Remove From My Forums

Fehler bei Smartcard Anmeldung nach 2008 zu 2012 Upgrade, Zertifikat wurde reimportiert, KDC, Schlüsselverwendung (Extended Key Usage, EKU)

Frage
0

Anmelden

Ich habe ein Fehler bei Smartcard Anmeldung nach 2008 zu 2012 Upgrade, das Zertifikat habe ich reimportiert. Nun ist es aber nur für 2 von ursprünglich 4 Zwecke geeignet, warum?!

- Garantiert die Identität eines Remotecomputers

- Garantiert dem Remotecomputer Ihre Identität

- Smartcard-Anmeldung

- KDC-Authentifizierung

Eventviewer:

Error:

Der Client konnte das Domänencontrollerzertifikat für ad-3.ad.uni-mannheim.de nicht verifizieren. Der folgende Fehler wurde vom Zertifikatverifizierungsprozess zurückgegeben: Das Zertifikat ist für den angeforderten Zweck nicht zugelassen.

Eine Sek. davor:

Warnung:

Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) wird ein Zertifikat ohne erweiterte Schlüsselverwendung (Extended Key Usage, EKU) für das KDC verwendet. Dies kann bei Gerätezertifikatanmeldungen und Smartcardanmeldungen von Geräten ohne Domänenzugehörigkeit zu Authentifizierungsfehlern führen. Die Registrierung eines KDC-Zertifikats mit KDC-EKU (Kerberos-Authentifizierungsvorlage) ist erforderlich, um diese Warnung zu beseitigen.

Freitag, 13. Juni 2014 12:54

Antworten

|

Zitieren

Antworten

1

Anmelden
So ich konnte es lösen :))

Unter vertrauenswürdige Stammzertifizierungsstellen werden durch die Aufmahne in die AD oder durch das Promoten zum DC repliziert, spielt man diese früher ein gibt es beim AD Add o. Promote, 3 Duplikate!!! Die sind so bescheuert und der DB verknüpft dass man 2 Objekte in der Liste angezeigt bekommt, mit angeblich unterschiedlichen Einstellungen, die aber beide aus die selbe GUID verweisen und daher die selben Einstellungen besitzen.

Desweiteren hatte das Telekom Root CA 2 aus irgendeinem mir unerklärlichen Grund nur 3 Verwendungszwecke aktiv!? Ich setzte den Radiobutton auf "Nur..." und Markierte die benötigten Services. Fertig

Bilder darf ich keine hinzufügen.
- Als Antwort markiert Alex Pitulice Mittwoch, 18. Juni 2014 09:21
Montag, 16. Juni 2014 10:09

Antworten

|

Zitieren

Alle Antworten

0

Anmelden
Push, muss ich in einem solchen Migrationsfall zwingend ein neues Zertifikat anfordern? U.a. Wegen der geänderten GUID?
- Bearbeitet n2cascade Montag, 16. Juni 2014 08:01
Montag, 16. Juni 2014 07:57

Antworten

|

Zitieren
0

Anmelden

Desweiteren ist mir noch aufgefallen dass die darüberledigenden Zertifizierungsstellen bis hin zur exkl. Telecom Root CA 2 lediglich Email Server und Client Zertifizierung anbieten und nicht die gesamte Palette an ca. 20 weiteren "Diensten". Das o.g. Problem könnte nur ein Folgeeffekt davon sein. Aber wie kann das passieren?

Montag, 16. Juni 2014 08:39

Antworten

|

Zitieren
1

Anmelden
So ich konnte es lösen :))

Unter vertrauenswürdige Stammzertifizierungsstellen werden durch die Aufmahne in die AD oder durch das Promoten zum DC repliziert, spielt man diese früher ein gibt es beim AD Add o. Promote, 3 Duplikate!!! Die sind so bescheuert und der DB verknüpft dass man 2 Objekte in der Liste angezeigt bekommt, mit angeblich unterschiedlichen Einstellungen, die aber beide aus die selbe GUID verweisen und daher die selben Einstellungen besitzen.

Desweiteren hatte das Telekom Root CA 2 aus irgendeinem mir unerklärlichen Grund nur 3 Verwendungszwecke aktiv!? Ich setzte den Radiobutton auf "Nur..." und Markierte die benötigten Services. Fertig

Bilder darf ich keine hinzufügen.
- Als Antwort markiert Alex Pitulice Mittwoch, 18. Juni 2014 09:21
Montag, 16. Juni 2014 10:09

Antworten

|

Zitieren
0

Anmelden

Hallo n2cascade,

vielen Dank für die Rückmeldung mit der Lösung.

Gruss,

Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Mittwoch, 18. Juni 2014 09:21

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Fehler bei Smartcard Anmeldung nach 2008 zu 2012 Upgrade, Zertifikat wurde reimportiert, KDC, Schlüsselverwendung (Extended Key Usage, EKU)

Frage

Antworten

Alle Antworten