Hallo,
seit heute morgen habe ich ein Problem mit meiner Server 2008R2 SP1 PKI.
Einer unserer Kunden nutzt Benutzerzertifikate um sich per EAP-TLS in ein 802.1x WLAN zu verbinden. Das sieht folgendermaßen aus:
Client -> Cisco AP -> Linux Gateway extern -> IPSec Tunnel -> Linux Gateway intern -> DMZ -> Server 2008R2 SP1 mit CA
Heute morgen hatte der Admin unseres Kunden sich noch ein eigenes, neues Benutzerzertifikat erstellt, dann rief er mich an und es funktionierte nicht mehr. Der Fehler war / ist:
Fehler bei der Anforderung. Beim Verarbeiten der Anforderung ist ein Fehler aufgetreten.
Weitere Hilfe erhalten Sie vom Administrator.
Anforderungsmodus:
- newreq - Neue Anforderung
- Disposition:
- (nie gesetzt)
- Dispositionsmeldung:
- (kein)
- Ergebnis:
- Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
- COM-Fehlerinformationen:
- CCertRequest::Submit: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
- Letzter Status:
- Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 0x8007054b (WIN32: 1355)
- Mögliche Ursache:
- Keine Vorschläge.
Da ich gelesen habe, dass der Fehler 0x8007054b (WIN32: 1355) auf einen Fehler im AD und / oder DNS hinweist, habe ich alles untersucht. Die IIS Einstellungen sind korrekt. Die CA hat auch keine Fehlermeldungen ausgegeben.
Anmeldungen, GPO, FSMO Rollen, dcdiag, netdiag, alles funktioniert einwandfrei. In meiner Verzweiflung habe ich dann den Server sogar neu gestartet, was auch ohne irgendwelche Probleme funktioniert hat.
Die Website
http(s)://server/certsrv funktioniert auch perfekt, bis zum Punkt "Einsenden", also wenn man die Zertifikatanforderung an den Server schicken soll. Dann erscheint das schöne grünfarbene Popup und in der IE9 Statusleiste sehe ich dass auf die Rückmeldung
des CA Servers gewartet wird, danach erscheint die Fehlermeldung.
Interessanterweise funktioniert eine Anforderung, wenn ich als Admin auf der Maschine eine erweiterte Zertifikatsanforderung einreiche, diese speichere, und per MMC Snap-In das Zertifikat ausstelle. Ohne Fehler wird das
Zertifikat erstellt und auch in die Liste ausgestellter Zertifikate eingetragen.
Hat evtl. hier jemand eine Idee?
Grüße
Lenniey
