none
Zertifizierungsstelle auf DC kann keine Zertifikate mehr ausgeben und zeigt keine Vorlagen mehr an. RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Mitte des Jahres mussten wir uns nun endgültig von unserem alten SBS2011 trenne. (Hardwaredefekt)

    Zum Glück hatte ich vor alle Rollen für das Active Directory, Exchage Server und Zertifizierungsstelle für die AD auf neue Server migriert.

    Jedenfalls dacht eich das. Denn nachdem der alte SBS2011 Server aus dem NEtz genommen wurde, lief und läuft unser System auch bisher Stabil ohne größere Probleme. Ich habe sogar den Eindruck, dass es Stabiler käuft als vorher.

    Jetzt ist mit aber bei der Durchsicht der Protokolle aufgefallen, dass dort eine Warnung steht, dass ein selbsterstelltes Zertifikat für den Exchangeserver in wenigen tagen ausläuft.

    Dieses wollte ich jetzt erneuern. Dabei erhielt icg aber die Fehelrmeldung, dass der Domainconntroller mit der Zertifizierungsstelle nicht errichbar ist oder dass dieser über keine entsptrechende Vorlage zurm erneuen des Zertifikates besitzt.

    Daraufhin schaute ich in der Zertifizierungsstelle auf dem entsprechenden dC nach und erhielt unter "Zertifikatvolagen" folgendes Dild:

    Auch aknn ich nicht über den Menüunkt "Neu -> Auszustellende Zertifikatvorlage" keine neuen hinzufügen, da dieser Punkt deaktiviert ist.

    Über den Menüpunkt "Verwalten", werden mir aber die vorlagen des Serversangezeigt.

    Nur eben leider nicht in der Zertifizierungsstelle.

    Im Ereignisprotokoll habe ich dazu nur fülgende Fehlermeldung gefunden:

    + System 

  - Provider 

   [ Name]  Microsoft-Windows-CertificationAuthority 
   [ Guid]  {6A71D062-9AFE-4F35-AD08-52134F85DFB9} 
 
   EventID 134 
 
   Version 0 
 
   Level 4 
 
   Task 0 
 
   Opcode 0 
 
   Keywords 0x8000000000000000 
 
  - TimeCreated 

   [ SystemTime]  2020-12-18T09:19:10.803245100Z 
 
   EventRecordID 33242 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  8744 
   [ ThreadID]  11216 
 
   Channel Application 
 
   Computer Win2012-CADC.ttdatdom.local 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  CACommonName ttdatdom-SBS2011-SRV-CA 
  ErrorCode Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. 0x800b0101 (-2146762495 CERT_E_EXPIRED) 
  CACertIdentifier 0

    gefolgt von:

    + System 

  - Provider 

   [ Name]  Microsoft-Windows-CertificationAuthority 
   [ Guid]  {6A71D062-9AFE-4F35-AD08-52134F85DFB9} 
 
   EventID 44 
 
   Version 0 
 
   Level 2 
 
   Task 0 
 
   Opcode 0 
 
   Keywords 0x8000000000000000 
 
  - TimeCreated 

   [ SystemTime]  2020-12-18T09:19:10.865751700Z 
 
   EventRecordID 33243 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  8744 
   [ ThreadID]  11216 
 
   Channel Application 
 
   Computer Win2012-CADC.ttdatdom.local 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  PolicyModuleDescription Windows-Standard 
  MethodName Initialize 
  ErrorCode 0x80070490 (1168) 
  param4 Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden.  
  ErrorString Element nicht gefunden.

    Wann das Problem zu ersten Mal auftriott kann ich leider nicht sagen. Denn wie gasagt, bisher hatte alles funtioniert und nach der Migration der Zertifizierungsstelle, DC, PDC usw. traten bisher auch keien Probleme auf.

    Sogar das OWA des Exchange server funktierte ohne Problme, womit wir beim alten SBS2011 immer Probleme mit dem Zertifikat hatten.

    Ehrlich gesagt bin ich jetzt Ratlos.

    Wie kann ich das Problem beheben. Denn in wenigen Tagen läuft das betroffene Exchangeserver Zwertifikat und das Domainserverzertifikat aus. Ich habe darum die Angst, dass dann garnichts mehr läuft in unserem Netz.Ich wäre für jede Hilfe sehr Dankbar.

    viele  Grüße

    Heiko Witt

    Heiko

    Freitag, 18. Dezember 2020 11:14
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Moin,

    1. Don't panic! ;-) Wenn alle Stricke reißen, kannst Du *immer* eine neue CA installieren und über GPO verteilen. Dauert 20 Minuten, wenn man weiß, was man tut. Und dass in eurem Netz dann "nichts mehr läuft", kann ich mir nicht vorstellen. Wenn die Domain Controller kein gültige Zertifikat mehr haben, machen sie halt LDAP ohne S. Klar, Exchange wird gestört sein, aber dem kannst Du zur Not sogar mit einem selbstsignierten Zertifikat für ein paar Tage behelfen.

    2. Starte mal die Zertifizierungsstelle neu (wenn sie keinen Zugriff auf Vorlagen hat, macht es sowiso keinen Unterschied, ob sie läuft oder nicht). Schau danach in die Event Logs, ob da was Erhellendes zu finden ist. Du hast die Events vermutlich ohnehin alle drin, aber so kennst Du wenigstens den relevanten Zeitpunkt genau.

    3. Die erste von Dir zitierte Fehlermeldung lässt aufhorchen. Ist das Zertifikat der CA denn überhaupt noch gültig? Und wenn es schon mal verlängert wurde: Ist die ursprüngliche Version neben der aktuellen im AIA hinterlegt? Im Standard wäre es in C:\Windows\System32\certsrv\CertEnroll ...

    4. Die Vorlagen, die Du siehst, sind nicht "Vorlagen des Servers", sondern "Vorlagen des AD-Forests".

    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 18. Dezember 2020 12:07
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    vielen Dank für die Antwort. Da bin ich etwas beruhigt.

    Nur das mit den 20 min wird bei mir wohl nichts. Ich mache soetwas nur alle paar Jahre einmal.

    Ich habe die Zertifizierungsstelle einmal neu gestarter. Leider sind keine weiteren erhellenden Meldungen in den Eventlogs zu sehen.

    Nur 3 Meldungen beziehen sich auf die Zertifizierungsstelle:

    - System 

  - Provider 

   [ Name]  Microsoft-Windows-CertificationAuthority 
   [ Guid]  {6A71D062-9AFE-4F35-AD08-52134F85DFB9} 
 
   EventID 134 
 
   Version 0 
 
   Level 4 
 
   Task 0 
 
   Opcode 0 
 
   Keywords 0x8000000000000000 
 
  - TimeCreated 

   [ SystemTime]  2020-12-18T12:47:58.532005200Z 
 
   EventRecordID 33328 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  1432 
   [ ThreadID]  1436 
 
   Channel Application 
 
   Computer Win2012-CADC.ttdatdom.local 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  CACommonName ttdatdom-SBS2011-SRV-CA 
  ErrorCode Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. 0x800b0101 (-2146762495 CERT_E_EXPIRED) 
  CACertIdentifier 0

    gefolgt von:

    - System 

  - Provider 

   [ Name]  Microsoft-Windows-CertificationAuthority 
   [ Guid]  {6A71D062-9AFE-4F35-AD08-52134F85DFB9} 
 
   EventID 44 
 
   Version 0 
 
   Level 2 
 
   Task 0 
 
   Opcode 0 
 
   Keywords 0x8000000000000000 
 
  - TimeCreated 

   [ SystemTime]  2020-12-18T12:47:58.908564500Z 
 
   EventRecordID 33329 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  1432 
   [ ThreadID]  1436 
 
   Channel Application 
 
   Computer Win2012-CADC.ttdatdom.local 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  PolicyModuleDescription Windows-Standard 
  MethodName Initialize 
  ErrorCode 0x80070490 (1168) 
  param4 Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden.  
  ErrorString Element nicht gefunden.

    und

    - System 

  - Provider 

   [ Name]  Microsoft-Windows-CertificationAuthority 
   [ Guid]  {6A71D062-9AFE-4F35-AD08-52134F85DFB9} 
 
   EventID 26 
 
   Version 0 
 
   Level 4 
 
   Task 0 
 
   Opcode 0 
 
   Keywords 0x8000000000000000 
 
  - TimeCreated 

   [ SystemTime]  2020-12-18T12:47:59.005867500Z 
 
   EventRecordID 33330 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  1432 
   [ ThreadID]  1436 
 
   Channel Application 
 
   Computer Win2012-CADC.ttdatdom.local 
 
  - Security 

   [ UserID]  S-1-5-18 
 

- EventData 

  CACommonName ttdatdom-SBS2011-SRV-CA 
  DCSpecifier DC= 
  DCName Win2016-DC.ttdatdom.local

    es sind also nur die bekannten Meldungen.

    Ich habe mir auch das Zertifikat der CA angesehen. Dieses ist noch bis 27.04.2022 gültig:

    Da das Zertifikat 2017 erstellt wurde, also mit der Erstellung der Damaine, liegen in dem Verzeichnis aucvh keine anderen Versionen drin.

    Das einzige, was mir als Ursache einfällt, ist dass der neue DC-Server, auf welcher die CA läuft, einen anderen Namen als der alte SBS2011 Server hat.

    Bei der Migration hatte ich damals eine Anleitung dafür, die ich jetzt leider nicht mehr wiederfinde. an diese hatte ich mich gehalten und es hat ja damals auch funktioneirt und die Vorlagen waren vorhanden.

    viele Grüße,

    Heiko

    Heiko

    Freitag, 18. Dezember 2020 13:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Heiko,

    ist die Thematik abgeklärt?

    Wenn diese Tipps Dir weitergeholfen haben, markiere bitte den entsprechenden Beitrag, der zur Lösung geführt hat, als Antwort. Wenn Du eine andere Lösung gefunden hast, bitte teile sie der Community mit, sodass auch andere Benutzer davon profitieren können.

    Grüße,

    Mihaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 30. Dezember 2020 07:42
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich wünsche allen ein gutes neues Jahr.

    Leider ist das Problem noch aktuell.

    Das Zertifikat ist inzwischen abgelaufen.

    Bis auf eine entsprechende Meldung von Outlook beim  Verbinden zum Exchange Server, scheint das System auch noch zu funktionieren.

    Trotzdem würde ich gerne das Problem beheben.

    Wie kann ich die verschwundenen Zertifikatvorlagen in der Zertifizierungsstelle wiederherstellen, bzw. diese neu anlegen?

    Gibt es dafür irgendwo eine Anleitung?

    Bei meienr Internetsuche habe zwar einiges gefunden, aber leider passt dieses nicht so richtig zu meinem Problem.

    Über eiene Problemlösung wäre ich sehr dankbar.

    viele Grüße,

    Heiko Witt

    Heiko

    Montag, 4. Januar 2021 09:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Hat wirklich niemand eine Lösung für mich?

    Grüß,

    Heiko

    Heiko

    Freitag, 8. Januar 2021 09:46
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    Hat wirklich niemand eine Lösung für mich?

    Moin,

    vorgefertigt: Nein. Ich bin immer noch der Meinung, dass Du ein Berechtigungsproblem irgendwo in der Configuration Partition hast. Ansonsten: CA deinstallieren und mit dem alten Zertifikat und CA-Namen neu installieren sollte es eigentlich heilen.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 8. Januar 2021 11:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Mittels den limitierten Möglichkeiten eines Forums wird es eher schwer ein detailliertes Troubleshooting durchführen zu können.

    Es wäre m.E. notwendig mittels einer Support-Session direkt sich die Gegebenheiten und Konfigurationsparameter anzusehen, um daraus Rückschlüsse über das eigentliche Fehlerbild sich machen zu können.

    Such Dir deswegen bitte einen Dienstleister Deiner Wahl oder wende Dich auch direkt an den Microsoft Support, um dieses für Deinen speziellen Fall durchführen zu lassen.

    --

    Tobias Redelberger

    D-10365 Berlin
    Germany

    Samstag, 9. Januar 2021 10:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    vielen Dank für die Antwort.

    Selber habe ich das Problem bisher noch nicht lösen können.

    Deshalb würde ich gernen einen entsprechenden Dienstleister oder den Microsoft Support in Anspruch nehmen.

    Leider tue ich mich da ziemlich schwer jemanden hier im Berliner Raum zu finden, der da auch wirklich Ahnung von hat.

    und auf den Microsoft Supportseiten drehe ich mich im Kreise. Ich finde einfach da einfach nicht den richtigen Link, übner den ich eine entsprechendes, auch kostenpflichtige, Anfrage stellen kann.

    Kann mir bitte da jemand helfen, es ist zu verzwifeln.

    viele Grüße,

    Heiko Witt

    Heiko

    Freitag, 22. Januar 2021 15:42
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Tobias oben hat Dir doch indirekt seine Zuarbeit angeboten ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 22. Januar 2021 19:03
    |