none
CertAuthority: Event ID 74 RRS feed

  • Allgemeine Diskussion

  • Hi Community,

    seit einen Umzug unserer AD integrierten CA auf einen neuen Server kommt so einmal in der Woche 10x folgende Meldung:

    Protokollname:     Application
    Quelle:            Windows-CertificationAuthority
    Datum:             27.11.2014 17:07:58
    Ereignis-ID:       74
    Aufgabenkategorie: Keine
    Ebene:             Fehler
    Schlüsselwörter:   Klassisch
    Benutzer:          SYSTEM
    Computer:          VM-NET-SRV.DOMAIN.local
    Beschreibung:
    Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel 2 an folgendem Ort auf dem Server "GALAXY-4.DOMAIN.local" veröffentlicht werden: ldap:///CN=DomainRootCA(2),CN=galaxy-1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=local. Verzeichnisobjekt nicht gefunden. 0x8007208d (WIN32: 8333).
    ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    	'CN=galaxy-1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=local'
    
    

    Das komische an der Sache ist, dass zwar versucht wird diese Liste auf dem richtigen Server zu speichern (GALAXY-4), der angegebene LDAP Pfad aber das Objekt des alten Servers (GALAXY-1) benennt, den es nicht mehr gibt. Wo kann man das korrigieren?

    Thx & Bye Tom

    Mittwoch, 10. Dezember 2014 07:55

Alle Antworten

  • Moin,

    es sieht so aus, als ob beim Umzug der CA auf den neuen Server, ein wichtiger Schritt nicht beachtet wurde.

    > During the migration procedure, you are asked to turn off your existing CA (either the computer or at least the CA service). You are asked to name the destination CA with the same name that you used for the original CA.

    Der Name bezieht sich nur auf den Namen der Zertifizierungsstelle; der Computer selbst kann einen anderen Namen tragen.

    > The computer name, (hostname or NetBIOS name), does not have to match that of the original CA

    http://technet.microsoft.com/en-us/library/ee126170%28v=ws.10%29.aspx

    Ein nachträgliches Umbenennen der CA ist afaik nicht möglich.

    Falls Du noch Zugriff die Exporte der alten CA hast, könntest Du ggf. die Zertifizierungsstelle deinstallieren und mit dem ursprünglichen Namen wieder installieren. Bei diesem Weg müssten alle von der fehlerhaften CA ausgestellten Zertifikate gesperrt und nach der Reparatur neu ausgestellt werden.



    This posting is provided AS IS with no warranties.

    Mittwoch, 10. Dezember 2014 08:57
  • Servus,

    > Falls Du noch Zugriff die Exporte der alten CA hast, könntest Du ggf. die Zertifizierungsstelle deinstallieren und mit dem ursprünglichen Namen wieder installieren. Bei diesem Weg müssten alle von der fehlerhaften CA ausgestellten Zertifikate gesperrt und nach der Reparatur neu ausgestellt werden.

    Also den alten Rechner wo die CA vorher drauf war, hab ich leider nicht mehr. Aber kann es sein, dass wir uns missverstehen? Nicht der Name der CA hat sich geändert, sondern der Rechner auf dem Sie installiert ist. Der in der Fehlermeldung angegebene LDAP Pfad zeigt auf den alten Rechner, ich weiß allerdings nicht ob das den Fehler auslöst. Wobei ich gerade sehe dass dieser LDAP Pfad unter Best Match steht, man warum muss bei Microsoft immer alles so kompliziert sein? Was mich diese dämlichen 5 Zertifikate schon Zeit gekostet haben...

    Thx & Bye Tom

    Mittwoch, 10. Dezember 2014 11:40
  • Dann schau mal bitte in den Eigenschaften der Zertifizierungsstelle nach.

    Im Register 'Erweiterungen' unter 'Sperrlisten-Verteilungspunkt' sollte ein ldap Pfad stehen. Hier sollten entsprechende Pfad für 'ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>' stehen. Eventuell wurden hier anstelle der generischen Platzhalter, Servername etc. direkt eingetragen.

    http://technet.microsoft.com/en-us/library/ee126140%28v=ws.10%29.aspx

    Unter 'verifying certificate extension on the destination ca' finden sich noch weitere Hinweise.


    This posting is provided AS IS with no warranties.

    Mittwoch, 10. Dezember 2014 19:47
  • Servus,

    > Im Register 'Erweiterungen' unter 'Sperrlisten-Verteilungspunkt' sollte ein ldap Pfad stehen. Hier sollten entsprechende Pfad für 'ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>' stehen. Eventuell wurden hier anstelle der generischen Platzhalter, Servername etc. direkt eingetragen.

    Jupp, das scheint so, ich habe zwei LDAP-Pfade da stehen und in einem steht tatsächlich der alte Servername:

    > Unter 'verifying certificate extension on the destination ca' finden sich noch weitere Hinweise.

    Der og LDAP Pfad steht so auch in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration\KastnerRootCA\CRLPublicationURLs. Da drinnen steht das was oben im Screenshot auch schon zu sehen ist. (un

    Des Weiteren habe ich den alten Servernamen in der Registry noch im Pfad HKEY_USERS\.DEFAULT\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=KASTNER,DC=local\File mit dem Wert %LOCALAPPDATA%\Microsoft\Windows\SchCache\galaxy-1.KASTNER.local.sch gefunden. Kann damit jetzt aber erst mal nix anfangen.

    Ansonsten ist der verlinkte Artiikel jetzt nicht ganz einfach zu verstehen, so aus dem Zusammenhang gerissen und nicht mehr nachvollziehbar, weil das alte Setup leider bereits Geschichte ist.

    Aber nochmal zurück zu meinem LDAP Pfad da oben; wäre der falsch und wenn ja, was müsste ich machen? Einfach den mit dem aufgelösten Namen löschen? In den anderen Objekten wären beide LDAP Pfade identisch.

    Jetzt kommt das große Aber, ich erinnere mich daran an dieser Stelle genau diesbzgl. schon mal was gemacht zu haben, es könnte gut sein, dass ich den Pfad sogar selbst nachträglich dort eingefügt habe aber wie das so ist im Leben, habe ich dazu natürlich keine Unterlagen mehr, wie ich darauf gekommen und den alten Server gibst schon eine ganze Weile nicht mehr. Aber gut, was würdest du jetzt vorschlagen?

    Thx & Bye Tom

    Donnerstag, 11. Dezember 2014 09:29
  • Moin,

    im Prinzip ist es ganz einfach, Du fügst einen neuen ldap-CDP mit den Standardwerten hinzu. Danach den Dienst neu starten.

    Wenn die Veröffentlichung am neuen Pfad funktioniert, kannst Du Dich ans aufräumen machen. Am einfachsten kannst Du Dir mit dem SnapIn 'pkiview.msc' (Unternehmens-PKI) einen Überblick über die Pfade verschaffen.

    Zu Aufräumen gehören dabei mindestens zwei Dinge:

    1. Den alten, fehlerhaften CDP löschen
    2. Die Zertifikate, die nach der missglückten Migration ausgestellt wurden und den fehlerhaften CDP haben, sperren und neue Zertifikate anfordern


    This posting is provided AS IS with no warranties.

    Donnerstag, 11. Dezember 2014 11:27
  • Servus,

    > im Prinzip ist es ganz einfach, Du fügst einen neuen ldap-CDP mit den Standardwerten hinzu. Danach den Dienst neu starten.

    Das habe ich jetzt mal gemacht und beim Neustart des Dienstes kam noch eine Fehlermeldung Event ID 126

    ---snip---

    Auf dem Domänencontroller sind keine aktuellen Informationen zu erweiterten, von dieser Zertifizierungsstelle unterstützten Features verfügbar. Beenden Sie die Zertifikatdienste, und starten Sie sie neu, um die Informationen zu aktualisieren. Element nicht gefunden. 0x80070490 (WIN32: 1168)

    ---snap---

    Wobei unmittelbar danach dann eine Informationsmeldung Event ID 26 geloggt wird:

    ---snip---

    Die Active Directory-Zertifikatdienste für DomainRootCA wurden gestartet.  DC=GALAXY-4.DOMAIN.local

    ---snap---

    Was den zuvor geloggten Fehler 126 evtl. wieder gerade biegt. Ich beobachte das ganze jetzt mal eine Weile und scheue ob sich das eingangs erwähnte Problem jetzt erledigt hat und fahre dann mit dem Aufräumen fort. Wird aber wohl eine oder eineinhalb Wochen dauern, das war so der Intervall der Fehlermeldungen.

    Sollte das zweite Event nichts mit dem zuvor geloggten Fehler zusammenhängen, dann die Frage was ich noch kontrollieren könnte.

    Vielen Dank mal bis hierher & Bye Tom


    Freitag, 12. Dezember 2014 09:24
  • Moin,

    kannst Du zur Event ID 126 mal den vollständigen Eintrag posten?

    Eventuell gibt es noch weitere Verweise auf den alten Servernamen. Du könntest mal in diesem Registrypfad nach dem alten Servernamen suchen. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc]

    ---

    Der Fehler 74 bezieht sich auf die Sperrliste, die wird i.d.R. alle 14 Tage veröffentlicht. Du kannst die Sperrliste auch manuell veröffentlichen (Mit 'certutil -crl' oder über die GUI) und damit den Fehler provozieren bzw. prüfen, ob der Fehler beseitigt ist.


    This posting is provided AS IS with no warranties.

    Samstag, 13. Dezember 2014 07:34
  • Servus,

    sorry für die Verspätung aber ich habe nicht bemerkt, dass da noch eine Antwort auf Feedback wartet.

    > kannst Du zur Event ID 126 mal den vollständigen Eintrag posten?

    ---snip---

    Protokollname: Application
    Quelle:        Microsoft-Windows-CertificationAuthority
    Datum:         12.12.2014 10:16:16
    Ereignis-ID:   126
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      SYSTEM
    Computer:      VM-NET-SRV.DOMAIN.local
    Beschreibung:
    Auf dem Domänencontroller sind keine aktuellen Informationen zu erweiterten, von dieser Zertifizierungsstelle unterstützten Features verfügbar. Beenden Sie die Zertifikatdienste, und starten Sie sie neu, um die Informationen zu aktualisieren. Element nicht gefunden. 0x80070490 (WIN32: 1168)
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6A71D062-9AFE-4F35-AD08-52134F85DFB9}" EventSourceName="CertSvc" />
        <EventID Qualifiers="49754">126</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2014-12-12T09:16:16.000000000Z" />
        <EventRecordID>18052</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>VM-NET-SRV.KASTNER.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData Name="MSG_E_CA_ADVANCED_SETTING_NOT_UPDATED">
        <Data Name="ErrorCode">Element nicht gefunden. 0x80070490 (WIN32: 1168)</Data>
      </EventData>
    </Event>

    ---snap---

    Da steht nichts vom alten Rechner aber vielleicht anderes nützliches Zeug.

    > Du könntest mal in diesem Registrypfad nach dem alten Servernamen suchen. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc]

    Hab den ganzen Schlüssel mit Unterschlüssel durchsucht, da ist der alte Servername nicht mehr zu finden.

    > Du kannst die Sperrliste auch manuell veröffentlichen (Mit 'certutil -crl' oder über die GUI) und damit den Fehler provozieren bzw. prüfen, ob der Fehler beseitigt ist.

    Ah eine Insel ;-)  dieser Fehler ist jetzt nicht mehr aufgetaucht.

    Thx & Bye Tom

    Mittwoch, 17. Dezember 2014 09:38