none
Zertifikatserver etfernen. RRS feed

  • Frage

  • <style type="text/css">p.p1 {margin: 0.0px 0.0px 12.0px 0.0px; line-height: 15.0px; font: 12.0px Verdana; color: #000000; -webkit-text-stroke: #000000} span.s1 {font-kerning: none} span.s2 {font: 9.0px Verdana; font-kerning: none} </style> Hallo zusammen

,

    Wir hatten früher einen Exchange Server und dafür hat mein Vorgänger wohl einen 2003er Zertifikatserver installiert. Nun brauche wir diesen nicht mehr ich würde den gerne entfernen.
    Leider bin ich mir nicht ganz sicher wie ich das sauber machen kann.
Ich sehe das dieser an die DC's Zertifikate ausstellt und ohne gültige Zertifikate auf den DC's können sich die Clients ( Mac und Windows) nicht an der AD anmelden.
Ich bin nicht wirklich jemand der sich gut mit den Zertifikate auskennt und bräuchte mal eine Empfehlung dazu.
Vielleicht kann ich zuerst einen der DC's von der Zertifizierungstelle trennen und checken ob alle Clients sich weiterhin anmelden können. Nur wie kann ich einem DC das sagen?
Vielen Dank für die Hilfe


    Montag, 18. Dezember 2017 09:03

Alle Antworten

  • Ich sehe das dieser an die DC's Zertifikate ausstellt und ohne gültige Zertifikate auf den DC's können sich die Clients ( Mac und Windows) nicht an der AD anmelden. 

    ...sondern es passiert was genau? Und wie genau hast Du es ausprobiert?

    Normalerweise, wenn Du DCs die Zertifikate wegnimmst, kommunizieren sie halt unverschlüsselt (nach dem Reboot). Auf die Anmeldung dürfte es aber keine Auswirkungen haben.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Montag, 18. Dezember 2017 18:05
  • Hi Evgenij,

    ich habe den Zertifitsserver einfach einige Zeit runtergefahren.

    Dann konnten plötzlich die User an den AD angebunden Mac's sich nicht mehr anmelden.

    Erst als ich den Zertifiktasserver wieder hochgefahren habe ging das.

    PS. ( hatte allerdings keine Reboot des DC's gemacht)


    Dienstag, 19. Dezember 2017 07:34
  • Moin,

    wie sind denn die Macs eingebunden? Hatte schon länger keinen Mac mehr in den Händen.

    Für Kerberos als Solches spielen Zertifikate keine Rolle, der Zugriff auf das Verzeichnis und auf den Global Catalog geht hingegen über SSL, sobald auf den DCs entsprechende Zertifikate eingespielt sind.

    Es reicht daher nicht, die DCs zu rebooten, Du musst vorher die Zertifikate entfernen, damit die DCs die LDAP-Kommunikation wieder auf unverschlüsselt umstellen.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 19. Dezember 2017 07:53
  • > der Zugriff auf das Verzeichnis und auf den Global Catalog geht hingegen über SSL, sobald auf den DCs entsprechende Zertifikate eingespielt sind.

    Net ganz... Innerhalb einer Domäne wird kein Rechner jemals "von sich aus" LDAPS verwenden, das geht alles über plain LDAP. Aber da innerhalb einer Domäne -> alles über den Secure Channel, also verschlüsselt.

    Bei den MACs müßte man jetzt wissen, wie genau die in die Domäne eingebunden sind. Oder ob es nur die User sind. Und wie die sich genau authentifizieren. Fragen über Fragen :-)

    Dienstag, 19. Dezember 2017 10:38
  • > der Zugriff auf das Verzeichnis und auf den Global Catalog geht hingegen über SSL, sobald auf den DCs entsprechende Zertifikate eingespielt sind.

    Net ganz... Innerhalb einer Domäne wird kein Rechner jemals "von sich aus" LDAPS verwenden, das geht alles über plain LDAP. Aber da innerhalb einer Domäne -> alles über den Secure Channel, also verschlüsselt.

    Ich habe nicht "ausschließlich über SSL" geschrieben ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Dienstag, 19. Dezember 2017 15:31
  • > Ich habe nicht "ausschließlich über SSL" geschrieben ;-)

    Ne. Wollte das nur klarstellen - net dass jemand denkt "cool, Zertifikat installieren und alle reden LDAPS" :)

    Dienstag, 19. Dezember 2017 16:16
  • Moin zusammen

    bin mir nicht sicher was du meinst mit wie?

    Also im Bereich "Systemeinstellungen" - "Benutzer & Gruppen"  unter "Anmeldeoptionen" kann man den Mac an die AD binden und dann kann man an dem Mac mit einem AD Account anmelden.

    Was würdet ihr vorschlagen wie könnte man das am besten testen? Zertifikatserver runterfahren, Zertifikat active auf den DC's löschen und schauen ob die Anmeldung der Clients nicht mehr funktioniert. Wenn ja die DC's durchstarten und schauen ob dann die Anmeldung der Mac User wieder funktioniert?

    VG

    Mittwoch, 20. Dezember 2017 15:18
  • > Also im Bereich "Systemeinstellungen" - "Benutzer & Gruppen"  unter "Anmeldeoptionen" kann man den Mac an die AD binden und dann kann man an dem Mac mit einem AD Account anmelden.

    Hab leider keine Ahnung von MACs, aber das liest sich so wie wenn da ein Computeraccount für den MAC erstellt wird und er dann noch ein Keytab für die Authentifizierung bekommt. Das hat aber mit Zertifikaten nichts zu tun.

    Mittwoch, 20. Dezember 2017 15:31
  • ja da werden in der AD auch Computer Object erzeugt nach jedem Mac den ich an die AD binde.

    und wie gesagt als ich mal den Zertfikatsserver für längere Zeit runtergefahren habe und die Zertifikate abgelaufen sind konnte kein User an den Macs mehr anmelden. Ich habe dann in den logs meine ich irgendwo auf den DC gesehen das Zertifikate nicht mehr gültig ware und habe dann den Zertifiktasserver wieder hoch gefahren und gesehn das die DC neue Zertifikate bekommen haben. Danach gingen auch die Anmeldungen an den Mac's

    Donnerstag, 21. Dezember 2017 07:30
  • > und wie gesagt als ich mal den Zertfikatsserver für längere Zeit runtergefahren habe und die Zertifikate abgelaufen sind konnte kein User an den Macs mehr anmelden.

    Ich versteh's nicht - hab mal gesucht und nichts gefunden, das auf die Notwendigkeit von Domain Controller Zertifikaten für MACs hinweisen würde... (https://www.pluralsight.com/blog/tutorials/join-mac-to-windows-domain)

    Aber egal, per Forum ist das wohl nicht zu beantworten :-)

    Donnerstag, 21. Dezember 2017 09:28