none
Ausstellen von Zertifikaten nach Migration von Zertifizierungsstelle SBS 2011 -> Windows Server 2016 nicht möglich RRS feed

  • Frage

  • Hallo zusammen,

    wir haben kürzlich damit begonnen, unseren Domain Controller (SBS 2011) auszumustern und durch einen Windows Server 2016 zu ersetzen. Bei der Migration haben wir uns an diese Anleitung gehalten:

    (https://windowsserveressentials.com/2017/03/28/migrate-sbs-2011-standard-to-windows-server-2016/)

    Sowohl der SBS als auch der WS laufen als VM auf einem ESXi Host (6.0.0), aktuelle Updates sind eingespielt.

    Ich habe das ganze Szenario im Voraus natürlich in einer Testumgebung durchgespielt, in der ist auch alles einwandfrei gelaufen. Jetzt haben wir am Freitag die Migration des tatsächlichen DCs angestoßen, bis zum Umzug der Zertifizierungsstelle des SBS auf den neuen Server gab es auch keine Probleme. In der oben verlinkten Anleitung steht allerdings, man könnte/sollte nach der Installation der Zertifizierungsstelle auf dem Zielserver einmal testweise ein Zertifikat für den DC ausstellen, was leider nicht funktioniert hat.

    Bei der Auswahl der Zertifikatsvorlagen in der MMC kam der Hinweis, dass keine Zertifikatstypen verfügbar sind. Wenn ich mir alle Zertifikatsvorlagen anzeigen lasse, bekomme ich die Fehlermeldung z.B. unter der Vorlage "Domänencontroller":

    "Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem  Zeitstempel in der signierten Datei. Es wurde keine gültige Zertifizierungsstelle gefunden, die für das Ausstellen von Zertifikaten basiuerend auf dieser Vorlage konfiguriert wurde, oder dieserVorgang wird von der Zertifizierungsstelle nicht unterstützt, oder die Zertifizierungsstelle ist nicht vertrauenswürdig."


    In meiner Testumgebung konnte ich nach gleicher Prozedur immerhin die Vorlagen für "Domänencontroller", Domänencontrollerauthentifizierung" und "Verzeichnis E-mail Replikation" auswählen.


    Hat jemand schon mal was ähnliches erlebt oder eine Idee, was da schief gelaufen sein könnte? Wäre für jeden Hinweis dankbar, habe leider noch nicht so viel Erfahrung rund um das Thema Zertifikate, ist auch mein erster DC-Umzug.

    Vielen Dank schonmal!

    P.S. Ich kann leider noch keine Screenshots posten, deswegen die etwas umständliche Umschreibung.

    LG MaEhl



    • Bearbeitet MaEhl Samstag, 18. April 2020 15:15
    Samstag, 18. April 2020 15:14

Antworten

  • Hallo Jochen,

    haben das Problem mittlerweile gelöst, der Grund war peinlich simpel: Das Zertifikat der Zertifizierungsstelle war abgelaufen.

    Auf dem neuen Server MMC geöffnet -> Snap-In hinzufügen -> Zertifizierungsstelle

    Rechtsklick auf die CA -> Zertifizierungsstellenzertifikat erneuern -> fertig

    Bei uns hat das Ausstellen von Zertifikaten direkt danach wieder funktioniert. Habe in anderen Foren gelesen, dass das Zertifikat zusätzlich unter "Vertrauenwürdige Stammzertifizierungsstellen" installiert sein muss, davon habe ich aber nichts mitbekommen.

    Vielen Dank auf jeden Fall für deine Zeit und Hilfe! :)

    LG MaEhl
    Dienstag, 21. April 2020 14:43

Alle Antworten

  • Hallo MaEhl,

    in diesem Thread kannst Du Dein Konto verifizieren lassen:

    Verify Accounts

    Gruß

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Sonntag, 19. April 2020 22:36
    Moderator
  • Hallo MaEhl,

    was da genau schiefgelaufen ist kann ich Dir nicht sagen, aber sollte man wohl wieder hinbekommen. ;)

    Hier mal ein paar Punkte:

    • Remove-WindowsFeature AD-Certificate hast Du auf dem alten auch ausgeführt, also die alte CA ist platt?

    Öffne mal certsrv.msc auf der "neuen" CA

    • Ist der CA Dienst am laufen (Pfeil ist nicht grün, genau wie auf dem Bild)?
    • Sind die Vorlagen unter Zertifikatsvorlagen auch aktiviert (zu sehen)?

    • Wie schaut pkiview.msc bei Dir aus? Keine Fehler?

    Gibt es eigentlich nur eine CA oder habt ihr ne mehrstufige PKI?

    Schmeiß mal adsiedit.msc auf dem DC an.

    • Ist die CA als Objekt bei Enrollment Services und Certification Authorities angelegt?
    • Bei dem CA Objekt unter Enrollment Services ist der Eintrag dNSHostName richtig?

    Mal schauen, vielleicht ist ja schon das passende dabei.

    Beste Grüße,
    Jochen


    Montag, 20. April 2020 20:07
  • Hallo Jochen,

    haben das Problem mittlerweile gelöst, der Grund war peinlich simpel: Das Zertifikat der Zertifizierungsstelle war abgelaufen.

    Auf dem neuen Server MMC geöffnet -> Snap-In hinzufügen -> Zertifizierungsstelle

    Rechtsklick auf die CA -> Zertifizierungsstellenzertifikat erneuern -> fertig

    Bei uns hat das Ausstellen von Zertifikaten direkt danach wieder funktioniert. Habe in anderen Foren gelesen, dass das Zertifikat zusätzlich unter "Vertrauenwürdige Stammzertifizierungsstellen" installiert sein muss, davon habe ich aber nichts mitbekommen.

    Vielen Dank auf jeden Fall für deine Zeit und Hilfe! :)

    LG MaEhl
    Dienstag, 21. April 2020 14:43
  • Hi MaEhl,

    spätestens beim Punkt 

    • Wie schaut pkiview.msc bei Dir aus? Keine Fehler?

    wärs aufgefallen. ;)

    Aber super, dass Du selbst bereits draufgekommen bist und vielen Dank für die Rückmeldung!

    Beste Grüße,
    Jochen

    Dienstag, 21. April 2020 16:49