none
Moving SubCA von W2k3Ent zu W2k8Ent RRS feed

  • Frage

  • Hi@All,

    ja, ich schon wieder :-)

    Habe versucht meine ausstellende SubCA(Unternehmen) von W2003Ent auf W2008Ent zu bringen, was auch soweit funktioniert, ausser
    das ichh jetzt keinerlei Zertifkatsvorlagen habe, weder Standard noch Benutzerdefinierte.

    Ebenso scheitert die Überprüfung mit dem SnapIn Unternehmens-PKI(Enterprise)

    Meine Schritte:
    Backup SubCa und Export HKLM\...\Certsvr
    Server offline genommen und AD-Account zurückgesetzt.

    W2008Ent mit gleichem Namen aufgesetzt, ab in die Domäne und ADCS installiert, inkl. Webenrollment.
    - hier gab es bereits ein erstes Problem, das der Konfig-Assi das Schlüsselzertifikat der alten SubCa
      nicht lesen/akzeptieren wollte. Habe daraufhin einen neuen Request gemacht und Konfigration abgeschlossen
    Danach Backup zurückspielt und HKLM\...\CertSvr nach Check registiert.
    CA starte fehlerfrei, alle Cer's sind in ihren entsprechenden Speichern, alle ausgestellten u. "fehlerhaften" Zertifikate
    sind in der CA vorhanden.

    Nur habe ich jetzt keine Vorlagen mehr und kann sie auch nicht registrieren.

    Geht überhaupt mein Verfahren mit einer SubCA ?

    Nachtrag für ein EventID

    Protokollname: Application
    Quelle:        Microsoft-Windows-CertificationAuthority
    Datum:         08.06.2009 21:26:56
    Ereignis-ID:   44
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      SYSTEM
    Computer:      svrica.domain.tld
    Beschreibung:
    Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Das Objekt oder die Eigenschaft wurde nicht gefunden. Zurückgegebener Statuscode: 0x80092004 (-2146885628). Die Active Directory-Zertifikatdienste-Richtlinie enthält keine gültigen Zertifikatvorlagen.

    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
        <EventID Qualifiers="49754">44</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2009-06-08T19:26:56.000Z" />
        <EventRecordID>357</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>svrica.alfru.net</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="MSG_E_POLICY_ERROR">
        <Data Name="PolicyModuleDescription">Windows-Standard</Data>
        <Data Name="MethodName">Initialize</Data>
        <Data Name="ErrorCode">0x80092004 (-2146885628)</Data>
        <Data Name="param4">Die Active Directory-Zertifikatdienste-Richtlinie enthält keine gültigen Zertifikatvorlagen.
    </Data>
        <Data Name="ErrorString">Das Objekt oder die Eigenschaft wurde nicht gefunden.</Data>
      </EventData>
    </Event>


    Bisher nichts dazu gefunden, DACLs und ACLs für den Server im AD ok


    Gruß Ralph Andreas Altermann

    Montag, 8. Juni 2009 19:23

Antworten

  • Hi Fabian,

    Datei ist vom Netz. Danke

    Habe die alte SubCa mit allen Schlüsseln gesichert (CA_Backup) und es wurde auch die SubCa.p12 Datei erstellt.

    Auf dem neuen Server habe ich mit dem Assistenten bei der ADCS Rollen Installation unter dem Punkt bestehenden
    Schlüssel importieren zwar die .p12 Datei einlesen können, aber sie wurde nicht akzeptiert. (??)

    Bin so nicht weiter gekommen (trotz nochmaligem Backup) und habe "gesagt" dann mache einen neuen Request
    da ich ja anschliessend das Backup zurück "drüberbügeln" wollte, was ja alles auch ohne Probleme lief.

    Zwischenzeitlich ist mir aufgefallen, das es im Container (AD) Certificate Templates nur W2000 und W2003 
    Zertifikatsvorlagen vorhanden sind. Ich gehe mal jetzt davon aus, das durch den Request noch keine W2008
    Vorlagen erstellt wurden und daher die Problematik herrührt.

    Da der Trace auch keine "Probleme" zeigt, macht es wohl kaum noch Sinn in diesem Rahmen hier noch weiterzumachen
    und ich werde alles nochmal zurücksetzen und mich dann nocheinmal melden mit dem ursprünglichem Problem,
    warum Ca2008 nicht die .p12 Datei aus CaW2003 nimmt.

    Oder siehst Du ggf. noch einen anderen Ansatz ?

    1001 Dankeschöns und
     
    Gruß Ralph Andreas Altermann
    Mittwoch, 10. Juni 2009 16:39

Alle Antworten

  • Hallo nochmal, ;-)

    die 2008er CA ist auch als Enterprise CA installiert? Die Domänenmitgliedschaft ist korrekt und es sind keine weiteren Fehler im Ereignisprotokoll zu finden?
    Ich gehe davon aus, daß unterhalb von CN =Certificate Templates ,CN =Public Key Services,CN =Services,CN =Configuration,DC=domain,DC=tld auch die entsprechenden Vorlagen zu finden sind bzw. auch hier die ACLs stimmen?

    Viele Grüße
    Fabian

    http://blogs.technet.com/deds
    Montag, 8. Juni 2009 21:26
  • Hi,

    musst du das so umziehen? Du könntest wenn die CA´s eine weile nebeneinander laufen können auch einfach die neuen ZErtifikate von der neuen CA ausstellen lassen und die alte nur noch so lange in Betrieb lassen bis alle von dort ausgestellten Zertifikate abgelaufen sind.
    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Dienstag, 9. Juni 2009 07:12
  • Hi@Walter,

    >musst du das so umziehen?
    Jaein, da ich mit StammCa's auch im Worstcasefall, bisher gute Erfahrungen gemacht habe.
    ..und die Konfiguration einer weiteren (neuen) SubCa, ist doch sehr aufwendig (bei uns), mit CRL und den Urls & Co,
    sowie den Benutzerdefinierten Zertifikaten.
    Eigentlich läuft ja auch alles, nur das ich keine Zertifikatsvorlagen innerhalb der SubCa habe. In der Domäne (AD)
    sind Sie da und können mit dem SnapIn "Zertifikatsvorlagen" sogar eingelesen und ggf. bearbeiten werden.

    Hi@Fabian,
    Kann alles bisher mit Ja beantworten, bin aber noch weiter auf der (Detail-)Suche.


    Ja und wie geschrieben, PKIView (Unternehmens-PKI) geht auch noch nicht. Irgendwo ist der Wurm drin.


    Danke
    Gruß Ralph Andreas Altermann
    Dienstag, 9. Juni 2009 09:14
  • Hallo,

    die fehlenden Templates sollten nach Anwendung von http://support.microsoft.com/kb/967332 wieder hergestellt sein.

    Was genau funktioniert beim PKIview nicht?

    Viele Grüße
    Carsten
    Dienstag, 9. Juni 2009 14:54
  • Hallo,

    die "fehlenden" Templates in dem von Carsten angeführten Artikel entstehen nur bei einem Inplace Upgrade von Windows Server 2003 Standard zu Windows Server 2008 Enterprise. Das ist in dem oben beschriebenen Fall nicht das Szenario.

    Die Frage nach den PKIVIEW Fehlern ist auf jeden Fall relevant.

    Vielleicht kannst Du auch einmal einen Netzwerktrace ziehen, wenn die CA neu startest. Es wäre interessant zu sehen,  ob fehlschlagende Requests auftauchen, wenn die Zertifikatvorlagen geprüft werden.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Dienstag, 9. Juni 2009 16:26
  • Hi@All,

    und erst einmal Danke für Eure Hilfe.

    @Fabian
    SnapIn "Unternehmens-PKi" sagt Fehler :-) und im SnapIn steht selbst:
    ...es kann keine Unternehmenszertifizierungsstelle gefunden werden. Stellen Sie sicher, das in der Gesamtstruktur
    eine Unternehmenszertifizierungsstelle vorhanden und im Registrierungsdienstecontainer des DC aufgeführt ist.

    SnapIn "Zertifikatvorlagen (dc.domäne.tld)"
    zeigt alle Zertifikatsvorlagen an.

    Neustart von CertSvc birngt nur in der Ereignisanzeige o.a. ID 44
    und der korrespondierende Technet-Artikel half bisher auch nicht weiter.

    Netzwerktrace habe ich schon lange nicht mehr gemacht, gibts ein How to Do ?

    Gruß Ralph Andreas Altermann
    Mittwoch, 10. Juni 2009 08:58
  • Hallo Ralph Andreas,

    überprüfe im CA Zertifikat einmal, auf welchen Pfad die AIA verweist. Das müßte unterhalb von CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld sein. Gleiches gilt für den Container "Certificate Authorities". Ist dort überhaupt noch das Root-CA Zertifikat enthalten?

    Ggf. solltest Du noch einmal  mittels "certutil -dspublish" die erforderlichen Stellen mit dem CA Zertifikat ausstatten.

    Ein HowTo für Netzwerktraces ist mir im Moment nicht bekannt. Aber Du kannst beispielsweise den NetMon 3.2 einfach auf der CA installieren, den Netzwerktrace starten, danach dann auf "protocol.ldap" filtern und prüfen, was da so über die Leitung geht, wenn Du die CA startest (in Bezug auf die Public Key Services" Sub-Container).

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Mittwoch, 10. Juni 2009 09:16
  • Hi Fabian,

    habe mit NetMon 3.3 mal den Neustart von CertSvc getract, kann aber nichts feststellen, bin aber ein wenig unerfahren in
    der Auswertung.

    Wenn Du mal Zeit hast, findest Du den Trace unter ftp.alfru.net/public/hilfe/alfrupki.zip (0,2MB)

    certutil -addstore und -dspublish hat nichts gebracht, außer das alles schon vorhanden ist.
    Gruß Ralph Andreas Altermann
    Mittwoch, 10. Juni 2009 11:11
  • Hi,

    nimm mal bitte den Trace wieder vom Netz, da sind ein paar datenschutztechnisch relevante Daten drin...
    Sieht soweit gut aus, zumindest konnte ich keinen Fehler sehen. Das "User" Template wird definitiv erfolgreich abgerufen.

    Mir ist nicht ganz klar, was Du zu Beginn meistest, als Du sagtest, daß Du einen neuen Request erstellt hast, als Du Probleme beim Import des alten Zertifikats hattest. Hast Du ein neues CA Zertifikat für die SubCA ausgestellt?

    Vielleicht liegt hierbei auch irgend ein Problem - der Fehler 0x80092004 CRYPT_E_NOT_FOUND kann auch darauf hinweisen, daß das benötigte SubCA Zertifikat nicht verfügbar ist. Welchen Zertifikatzweck hat das aktuelle SubCA Zertifikat (schau einmal in das Zertifikat hinein, dort findest Du die Angaben zur Usage / Verwendung)?

    Viele Grüße
    Fabian


    http://blogs.technet.com/deds
    Mittwoch, 10. Juni 2009 15:52
  • Hi Fabian,

    Datei ist vom Netz. Danke

    Habe die alte SubCa mit allen Schlüsseln gesichert (CA_Backup) und es wurde auch die SubCa.p12 Datei erstellt.

    Auf dem neuen Server habe ich mit dem Assistenten bei der ADCS Rollen Installation unter dem Punkt bestehenden
    Schlüssel importieren zwar die .p12 Datei einlesen können, aber sie wurde nicht akzeptiert. (??)

    Bin so nicht weiter gekommen (trotz nochmaligem Backup) und habe "gesagt" dann mache einen neuen Request
    da ich ja anschliessend das Backup zurück "drüberbügeln" wollte, was ja alles auch ohne Probleme lief.

    Zwischenzeitlich ist mir aufgefallen, das es im Container (AD) Certificate Templates nur W2000 und W2003 
    Zertifikatsvorlagen vorhanden sind. Ich gehe mal jetzt davon aus, das durch den Request noch keine W2008
    Vorlagen erstellt wurden und daher die Problematik herrührt.

    Da der Trace auch keine "Probleme" zeigt, macht es wohl kaum noch Sinn in diesem Rahmen hier noch weiterzumachen
    und ich werde alles nochmal zurücksetzen und mich dann nocheinmal melden mit dem ursprünglichem Problem,
    warum Ca2008 nicht die .p12 Datei aus CaW2003 nimmt.

    Oder siehst Du ggf. noch einen anderen Ansatz ?

    1001 Dankeschöns und
     
    Gruß Ralph Andreas Altermann
    Mittwoch, 10. Juni 2009 16:39
  • Nein, aus der Ferne sehe ich im Moment leider keinen anderen Ansatz.
    Wichtig wäre die Fehlermeldung, die beim Importieren des Zertifikats angezeigt wird.

    Viele Grüße
    Fabian

    http://blogs.technet.com/deds
    Mittwoch, 10. Juni 2009 19:13
  • Hi Fabian,

    >Nein, aus der Ferne sehe ich im Moment leider keinen anderen Ansatz.
    Klar, bist aber auf einen Kaffee oder mehr gerne eingeladen :-)

    Ok, dann alles zurück bei mir.

    Machen eine neuen Thread auf wenn ich an der Position bin.
    Gruß Ralph Andreas Altermann
    Mittwoch, 10. Juni 2009 19:36