit für Domänencontroller auf "Automatisch Registrieren" gesetzt werden. Bei mir habe ich jedoch nur Auswahlboxen für Vollzugriff, Lesen, Schreiben und Registrieren. Registrieren ist dabei gesetzt.

    Die Gruppe Domänencontroller habe ich auch schon der Gruppe "Zertifikatdienst-DCOM-Zugriff" hinzugefügt. Ebenfalls ohne Erfolg.
    Auf dem DC2 und DC3 bei der Ausführung von "certutil -adtemplate" steht weiterhin "DomainController: Domänencontroller -- Automatische Registrierung: Zugriff verweigert".

    Ich hoffe, dass ihr mir helfen könnt.

    Vielen Dank vorab und viele Grüße
    Matthias Koch

    Freitag, 13. Oktober 2017 13:03
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    für das Autoenrollment brauchst Du Templates der Version 2. Die einfachste Methode wäre, die "Domain Controller"-Vorlage zu löschen und in den Vorlagenverwaltung einmal zu duplizieren. Dabei entsteht automatisch eine V2-Vorlage, die Du dann mit dem entsprechenden Autoenrollment-Recht versehen und veröffentlichen kannst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    • Als Antwort markiert Matthias Koch Samstag, 14. Oktober 2017 08:38
    Freitag, 13. Oktober 2017 14:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    vielen Dank für den hilfreichen Hinweis. Löschen konnte ich die Vorlage nicht, aber ich habe die Vorlage dupliziert und konnte sie nun wie von dir angekündigt als Autoenrollment aktivieren.

    Muss ich auf den beiden Domänencontrollern nun noch eine Anpassung vornehmen, damit diese die neue Vorlage abrufen?

    Vielen Dank für deine Unterstützung
    Matthias Koch

    Freitag, 13. Oktober 2017 16:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    mit Löschen meinte ich natürlich nicht die Vorlagenverwaltung (sonst wird es dann schwer mit dem Duplizieren ;-) ) sondern aus den veröffentlichen Vorlagen ;-)

    Aber wie auch immer, die DCs werden sich das Jetzige auch schon gezogen haben, sofern es nicht per GPO deaktiviert ist...

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Freitag, 13. Oktober 2017 17:46
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    da dein Posting oben den richtigen Weg zeigt, habe ich sie schonmal als Lösung markiert.

    Die DCs melden jedoch weiterhin die Domänencontroller-Vorlage als fehlerhaft und auf die neue Vorlage haben sie auch keinen Zugriff.

    Hast du hier noch einen Tipp für mich?

    Danke und ein schönes Wochenende
    Matthias Koch

    Samstag, 14. Oktober 2017 08:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Die DCs melden jedoch weiterhin die Domänencontroller-Vorlage als fehlerhaft und auf die neue Vorlage haben sie auch keinen Zugriff.

    Hast du hier noch einen Tipp für mich?

    Moin,

    1. Haben die DCs die Zertifikate aus den anderen Vorlagen, die Autoenrollment-Fähig sind, gezogen und aktualisiert? Das sind OTOH Domaincontroller-Kommunikation, Mail-Replikation und Kerberos.

    2. Haben die DCs Stand jetzt ein Zertifikat aus der "Domain Controller"-Vorlage? Falls ja, läßt es sich manuell aktualisieren?

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Samstag, 14. Oktober 2017 12:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Evgenij,

    nachdem ich Samstag deinen Hinweisen noch nachgegangen war und ich dem Server "etwas Zeit zum Bedenken" geben wollte habe ich heute Früh ins Log geschaut und gesehen, dass nun Kerberos, Mail etc. auch Fehler lieferten.

    -> certutil -ADTemplate warf wieder die Meldung, dass der Zugriff auf die neue Vorlage weiterhin verweigert ist. Daraufhin habe ich Domänen-Admins Lesen, Schreiben und automatische Registrierung gegeben. Nun kann er darauf zugreifen.

    Ich warte jetzt mal die Zeit ab, ob die Meldung wieder erscheint. Den Befehl für die sofortige Aktualisierung kenne ich leider nicht.

    Ich melde mich, sobald das Log was neues auswirft.

    Gruß,
    Matthias

    Montag, 16. Oktober 2017 07:35
    |
  • Question
    Anmelden
    0
    Anmelden

    So, die Vorlage Domänencontroller taucht nun nicht mehr im Fehlerlog auf und wird daher wohl aktualisiert.
    Ich werde die verbleibenden Vorlagen (Kerberos, etc.) dann auch noch konfigurieren.

    Hat dennoch noch jemand einen Tipp, wo ich auf den beiden DCs sehen kann, welche Zertifikate (aus Vorlagen) sich dort aktuell befinden? In der Console für Zertifikate finde ich sie nicht und im Netz finde ich keinen Hinweis darauf.

    Vielen Dank und viele Grüße
    Matthias Koch

    Dienstag, 17. Oktober 2017 12:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    eigentlich würde ich sie genau in der MMC "Zertifikate" suchen - nur muss sie natürlich für den "Lokalen Computer" geöffnet werden.

    Oder

    Get-ChildItem Cert:\LocalMachine\My

    oder

    certutil -store My


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 17. Oktober 2017 15:18
    |