none
Win Server 2012 R2 Essentials Pack: Gesperrtes Zertifikat RRS feed

  • Frage

  • Hallo Community,

    ich habe zu Hause einen Windows Server 2012 R2 mit Essentials Pack als zusätzlichen Domänencontroller für den externen Remotezugriff. Nun habe ich für die dynamische DNS Aktualisierung das hauseigene Angebot genutzt und mir eine *.remotewebaccess.com Adresse geholt. Dies hat bis zum neu-Aufsetzen des Server auch immer reibungslos funktioniert, jedoch erhalte ich nun von extern (Arbeit, Smartphone) immer den Hinweis, dass das Zertifikat gesperrt wurde. Wenn ich zu Hause über mein Lan die remotewebaccess-Adresse anspreche, erhalte ich diese Meldung nicht. Ich habe, nachdem ich die Seite zu Hause geladen habe (remotewebaccess.com.. - nicht lokal), das Zertifikat, welches der IE ausweist, mit dem auf dem Server verglichen (im IIS angezeigt). Hier scheint alles zu stimmen. Soll heißen, die Hash Angaben stimmen überein. Ich kann mir daher nicht erklären, wie es zu diesem Fehler kommt.

    Ich bin mir nicht sicher, welche Angaben hier weiterhelfen könnten, daher bitte einfach nachfragen, ich werde so schnell wie möglich Antworten. Danke.

    Gruß,
    Johannes

    Mittwoch, 7. Januar 2015 06:31

Antworten

  • Das Problem ist laut einem anderen Eintrag, am Ende des Posts, gefixt.

    Man muss denselben Domänennamen erneut beantragen:

    - Dashboard (des Essential Packs) -> Einstellungen -> Domänenname -> Einrichten

    - "Einen anderen Domänennamenanbieter oder Domain Name Service verwenden" auswählen. (Dann denselben Domänennamen erneut eintragen und dem Dialog folgen)

    - "iisreset /noforce" ausführen.

    - Im Dashboard überprüfen, ob es Warnungen oder Fehler gibt. Diese ggf. beheben.

    Funktioniert bei mir. Sollte es morgen weiterhin funktionieren, werde ich dies und damit den Hinweis auf den oben genannten Eintrag als Lösung markieren. Danke an Alle.

    Freitag, 16. Januar 2015 19:44

Alle Antworten

  • Hallo jwielsch,

    betrifft Dein Problem eine Firma Umgebung? Wenn nicht, für Fragen über Heim- und Personal Umgebungen, werden die Fragen am besten und am schnellsten in den Microsoft Answers Forum beantwortet:

    http://answers.microsoft.com/de-de

    Danke,

    Michaela

     

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 7. Januar 2015 14:28
    Moderator
  • Danke für den Hinweis, ich werde es dort versuchen. Es ist zwar im Grunde im Rahmen der Heimanwendung, ich war mir allerdings nicht im klaren darüber, dass auch Windows Server 2012 R2 in diesen Rahmen fallen kann.
    Mittwoch, 7. Januar 2015 17:02
  • Hallo Frau Dimova, ich kann Ihre Antwort nicht ganz nachvollziehen, da hier in der Technet Community die Experten im Bereich Server Vertreten sind und die Frage sich auf ein Server OS bezieht. Von meiner Seite aus betrachtet, wird die Frage mit aller Wahrscheinlichkeit in der Microsoft Community nicht beantwortet werden können. MfG Matthias
    Mittwoch, 7. Januar 2015 21:55
  • Hallo Matze78,

    Ja, Sie haben Recht! Ein Sever bleibt ein Server. Wissen über Serverthemen kann man in beiden Foren finden.

    Das Thema bleibt weiterhin aktuell für die Community.

    Danke und Gruß,

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 8. Januar 2015 07:07
    Moderator
  • Hallo Johannes

    Ich sehe vielleicht zwei Möglichkeiten :

    • Sie benutzen auf dem Browser einen Name der ist nicht der Name des Zertifikat.
    • Sie haben der root Zertifikat der CA auf die Geräte ( Computer, Smartphone) nicht importiert.

    Wir brauchen die weiteren Informationen von die Meldung.

    Haben Sie diese Website ansehen ?
    http://blogs.technet.com/b/sbs/archive/2014/05/07/configuring-and-customizing-remote-web-access-on-windows-server-2012-r2-essentials.aspx

    Ich kenne leider Essential nicht gut genug. Ich weiße nicht ob das root Zertifikat gebraucht von dem Wizard ist ein self signed Zertifikat (Sie müssen es importieren) oder ein Zertifikat das kommt aus dem Microsoft Website (Es sollte schon da sein).

    Grüß

    Nathan




    • Bearbeitet TadNa Donnerstag, 8. Januar 2015 08:42
    Donnerstag, 8. Januar 2015 08:36
  • Guten Tag Nathan,

    danke für Ihre Antwort. Im Essentials Pack wird über Microsoft ein Domänen-Zertifikat von GoDaddy konfiguriert, bereitgestellt und im IIS passend in die Webseite eingebunden. Die Bindungen stimmen, die URL stimmt ebenso. Allerdings wird das Zertifikat immer wieder (von GoDaddy) gesperrt. Dies ist für mich nicht nachzuvollziehen. Inzwischen wird mir zumindest auch im LAN angezeigt, dass es um ein "Cert revoked" geht. Hilfreich wäre ein Hinweis, an wen ich mich da wenden kann. Ich werde heute Abend versuchen (noch einmal) ein neues Zertifikat zur erhalten und schauen ob jenes wieder gesperrt wird.

    Donnerstag, 8. Januar 2015 09:54
  • Hi

    Am 08.01.2015 10:54, schrieb Johannes Wielsch:

    Im Essentials Pack wird über Microsoft ein
    Domänen-Zertifikat von GoDaddy konfiguriert,[...]

    Warum verwendest du kein eigenes? Das ist billiger und genauso sicher.

    Wenn du dir ein klassisches SelfSigned aussstellst muss du es nur bei jedem Gerät in die Vertrauenswürdigen Stammzertifizierungsstellen aufnehmen. Im eigenen AD geht das per GPO total simpel.

    Eigenes Zertifikat erstellen, entweder mit makecert, das wesentlich mehr Optionen bietet
    http://www.gruppenrichtlinien.de/artikel/selfsigned-certificate-selbserstelltes-zertifikat-makecertexe/

    oder mit selfssl
    http://www.gruppenrichtlinien.de/artikel/selfsigned-certificate-selbserstelltes-zertifikat-selfsslexe/

    und dann per GPO verteilen:
    http://www.gruppenrichtlinien.de/artikel/zertifikate-verteilen/

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Donnerstag, 8. Januar 2015 10:15
  • Hallo Johannes

    Sind Sie sicher das die Root CA Zertifikate von GoDaddy wurden importiert ?

    https://certs.godaddy.com/repository

    Grüß

    Nathan

    Donnerstag, 8. Januar 2015 13:34
  • Danke für die ausführliche Hilfe! Sehr cool. 

    Ich wollte eine externe Seite bereitstellten und dazu benötige ich die Absegnung durch eine autorisierte Stelle. Und nur darum geht es mir bei dem Essentials Pack. Mit der Kombi aus DynDNS, Remotewebsite, VPN, Backup&Restore sowie dem zwar einfachen aber passenden Verwaltungstool, hab ich für meinen Anwendungszweck in der DMZ genau das richtige. Intern habe ich mein root CA bereits über einen zweiten DC verteilt.
    Freitag, 9. Januar 2015 18:13
  • Auch hier vielen Dank für die ausführliche Antwort. Das mit den Screenshots ist super.

    Ich habe das Zertifikat über das Essentials Pack Tool zwei Mal neu beantragt. Das Ergebnis ist immer dasselbe. Es wird als gültig ausgewiesen, ist aber meistens nach kurzer zeit gesperrt.

    Momentan funktioniert der Zugriff von extern leider gar nicht. Intern läuft die Seite reibungslos.

    Ich hab mal nachgeschaut (obwohl es bisher ja immer funktioniert hat): Meine Firewall zeigt mir weiterhin an, dass die Anfragen durchgereicht werden und alle Anwendungspools laufen.

    Ich werde einfach noch ein wenig warten und schauen ob ich rausfinde, ob es an meiner Struktur oder dem Service liegt.

    UPDATE

    Ich habe etwas weiter recherchiert. Es gibt anscheinend bereits einen ähnlichen Thread:
    https://social.technet.microsoft.com/Forums/windowsserver/en-US/bd41e585-976d-48cf-9eac-73b43a41d59b/wse-2012-and-ssl-certificate-is-revoked-but-it-really-has-not-been-revoked?forum=winserveressentials
    Hat jemand einen Tipp oder ist am besten, wenn ich mich auch an GoDaddy wende?

    Freitag, 9. Januar 2015 18:38
  • Ich habe den alten Domänennamen nun freigegeben und einen neuen mit anderem Namen beantragt. Der Vorgang dauert nur 30 Sekunden und ich hatte die Hoffnung, dass danach alles wieder läuft.

    Jedoch wird auch das neue Zertifikat mit dem neuen Namen ziemlich schnell gesperrt. Ich werde mich wohl an GoDaddy wenden und das Ergebnis hier posten.

    Samstag, 10. Januar 2015 12:10
  • Am 10.01.2015 schrieb Johannes Wielsch:

    Ich habe den alten Domänennamen nun freigegeben und einen neuen mit anderem Namen beantragt. Der Vorgang dauert nur 30 Sekunden und ich hatte die Hoffnung, dass danach alles wieder läuft.

    Jedoch wird auch das neue Zertifikat mit dem neuen Namen ziemlich schnell gesperrt. Ich werde mich wohl an GoDaddy wenden und das Ergebnis hier posten.

    Du bist nicht allein:
    http://social.Technet.microsoft.com/Forums/de-DE/windows_Serverde/thread/6501132e-0347-416e-a5ad-5cc92e41a706#6501132e-0347-416e-a5ad-5cc92e41a706
    Ist ein grundsätzliches Problem.


    Servus
    Winfried

    Gruppenrichtlinien
    HowTos zum WSUS Package Publisher
    WSUS Package Publisher
    HowTos zum Local Update Publisher
    NNTP-Bridge für MS-Foren

    Samstag, 10. Januar 2015 13:03
  • Vielen Dank für den Hinweis! Ich werde das weiter verfolgen und diesen Thread updaten.
    Sonntag, 11. Januar 2015 13:03
  • Das Problem ist laut einem anderen Eintrag, am Ende des Posts, gefixt.

    Man muss denselben Domänennamen erneut beantragen:

    - Dashboard (des Essential Packs) -> Einstellungen -> Domänenname -> Einrichten

    - "Einen anderen Domänennamenanbieter oder Domain Name Service verwenden" auswählen. (Dann denselben Domänennamen erneut eintragen und dem Dialog folgen)

    - "iisreset /noforce" ausführen.

    - Im Dashboard überprüfen, ob es Warnungen oder Fehler gibt. Diese ggf. beheben.

    Funktioniert bei mir. Sollte es morgen weiterhin funktionieren, werde ich dies und damit den Hinweis auf den oben genannten Eintrag als Lösung markieren. Danke an Alle.

    Freitag, 16. Januar 2015 19:44