locked
Zertifikatserneuerung auf TMG 2010 RRS feed

  • Frage

  • Hi,

    ich habe das Problem, dass ich auf dem TMG 2010 meine in Kürze ablaufenden Zertifikate nicht erneuern kann.

    Ich gehe über die MMC zu den Zertifikaten, gehe mit der rechten Maustaste auf erneuern mit demselben Schlüssel, komme in das Pop-Up Menü, sehe dass das Zertifikat auf der auf einem anderen Server laufenden Domain-Zertifizierungsstelle (PKI) verfügbar ist, klicke auf "registrieren" und es passiert im Gegensatz zu anderen Maschinen zuerst einmal etwa 30 Sekunden gar nichts und dann kommt "Status: gescheitert" mit der Zusatzmeldung, "Der RPC-Server ist nicht verfügbar".

    Ein ähnliches Problem hatte ich auch schon unter Windows 2003 R2 mit MS ISA Server 2006 (der immer noch bei uns läuft) und da war es in der Systemrichtlinie, dass man den Haken von "Authentifizierungsdienste\Active Directory\Strikte RPC-Einhaltung erzwingen" entfernen musste und seit dem funktioniert es dort problemlos. Leider ist das beim TMG 2010 unter Windows Server 2008 R2 nicht mehr so. Das Häckchen ist natürlich auch da weg, aber die Anforderungen funktionieren trotzdem nicht.

    Kann mir vielleicht jemand einen Tip geben, wo ich den Hebel ansetzen kann?

    Lg, Bernhard

    Samstag, 26. Mai 2012 15:21

Antworten

Alle Antworten

  • moin bernhard,

    1. strikte rpc-einhaltung in den systemrichtlinen ausschalten.

    2. eine temporäre any-regel von lokal host nach intern anlegen.

    3. übernehmen / syncen

    4. zertifikat beantragen/erneuern.

    5. die obigen schritte 1 und 2 rückgängig machen.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Samstag, 26. Mai 2012 20:44
  • Hallo Jens,

    habe es gerade über remote versucht und hat wunderbar geklappt. Danke für den Tip!

    Einzig was ich nicht ganz verstehe ist, warum braucht der ISA Server 2006 SP-2 (unter Windows Server 2003 R2) diese Regel nicht um Zertifikate anzufordern oder zu erneuern. Da habe ich so eine Regel nicht (über den bin ich jetzt von extern in die Firma verbunden) und trotzdem funktioniert es wunderbar. So verschieden sind doch die Firewalls auch nicht, oder?

    Herzlichen Dank nochmals

    Lg, Bernhard

    Sonntag, 27. Mai 2012 14:49
  • Hi,

    eigentlich braucht diesen "Trick" auch ISA 2006:
    http://blogs.technet.com/b/isablog/archive/2007/05/16/rpc-filter-and-enable-strict-rpc-compliance.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Sonntag, 27. Mai 2012 20:18
  • und bei isa war es sogar "unfluffiger", da man den firewalldienst neu starten musste.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Mittwoch, 30. Mai 2012 08:02