none
Zertifikat für LDAPS ausstellen (Dienstkonto) Server 2008 RRS feed

  • Frage

  • Eines unserer Zertifikate zur Serverauthentifizierung ist abgelaufen und muss erneuert werden. Es gibt unter dem Dienstkontenbereich allerdings keine entsprechende Auswahl für die Zertifikatsanfrage.

    Ich habe auch mal eine Vorlage erstellt und aktiviert so wie hier beschrieben:


    Dieser Artikel spricht aber vom lokalen Computerkonto des DC, bei unserem DC02 liegt das entsprechende Zertifikat unter dem Dienstkonto, dort taucht meine Zertifikatsanforderungsvorlage nicht auf, wie auf dem ersten Bild zu sehen. Das Zertifikat vom dc02 kann ich auch nicht kopieren, weil sich der priv. Schlüssel nicht exportieren lässt.

    Kann mir bitte jemand weiterhelfen? :-)

     



    Dienstag, 26. Februar 2013 16:50

Antworten

  • Hat sich erledigt - funktioniert wieder.

    Das bisherige Zertifikat stammte noch aus einer 2003er PKI und wurde nach Ablauf durch ein Domaincontroller Zertifikat im Computerkonto ersetzt, das wurde allerdings nicht gleich verwendet. Mittlerweile funktioniert wieder alles, ohne dass etwas geändert wurde.

    • Als Antwort markiert Kevin Meister Donnerstag, 4. April 2013 07:21
    Donnerstag, 4. April 2013 07:20

Alle Antworten

  • Für LDAPS reicht ganz primitiv "Serverauthentifizierung". ADDS nimmt das
    Zertifikat dann automatisch.
     
    mfg Martin
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 26. Februar 2013 19:56
  • Ja, Serverauthentifizierung würde reichen - das taucht aber auch nicht bei den Anforderungen auf, siehst ja oben was alles erscheint.
    Mittwoch, 27. Februar 2013 08:13
  •  
    > Ja, Serverauthentifizierung würde reichen - das taucht aber auch nicht
    > bei den Anforderungen auf, siehst ja oben was alles erscheint.
     
    Fehlt Dir das passende Template? (Mangels MS PKI kann ich's leider nicht
    reproduzieren ;-()
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Mittwoch, 27. Februar 2013 11:07
  • Anscheinend - wo kann ich das denn festlegen welche Templates ich da habe? In der Liste tauchen ganz andere Sachen auf als in meinem Zertifikatvorlagen (siehe Screenshots)
    Mittwoch, 27. Februar 2013 13:56
  • Hallo,

    in welchem Kontext wird die Zertifikatsanforderung erstellt? Dem Screenshot nach sieht es nach dem aktuellen Benutzer aus, daher werden auch nur für Benutzer zulässige Vorlagen angeboten.

    Du könntest auf dem betreffenden Server einmal folgendes versuchen:

    1. Eine leere MMC öffnen (Eingabeaufforderung > mmc.exe)
    2. SnapIn hinzufügen
    3. Zertifikate wählen
    4. Kontext: Computer > lokaler Computer
    5. "Zertifikate" - "Eigene Zertifikate" - "Zertifikate" öffnen
    6. Mit Rechtsklick > Alle Aufgabe - Zertifikat anfordern
    7. Dann solltest Du die Auswahl der für Computer zulässigen Zertifikatsvorlagen sehen und das entsprechende Zertifikat anfordern können

    ---

    Eventuell solltest Du für das LDAPS Zertifikat über Auto-Enrollment nachdenken. So kann wenigstens nicht vergessen werden, das Zertifikat nach Ablauf zu erneuern.

    Configure Certificate Autoenrollment


    This posting is provided "AS IS" with no warranties.

    Donnerstag, 28. Februar 2013 06:26
  • Hallo Dark Grant,

    Kontext ist immer Domainenadministrator. Wenn ich eine Zertifikatsanforderung für den Computer erstelle habe ich alle aktiven Vorlagen zur Auswahl, so wie man es erwarten würde. Das Problem ist, wenn ich hier die Anforderung bei der CA einreiche bekomme ich das hier:

    Was bedeutet das?

    Donnerstag, 28. Februar 2013 11:24
  • Hallo,

    wenn Du Glück hast, ist lediglich die Zertifikatsvorlage fehlerhaft. Wenn Du Pech hast, gibt es ein DNS oder sonstiges Problem in Deiner Domäne.

    Zuerst solltest Du daher Deine Domain Controller auf Fehler prüfen.

    Dcdiag

    Bei Fehlern kann Dir möglicherweise jemand im AD-Forum weiterhelfen.

    ---

    Wenn es Deinen DCs und dem DNS gut geht und das Problem immer noch besteht, kannst Du mit folgendem Befehl die Eigenschaften der Zertifikatsvorlage abfragen:

    certutil -v -template [Name der Vorlage] >> C:\template.txt

    Das Ergebnis bitte als Codeblock einstellen. Vielleicht findet sich dann eine Lösung.


    This posting is provided "AS IS" with no warranties.

    Donnerstag, 28. Februar 2013 19:27
  • Bei dcdiag treten folgende Fehler auf:

    Test SystemLog nicht bestanden.
    
    Starting test: VerifyEnterpriseReferences
    
             Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden
    
             Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf
    
             die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund
    
             ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen
    
             Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch
    
             besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen
    
             vergangen ist. 
                [1] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                [2] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. 
             ......................... CXKADC01 hat den Test
    
             VerifyEnterpriseReferences nicht bestanden.


    dcdiag.log

    Verzeichnisserverdiagnose
    
    
    Anfangssetup wird ausgefhrt:
    
       Der Homeserver wird gesucht...
    
       Homeserver = CXKADC01
    
       * Identifizierte AD-Gesamtstruktur. 
       Sammeln der Ausgangsinformationen abgeschlossen.
    
    
    Erforderliche Anfangstests werden ausgefhrt.
    
       
       Server wird getestet: Karlsruhe\CXKADC01
    
          Starting test: Connectivity
    
             ......................... CXKADC01 hat den Test Connectivity
    
             bestanden.
    
       
       Server wird getestet: Karlsruhe\CXKADC02
    
          Starting test: Connectivity
    
             ......................... CXKADC02 hat den Test Connectivity
    
             bestanden.
    
    
    
    Prim„rtests werden ausgefhrt.
    
       
       Server wird getestet: Karlsruhe\CXKADC01
    
          Starting test: Advertising
    
             ......................... CXKADC01 hat den Test Advertising bestanden.
    
          Starting test: CheckSecurityError
    
             [CXKADC01] Auf dem Dom„nencontroller wurden keine sicherheitsbedingten
    
             Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um
    
             die Verbindung an einen bestimmten Quelldom„nencontroller zu richten:
    
             /ReplSource:<Dom„nencontroller>.
    
             ......................... CXKADC01 hat den Test CheckSecurityError
    
             bestanden.
    
          Starting test: CutoffServers
    
             ......................... CXKADC01 hat den Test CutoffServers
    
             bestanden.
    
          Starting test: FrsEvent
    
             ......................... CXKADC01 hat den Test FrsEvent bestanden.
    
          Starting test: DFSREvent
    
             ......................... CXKADC01 hat den Test DFSREvent bestanden.
    
          Starting test: SysVolCheck
    
             ......................... CXKADC01 hat den Test SysVolCheck bestanden.
    
          Starting test: FrsSysVol
    
             ......................... CXKADC01 hat den Test FrsSysVol bestanden.
    
          Starting test: KccEvent
    
             ......................... CXKADC01 hat den Test KccEvent bestanden.
    
          Starting test: KnowsOfRoleHolders
    
             ......................... CXKADC01 hat den Test KnowsOfRoleHolders
    
             bestanden.
    
          Starting test: MachineAccount
    
             ......................... CXKADC01 hat den Test MachineAccount
    
             bestanden.
    
          Starting test: NCSecDesc
    
             ......................... CXKADC01 hat den Test NCSecDesc bestanden.
    
          Starting test: NetLogons
    
             ......................... CXKADC01 hat den Test NetLogons bestanden.
    
          Starting test: ObjectsReplicated
    
             ......................... CXKADC01 hat den Test ObjectsReplicated
    
             bestanden.
    
          Starting test: OutboundSecureChannels
    
             ** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:"
    
             nicht eingegeben wurde.
    
             ......................... CXKADC01 hat den Test OutboundSecureChannels
    
             bestanden.
    
          Starting test: Replications
    
             ......................... CXKADC01 hat den Test Replications
    
             bestanden.
    
          Starting test: RidManager
    
             ......................... CXKADC01 hat den Test RidManager bestanden.
    
          Starting test: Services
    
             ......................... CXKADC01 hat den Test Services bestanden.
    
          Starting test: SystemLog
    
             ......................... CXKADC01 hat den Test SystemLog nicht
    
             bestanden.
    
          Starting test: Topology
    
             ......................... CXKADC01 hat den Test Topology bestanden.
    
          Starting test: VerifyEnterpriseReferences
    
             Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden
    
             Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf
    
             die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund
    
             ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen
    
             Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch
    
             besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen
    
             vergangen ist. 
                [1] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                [2] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. 
             ......................... CXKADC01 hat den Test
    
             VerifyEnterpriseReferences nicht bestanden.
    
          Starting test: VerifyReferences
    
             ......................... CXKADC01 hat den Test VerifyReferences
    
             bestanden.
    
          Starting test: VerifyReplicas
    
             ......................... CXKADC01 hat den Test VerifyReplicas
    
             bestanden.
    
       
       Server wird getestet: Karlsruhe\CXKADC02
    
          Starting test: Advertising
    
             ......................... CXKADC02 hat den Test Advertising bestanden.
    
          Starting test: CheckSecurityError
    
             [CXKADC02] Auf dem Dom„nencontroller wurden keine sicherheitsbedingten
    
             Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um
    
             die Verbindung an einen bestimmten Quelldom„nencontroller zu richten:
    
             /ReplSource:<Dom„nencontroller>.
    
             ......................... CXKADC02 hat den Test CheckSecurityError
    
             bestanden.
    
          Starting test: CutoffServers
    
             ......................... CXKADC02 hat den Test CutoffServers
    
             bestanden.
    
          Starting test: FrsEvent
    
             ......................... CXKADC02 hat den Test FrsEvent bestanden.
    
          Starting test: DFSREvent
    
             ......................... CXKADC02 hat den Test DFSREvent bestanden.
    
          Starting test: SysVolCheck
    
             ......................... CXKADC02 hat den Test SysVolCheck bestanden.
    
          Starting test: FrsSysVol
    
             ......................... CXKADC02 hat den Test FrsSysVol bestanden.
    
          Starting test: KccEvent
    
             ......................... CXKADC02 hat den Test KccEvent bestanden.
    
          Starting test: KnowsOfRoleHolders
    
             ......................... CXKADC02 hat den Test KnowsOfRoleHolders
    
             bestanden.
    
          Starting test: MachineAccount
    
             ......................... CXKADC02 hat den Test MachineAccount
    
             bestanden.
    
          Starting test: NCSecDesc
    
             ......................... CXKADC02 hat den Test NCSecDesc bestanden.
    
          Starting test: NetLogons
    
             ......................... CXKADC02 hat den Test NetLogons bestanden.
    
          Starting test: ObjectsReplicated
    
             ......................... CXKADC02 hat den Test ObjectsReplicated
    
             bestanden.
    
          Starting test: OutboundSecureChannels
    
             ** Sichere ausgehende Kan„le wurden nicht getestet, da "/testdomain:"
    
             nicht eingegeben wurde.
    
             ......................... CXKADC02 hat den Test OutboundSecureChannels
    
             bestanden.
    
          Starting test: Replications
    
             ......................... CXKADC02 hat den Test Replications
    
             bestanden.
    
          Starting test: RidManager
    
             ......................... CXKADC02 hat den Test RidManager bestanden.
    
          Starting test: Services
    
             ......................... CXKADC02 hat den Test Services bestanden.
    
          Starting test: SystemLog
    
             ......................... CXKADC02 hat den Test SystemLog bestanden.
    
          Starting test: Topology
    
             ......................... CXKADC02 hat den Test Topology bestanden.
    
          Starting test: VerifyEnterpriseReferences
    
             Beim Verifizieren mehrerer wichtiger DN-Verweise wurden die folgenden
    
             Probleme festgestellt. Hinweis: Diese Probleme sind m”glicherweise auf
    
             die Verz”gerung bei der Replikation zurckzufhren. Aus diesem Grund
    
             ist nur dann eine Aktion erforderlich, wenn dasselbe Problem auf allen
    
             Dom„nencontrollern einer Dom„ne auftritt oder das Problem auch noch
    
             besteht, nachdem ausreichend Zeit zum Replizieren der Žnderungen
    
             vergangen ist. 
                [1] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC01,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                [2] Problem: Erwarteter Wert nicht vorhanden.
    
                 Basisobjekt: CN=CXKADC02,OU=Domain Controllers,DC=cxka,DC=local
    
                 Beschreibung des Basisobjekts: "DC-Kontoobjekt"
    
                 Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
    
                 Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
    
                 Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"
    
                 
                LDAP-Fehler 0x20 (32) - Objekt nicht vorhanden. 
             ......................... CXKADC02 hat den Test
    
             VerifyEnterpriseReferences nicht bestanden.
    
          Starting test: VerifyReferences
    
             ......................... CXKADC02 hat den Test VerifyReferences
    
             bestanden.
    
          Starting test: VerifyReplicas
    
             ......................... CXKADC02 hat den Test VerifyReplicas
    
             bestanden.
    
       
          Starting test: DNS
    
                
                   Starting test: DNS
    
                      
    
                      DNS-Tests werden ordnungsgem„á ausgefhrt. Warten Sie einige
    
                      Minuten...
    
                      ......................... CXKADC01 hat den Test DNS
    
                      bestanden.
    
             ......................... CXKADC02 hat den Test DNS bestanden.
    
       
       Partitionstests werden ausgefhrt auf: ForestDnsZones
    
          Starting test: CheckSDRefDom
    
             ......................... ForestDnsZones hat den Test CheckSDRefDom
    
             bestanden.
    
          Starting test: CrossRefValidation
    
             ......................... ForestDnsZones hat den Test
    
             CrossRefValidation bestanden.
    
       
       Partitionstests werden ausgefhrt auf: DomainDnsZones
    
          Starting test: CheckSDRefDom
    
             ......................... DomainDnsZones hat den Test CheckSDRefDom
    
             bestanden.
    
          Starting test: CrossRefValidation
    
             ......................... DomainDnsZones hat den Test
    
             CrossRefValidation bestanden.
    
       
       Partitionstests werden ausgefhrt auf: Schema
    
          Starting test: CheckSDRefDom
    
             ......................... Schema hat den Test CheckSDRefDom bestanden.
    
          Starting test: CrossRefValidation
    
             ......................... Schema hat den Test CrossRefValidation
    
             bestanden.
    
       
       Partitionstests werden ausgefhrt auf: Configuration
    
          Starting test: CheckSDRefDom
    
             ......................... Configuration hat den Test CheckSDRefDom
    
             bestanden.
    
          Starting test: CrossRefValidation
    
             ......................... Configuration hat den Test
    
             CrossRefValidation bestanden.
    
       
       Partitionstests werden ausgefhrt auf: cxka
    
          Starting test: CheckSDRefDom
    
             ......................... cxka hat den Test CheckSDRefDom bestanden.
    
          Starting test: CrossRefValidation
    
             ......................... cxka hat den Test CrossRefValidation
    
             bestanden.
    
       
       Unternehmenstests werden ausgefhrt auf: cxka.local
    
          Starting test: DNS
    
             ......................... cxka.local hat den Test DNS bestanden.
    
          Starting test: LocatorCheck
    
             ......................... cxka.local hat den Test LocatorCheck
    
             bestanden.
    
          Starting test: FsmoCheck
    
             ......................... cxka.local hat den Test FsmoCheck bestanden.
    
          Starting test: Intersite
    
             Test der eingehenden standortbergreifenden Replikation fr den
    
             Standort Karlsruhe wird ausgefhrt: 
             ......................... cxka.local hat den Test Intersite bestanden.
    

    Template.txt

      Name: Active Directory-Registrierungsrichtlinie
      ID: {D4F06FA0-D3AF-4386-9904-9D1B51854EB9}
      URL: ldap:
    38 Vorlagen:
    
      Vorlage[19]:
      TemplatePropCommonName = LDAPoverSSL
      TemplatePropFriendlyName = LDAPoverSSL
      TemplatePropEKUs =
    4 Objekt-IDs:
        1.3.6.1.5.2.3.5 KDC-Authentifizierung
        1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    
      TemplatePropMajorRevision = 64 (100)
      TemplatePropDescription = Computer
      TemplatePropSchemaVersion = 3
      TemplatePropMinorRevision = 1
      TemplatePropRASignatureCount = 0
      TemplatePropMinimumKeySize = 800 (2048)
      TemplatePropOID =
        1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.11572162.8374594 LDAPoverSSL
    
      TemplatePropV1ApplicationPolicy =
    4 Objekt-IDs:
        1.3.6.1.5.2.3.5 KDC-Authentifizierung
        1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    
      TemplatePropAsymmetricAlgorithm = RSA
      TemplatePropSymmetricAlgorithm = 3DES
      TemplatePropSymmetricKeyLength = a8 (168)
      TemplatePropHashAlgorithm = SHA1
      TemplatePropKeyUsage = ffffff (16777215)
      TemplatePropEnrollmentFlags = 28 (40)
        CT_FLAG_PUBLISH_TO_DS -- 8
        CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
    
      TemplatePropSubjectNameFlags = 8400000 (138412032)
        CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)
        CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)
    
      TemplatePropPrivateKeyFlags = 10 (16)
        CT_FLAG_EXPORTABLE_KEY -- 10 (16)
    
      TemplatePropGeneralFlags = 20060 (131168)
        CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
        CT_FLAG_MACHINE_TYPE -- 40 (64)
        CT_FLAG_IS_MODIFIED -- 20000 (131072)
    
      TemplatePropSecurityDescriptor = O:S-1-5-21-3241429271-3032928588-1338520631-4632G:EAD:PAI(OA;;RPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;RO)(OA;;RPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;RO)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;EA)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;ED)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;ED)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-3241429271-3032928588-1338520631-4632)(A;;LCRPLORC;;;AU)
    
        Zulassen Registrieren	cxka\Schreibgeschützte Domänencontroller der Organisation
        Zulassen Automatische Registrierung	cxka\Schreibgeschützte Domänencontroller der Organisation
        Zulassen Registrieren	cxka\Domänen-Admins
        Zulassen Registrieren	cxka\Domänencontroller
        Zulassen Registrieren	cxka\Organisations-Admins
        Zulassen Automatische Registrierung	cxka\Domänencontroller
        Zulassen Registrieren	NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION
        Zulassen Automatische Registrierung	NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION
        Zulassen Vollzugriff	cxka\Domänen-Admins
        Zulassen Vollzugriff	cxka\Organisations-Admins
        Zulassen Vollzugriff	cxka\km_da
        Zulassen Lesen	NT-AUTORITÄT\Authentifizierte Benutzer
    
    
      TemplatePropExtensions =
    4 Erweiterungen:
    
      Erweiterung[0]:
        1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Länge = 30
        Zertifikatvorlageninformationen
            Vorlage=LDAPoverSSL(1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.11572162.8374594)
            Höhere Versionsnummer=100
            Niedrigere Versionsnummer=1
    
      Erweiterung[1]:
        2.5.29.37: Kennzeichen = 0, Länge = 2b
        Erweiterte Schlüsselverwendung
            KDC-Authentifizierung (1.3.6.1.5.2.3.5)
            Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
            Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
            Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
    
      Erweiterung[2]:
        2.5.29.15: Kennzeichen = 1(Kritisch), Länge = 4
        Schlüsselverwendung
            Digitale Signatur, Schlüsselverschlüsselung (a0)
    
      Erweiterung[3]:
        1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Länge = 33
        Anwendungsrichtlinien
            [1]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=KDC-Authentifizierung
            [2]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Smartcard-Anmeldung
            [3]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Serverauthentifizierung
            [4]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Clientauthentifizierung
    
      TemplatePropValidityPeriod = 10 Years
      TemplatePropRenewalPeriod =CertUtil: -Template-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87)
    CertUtil: Falscher Parameter.
    

    Freitag, 1. März 2013 09:00
  • Hallo,

    in Deiner Vorlage sind mir einige Dinge aufgefallen.

    1. Du hast eine V3 Vorlage erstellt, der Artikel empfielt jedoch eine V2 Vorlage. Mangels zugriff auf eine Test PKI kann ich nicht sagen, ob es zu Problemen führt. Mit einer V2 Vorlage bist Du aber auf der sicheren Seite.
    2. Im SubjectAlternativeName fehlt der Dienstprinzipalname (SPN).
    3. In der Vorlage ist keine Renewal Period (Erneuerungszeitraum) angegeben oder kann nicht abgefragt werden.

    ---

    Zu diesem Fehler habe ich leider keine Idee.

    TemplatePropRenewalPeriod =CertUtil: -Template-Befehl ist fehlgeschlagen: 0x80070057 (WIN32: 87)
    CertUtil: Falscher Parameter.
    ---

    Gibt es bei anderen Anforderungen ähnliche Probleme oder nur bei dieser einen Vorlage?


    This posting is provided "AS IS" with no warranties.

    Freitag, 1. März 2013 23:07
  • 1. Ich habe jetzt eine 2003er Vorlage erstellt (= V2 Vorlage?)
    gleiches Problem

    2. Wo muss ich das einstellen? Sollten die Werte nicht automatisch passen wenn ich das Request mit der Zertifikatskonsole erstelle?

    3. Renewal Periode Habe ich jetzt drin, ändert aber nichts

    Wenn ich eine andere Anforderung aus der Zertifikatskonsole aus einreiche, z.B. Webserver, dann bekomme ich dashier:


    Wenn ich eine Anforderung, die ich per Java erstellt habe, bei der Online CA einreiche, also https://ca/certsrv, dann funktioniert das - die gleiche Anforderung bei der CA in der Konsole eingereicht führt zu 

    Wenn ich widerum eine in der Konsole erstelle Anforderung (Webserver) bei certsrv einreiche bekomme ich

    Die Zertifikatanforderung wurde verweigert.
    
    Ihre Anforderungs-ID lautet 318. Die Dispositionsmeldung ist "Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats".
    
    Weitere Informationen erhalten Sie vom Administrator.

    In der Certsrv stehen nur eine begrenzte Auswahl an Zertifikatsvorlagen, die LDAPS Variante ist nicht dabei.

    Wenn ich die in der Konsole erstellte LDAPS Anforderung bei certsrv einreichen möchte erhalte ich sowas hier

    Ihre Anforderungs-ID lautet 322. Die Dispositionsmeldung ist "Verweigert vom Richtlinienmodul 0x80094802, Die Anforderung spezifiziert in Konflikt stehende Zertifikatvorlagen: 1.3.6.1.4.1.311.21.8.13250558.16216611.16205460.6606014.5621712.79.13518072.10413429/User. ".

    Ich verliere hier völlig den Überblick... Bisher hatte ich nie solche Probleme mit Zertifikaten.

    Montag, 4. März 2013 13:38
  • Hallo,

    zu 2. Das definierst du in der Vorlage im Register "Antragstellername"

    Da sollten aktiviert sein:

    ... Informationen aus dem AD

    Format: DNS Name

    ... Alternativer Antragstellername

    DNS-Name und Dienstprinzipalname

    ---

    Das Webportal der CA funktioniert etwas anders als die MMC. Es kann auch nicht alle Arten von Anforderungen bearbeiten.

    Im Prinzip sollte alles was über das Webportal funktioniert auch über die MMC oder per "certutil" möglich sein.

    Das Problem mit dem Java-Request dürfte sein, dass die MMC keine Vorlage zuordnen kann. Im Portal wählst du hingegen eine Vorlage aus und gibst den Request-Block zur Signatur an.

    ---

    Eventuell helfen diese Artikel weiter:

    http://support.microsoft.com/kb/932457/en-us

    http://support.microsoft.com/kb/281260/en-us

    http://support.microsoft.com/kb/312344/en-us


    This posting is provided "AS IS" with no warranties.

    Montag, 4. März 2013 14:44
  • Habe die Einstellungen in der Vorlage angepasst

    Das Problem bleibt aber das gleiche..

    Dienstag, 5. März 2013 08:23
  • Hallo Kevin,

    mir gehen an dieser Stelle langsam die Ideen aus.

    Oberflächlich betrachtet, sollte eigentlich alles passen. Dann bleibt nur noch ein Debug der CA.

    http://blogs.microsoft.co.il/blogs/talsa/archive/2009/10/19/debugging-your-active-directory-certificate-services.aspx

    http://support.microsoft.com/kb/305018/en-us


    This posting is provided "AS IS" with no warranties.

    Donnerstag, 7. März 2013 06:23
  • Debuggen der CA brachte nichts.

    Habe mal im Dialog der auf dem letzten Screenshot zu sehen ist "Informationen werden in der Anforderung angegeben" gewählt, und dann ein Request mit DNS und DN erstellt. Damit bekomme ich jetzt endlich ein Zertifikat - das ich auch importieren kann auf meinen DC. Allerdings stehe bei "ausgestellt für" nur der Rechnername und nicht der FQDN??

    Kann mich weiterhin nicht mit LDAPS auf den Server verbinden..

    Freitag, 8. März 2013 09:56
  • Hallo,

    nachdem ich meine Testumgebung wiederbelebt und das Thema einmal durchgespielt habe, konnte ich den Fehler nicht reproduzieren oder weitere Hinweise finden.

    Ich habe ein LDAPS Zertifikat und die dazugehörige Vorlage als Dump beigefügt. Vielleicht helfen dir die Muster weiter.

    ---

    Die ausgestellten Zertifikate für LDAPS weisen folgende Merkmale auf:

    X.509-Zertifikat:
    Version: 3
    Seriennummer: 612b353700000000000a
    Signaturalgorithmus:
        Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
        Algorithmusparameter:
        05 00
    Aussteller:
        CN=corp-DC1-CA
        DC=corp
        DC=contoso
        DC=com

     Nicht vor: 12.03.2013 19:34
     Nicht nach: 12.03.2015 19:34

    Antragsteller:
        CN=DC2.corp.contoso.com

    Íffentlicher Schl³ssel-Algorithmus:
        Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA (RSA_SIGN)
        Algorithmusparameter:
        05 00
    Lõnge des ÷ffentlichen Schl³ssels: 2048 Bits
    Íffentlicher Schl³ssel: Nicht verwendete Bits = 0
        0000  30 82 01 0a 02 82 01 01  00 b9 46 18 6b 8f 28 19
        0010  7a 0b ed be 8d 60 80 01  5b 32 31 97 e1 44 91 29
        0020  5a 01 93 d9 d3 01 a4 bd  a9 de da a5 e7 99 23 a2
        0030  ed 92 f3 12 74 06 40 3b  78 ce b1 e6 72 96 20 f3
        0040  34 0b d4 ee 87 c1 e0 40  45 55 c0 04 43 cf 0c 9c
        0050  39 1b af 65 4a 11 bb 9c  16 a6 f2 5d 41 7a ee 35
        0060  9d 51 e2 65 3c 8c 51 69  76 38 6a 0a 6d 4c 18 09
        0070  8a 25 55 9d b6 83 4e 92  1c d6 1e b6 ae 6b 2f 69
        0080  31 33 75 3d 8e 81 a5 3c  de 17 5c 65 f0 94 6a 39
        0090  02 e4 00 12 fe 1c 9a 73  64 5f ea cf 9a 6c 8f 3d
        00a0  56 fe 4c af 05 d6 2c d7  ff 51 29 de f2 33 c4 ec
        00b0  28 e1 77 20 1c 95 ab fb  c0 4f 32 a2 c0 5a bd 2e
        00c0  21 4d 22 29 aa cc 4a ef  98 34 77 ea 18 e6 ca 2d
        00d0  09 a9 50 2f cc ce a0 17  ae 2c 68 16 ee c5 ca dc
        00e0  9a 34 10 04 23 06 3f 8d  3e de f2 bb 7f d2 6d 3d
        00f0  79 11 30 f7 c3 78 91 ef  54 83 29 97 68 e5 67 79
        0100  5e b4 4d df 28 24 f5 9c  b5 02 03 01 00 01
    Zertifikaterweiterungen: 9
        1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31
        Zertifikatvorlageninformationen
            Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546)
            H÷here Versionsnummer=100
            Niedrigere Versionsnummer=1

        2.5.29.37: Kennzeichen = 0, Lõnge = 2b
        Erweiterte Schl³sselverwendung
            KDC-Authentifizierung (1.3.6.1.5.2.3.5)
            Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
            Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
            Clientauthentifizierung (1.3.6.1.5.5.7.3.2)

        2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4
        Schl³sselverwendung
            Digitale Signatur, Schl³sselverschl³sselung (a0)

        1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33
        Anwendungsrichtlinien
            [1]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=KDC-Authentifizierung
            [2]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Smartcard-Anmeldung
            [3]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Serverauthentifizierung
            [4]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Clientauthentifizierung

        2.5.29.14: Kennzeichen = 0, Lõnge = 16
        Schl³sselkennung des Antragstellers
            60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66

        2.5.29.35: Kennzeichen = 0, Lõnge = 18
        Stellenschl³sselkennung
            Schl³ssel-ID=bd bd 78 6f 9d 6a cb fc 5d d7 98 5a f2 7c 4a 94 0c 83 d3 4e

        2.5.29.31: Kennzeichen = 0, Lõnge = f7
        Sperrlisten-Verteilungspunkte
            [1]Sperrlisten-Verteilungspunkt
                 Name des Verteilungspunktes:
                      Vollst. Name:
                           URL=ldap:///CN=corp-DC1-CA,CN=DC1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
                           URL=http://crl.corp.contoso.com/crld/corp-DC1-CA.crl

        1.3.6.1.5.5.7.1.1: Kennzeichen = 0, Lõnge = b8
        Zugriff auf Stelleninformationen
            [1]Stelleninformationszugriff
                 Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
                 Alternativer Name:
                      URL=ldap:///CN=corp-DC1-CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=contoso,DC=com?cACertificate?base?objectClass=certificationAuthority

        2.5.29.17: Kennzeichen = 0, Lõnge = 57
        Alternativer Antragstellername
            Anderer Name:
                 Prinzipalname=DC2$@corp.contoso.com
            DNS-Name=DC2.corp.contoso.com
            DNS-Name=corp.contoso.com
            DNS-Name=CORP

    Signaturalgorithmus:
        Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
        Algorithmusparameter:
        05 00
    Signatur: Nicht verwendete Bits=0
        0000  ae 48 c3 43 97 30 3c e3  3f 82 00 e6 b4 7a 38 ec
        0010  ec 2d fe ce 1b 62 55 48  90 2a 4d 8f 83 2d 6d 59
        0020  a7 bc 8e c8 b1 8e d2 52  46 40 29 64 96 18 5c 81
        0030  3b f4 41 28 b0 b1 76 f3  94 7c 21 0d f4 c7 9f 30
        0040  eb 9f bf 7d b7 68 8e af  36 59 da cd a5 4d 5c 8d
        0050  98 c0 94 65 b2 86 8f ab  99 5f b0 08 b4 c5 6c 3b
        0060  ae 5f 68 1b 6a 8c 82 5d  66 95 a9 af f9 05 16 f2
        0070  e0 d5 5e c4 f6 d8 35 a3  ea bf 11 5b d0 c7 86 91
        0080  69 de 7e e1 4e e5 48 2e  68 ba 4f d5 0c 2e 99 94
        0090  ab 66 df c1 15 6d af 9c  69 94 3d 4e 11 8c 5a a6
        00a0  d0 73 72 4d 14 28 65 36  0f c8 b2 ea a7 b1 70 4b
        00b0  db ce ba 97 39 53 b6 8b  98 2c 16 72 13 81 e9 53
        00c0  ad 55 5e b6 4a f2 c2 3a  b3 fa 53 db 1a de de 8c
        00d0  a6 9c 27 b0 87 6c 4f 57  25 ae d6 fd 8a ce 0b 42
        00e0  12 9e f6 51 8b a0 81 0d  7c 35 39 3f cd 0c bb b1
        00f0  da f1 1c 4f 9c 4f 15 a8  d0 6b 15 62 23 b1 09 84
    Kein Stammzertifikat
    Schl³ssel-ID-Hash(rfc-sha1): 60 52 27 65 f2 3d 95 c2 a8 83 8b c3 a8 1e 75 1a 18 eb bd 66
    Schl³ssel-ID-Hash(sha1): b5 f6 9d e1 82 4a 34 89 a1 bc c3 9a c8 3f 6c f7 98 e0 aa c7
    Zertifikathash(md5): 1f 1c dc 0f d1 03 7a 52 c4 fa aa 13 9f 81 bf d5
    Zertifikathash(sha1): 8a ac 91 2e 2f a8 3d 23 28 d1 66 98 8f cf d3 9e 40 96 28 0c
    CertUtil: -dump-Befehl wurde erfolgreich ausgef³hrt.
    ---

    Die Vorlage dazu sieht so aus:

      Name: Active Directory-Registrierungsrichtlinie
      ID: {06667064-9A3C-4FA7-B79F-4BE08C71955E}
      URL: ldap:
    34 Vorlagen:
    
      Vorlage[17]:
      TemplatePropCommonName = LDAPS
      TemplatePropFriendlyName = LDAPS
      TemplatePropEKUs =
    4 Objekt-IDs:
        1.3.6.1.5.2.3.5 KDC-Authentifizierung
        1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    
      TemplatePropCryptoProviders =
        0: Microsoft RSA SChannel Cryptographic Provider
    
      TemplatePropMajorRevision = 64 (100)
      TemplatePropDescription = Computer
      TemplatePropSchemaVersion = 2
      TemplatePropMinorRevision = 1
      TemplatePropRASignatureCount = 0
      TemplatePropMinimumKeySize = 800 (2048)
      TemplatePropOID =
        1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546 LDAPS
    
      TemplatePropV1ApplicationPolicy =
    4 Objekt-IDs:
        1.3.6.1.5.2.3.5 KDC-Authentifizierung
        1.3.6.1.4.1.311.20.2.2 Smartcard-Anmeldung
        1.3.6.1.5.5.7.3.1 Serverauthentifizierung
        1.3.6.1.5.5.7.3.2 Clientauthentifizierung
    
      TemplatePropEnrollmentFlags = 38 (56)
        CT_FLAG_PUBLISH_TO_DS -- 8
        CT_FLAG_AUTO_ENROLLMENT_CHECK_USER_DS_CERTIFICATE -- 10 (16)
        CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
    
      TemplatePropSubjectNameFlags = 18c00000 (415236096)
        CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS -- 400000 (4194304)
        CT_FLAG_SUBJECT_ALT_REQUIRE_SPN -- 800000 (8388608)
        CT_FLAG_SUBJECT_ALT_REQUIRE_DNS -- 8000000 (134217728)
        CT_FLAG_SUBJECT_REQUIRE_DNS_AS_CN -- 10000000 (268435456)
    
      TemplatePropPrivateKeyFlags = 10 (16)
        CT_FLAG_EXPORTABLE_KEY -- 10 (16)
    
      TemplatePropGeneralFlags = 20060 (131168)
        CT_FLAG_AUTO_ENROLLMENT -- 20 (32)
        CT_FLAG_MACHINE_TYPE -- 40 (64)
        CT_FLAG_IS_MODIFIED -- 20000 (131072)
    
      TemplatePropSecurityDescriptor = O:S-1-5-21-1349855088-662425208-3358439952-1109G:EAD:PAI(OA;;RPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;RO)(OA;;RPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;RO)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DA)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;EA)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;DD)(OA;;RPWPCR;0e10c968-78fb-11d2-90d4-00c04f79dc55;;ED)(OA;;RPWPCR;a05b8cc2-17bc-4802-a710-e7c15ab866a2;;ED)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;EA)(A;;CCDCLCSWRPWPDTLOSDRCWDWO;;;S-1-5-21-1349855088-662425208-3358439952-1109)(A;;LCRPLORC;;;AU)
    
        Zulassen Registrieren	CORP\Schreibgesch³tzte Domõnencontroller der Organisation
        Zulassen Automatische Registrierung	CORP\Schreibgesch³tzte Domõnencontroller der Organisation
        Zulassen Registrieren	CORP\Domõnen-Admins
        Zulassen Registrieren	CORP\Domõnencontroller
        Zulassen Registrieren	CORP\Organisations-Admins
        Zulassen Automatische Registrierung	CORP\Domõnencontroller
        Zulassen Registrieren	NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION
        Zulassen Automatische Registrierung	NT-AUTORIT─T\DOM─NENCONTROLLER DER ORGANISATION
        Zulassen Vollzugriff	CORP\Domõnen-Admins
        Zulassen Vollzugriff	CORP\Organisations-Admins
        Zulassen Vollzugriff	CORP\User1
        Zulassen Lesen	NT-AUTORIT─T\Authentifizierte Benutzer
    
    
      TemplatePropExtensions =
    4 Erweiterungen:
    
      Erweiterung[0]:
        1.3.6.1.4.1.311.21.7: Kennzeichen = 0, Lõnge = 31
        Zertifikatvorlageninformationen
            Vorlage=LDAPS(1.3.6.1.4.1.311.21.8.4860783.3943589.12470706.3109382.9229270.224.14173502.3075546)
            H÷here Versionsnummer=100
            Niedrigere Versionsnummer=1
    
      Erweiterung[1]:
        2.5.29.37: Kennzeichen = 0, Lõnge = 2b
        Erweiterte Schl³sselverwendung
            KDC-Authentifizierung (1.3.6.1.5.2.3.5)
            Smartcard-Anmeldung (1.3.6.1.4.1.311.20.2.2)
            Serverauthentifizierung (1.3.6.1.5.5.7.3.1)
            Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
    
      Erweiterung[2]:
        2.5.29.15: Kennzeichen = 1(Kritisch), Lõnge = 4
        Schl³sselverwendung
            Digitale Signatur, Schl³sselverschl³sselung (a0)
    
      Erweiterung[3]:
        1.3.6.1.4.1.311.21.10: Kennzeichen = 0, Lõnge = 33
        Anwendungsrichtlinien
            [1]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=KDC-Authentifizierung
            [2]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Smartcard-Anmeldung
            [3]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Serverauthentifizierung
            [4]Anwendungszertifikatrichtlinie:
                 Richtlinienkennung=Clientauthentifizierung
    
      TemplatePropValidityPeriod = 2 Years
      TemplatePropRenewalPeriod = 6 Weeks
    CertUtil: -Template-Befehl wurde erfolgreich ausgef³hrt.
    


    This posting is provided "AS IS" with no warranties.

    Dienstag, 12. März 2013 19:38
  • Hat sich erledigt - funktioniert wieder.

    Das bisherige Zertifikat stammte noch aus einer 2003er PKI und wurde nach Ablauf durch ein Domaincontroller Zertifikat im Computerkonto ersetzt, das wurde allerdings nicht gleich verwendet. Mittlerweile funktioniert wieder alles, ohne dass etwas geändert wurde.

    • Als Antwort markiert Kevin Meister Donnerstag, 4. April 2013 07:21
    Donnerstag, 4. April 2013 07:20