none
0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT) -- Der angeforderte Antragstellername ist ungültig oder zu lang. RRS feed

  • Frage

  • Ich habe eine Domäne mit drei Domaincontrollern(2008, 2012 R2, 2019). Ich hatte bevor der 2019er dazu gekommen ist einen Zertifikatsserver auf einem 2003er Server laufen. Den Zertifikatsserver habe ich auf einen 2019 umgezogen. Nun erhalte ich alle 8 Stunden einen Zertifizierungsanfrage vom 2008er und 2019er DC. Wenn ich versuche die Zertifikate auszustellen erhalte ich folgenden Fehler.

    0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT) -- Der angeforderte Antragstellername ist ungültig oder zu lang.

    Leider hat bis jetzt nichts was ich im Netz gefunden habe funktioniert.

    Hier der Request:

    ccm:MGODC1.mgo.de"
      Anforderungstyp: 0x40102 (262402) -- PKCS10, Vollständige Antwort
      Anforderung: Kennzeichen: 0x4 -- UTF-8 erzwingen
      Anforderung: Statuscode: 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT) -- Der angeforderte Antragstellername ist ungültig oder zu lang.
      Anforderung: Dis (31) -- Verweigert
      Anforderung: Dispositionsmeldung: "Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats  Erneut beantragt von DOMÄNE\administrator"
      Anforderung: Einreichungsdatum: 23.11.2020 15:51
      Anforderung: Auflösungsdatum: 23.11.2020 16:01
      Sperrdatum: LEER
      Effektives Sperrdatum: LEER
      Grund für die Sperrung: LEER
      Antragstellername: "DOMÄNE\MGODC1$"
      Name des Anrufers: "DOMÄNE\MGODC1$"
      Signaturgeberrichtlinien: LEER
      Anwendungsrichtlinien des Signaturgebers: LEER
      Officer: LEER
      Anforderung: Definierter Name: LEER
      Anforderung: Binärer Name:
    0000    30 00                                              0.

      Anforderung: Land/Region: LEER
      Anforderung: Organisation: LEER
      Anforderung: Organisationseinheit: LEER
      Anforderung: Allgemeiner Name: LEER
      Anforderung: Stadt: LEER
      Anforderung: Bundesland/Kanton: LEER
      Anforderung: Titel: LEER
      Anforderung: Vorname: LEER
      Anforderung: Initialen: LEER
      Anforderung: Nachname: LEER
      Anforderung: Domänenkomponente: LEER
      Anforderung: E-Mail-Adresse: LEER
      Anforderung: Adresse: LEER
      Anforderung: Unstrukturierter Name: LEER
      Anforderung: Unstrukturierte Adresse: LEER
      Anforderung: Gerätseriennummer: LEER
      Nachweisabfrage: LEER
      Endorsement Key-Hash: LEER
      Endorsement-Zertifikathash: LEER
      Binäres Vorzertifikat: LEER
      Ausgestellt: Anforderungs-ID: 0x2c8 (712)
      Binäres Zertifikat: LEER
      Zertifikathash: LEER
      Zertifikatvorlage: "DomainController"
      Vorlagenregistrierungskennzeichen: LEER
      Allgemein Vorlagenkennzeichen: LEER
      Privatschlüsselkennzeichen der Vorlage: LEER
      Seriennummer: LEER
      Namens-ID des Ausstellers: LEER
      Anfangsdatum des Zertifikats: 23.11.2020 15:51
      Ablaufdatum des Zertifikats: 03.08.2024 13:47
      Ausgestellt: Schlüssel-ID des Antragst.: "4a 52 21 d5 a2 6e a5 9b ab f2 e9 70 01 ed 39 c8 24 96 12 aa"
      Binärer öffentlicher Schlüssel:
    0000    30 82 01 0a 02 82 01 01  00 c0 07 dc c5 b1 dd bd
    0010    de 05 1b 3e 31 87 1a 0c  22 dd fa 80 cd 55 62 58
    0020    10 45 1f 77 01 92 d9 c8  4d d2 15 17 74 c5 42 b2
    0030    61 ad bb 14 05 92 ab 16  48 fc e8 8f e3 68 a3 0b
    0040    e7 25 8a c3 7f a3 de ba  8a b4 62 60 ba d4 e3 da
    0050    8b 28 ca 6d 85 c4 a4 49  1a f8 6f a5 3e 4c b5 6b
    0060    50 83 f5 e2 61 51 a5 c3  17 c9 b0 1d 82 17 be 8d
    0070    38 0b ec fa 5b 07 9a 27  ce fe ee 30 67 a2 dd a1
    0080    c0 8f 99 4c 06 c2 28 44  cb 01 a6 6f 7c 51 7e d3
    0090    41 ef 36 6d 84 4e 98 db  9c 95 d0 3d d1 7a 95 fa
    00a0    59 86 fb bc f4 72 a0 bc  b4 37 ea 4d 0c 08 fa 38
    00b0    78 32 22 6f c3 2e 74 a2  2a 2e 83 d0 9e b2 a9 93
    00c0    73 15 bb 88 92 a7 b1 57  17 b9 31 61 37 16 e4 04
    00d0    2d aa 54 7d 24 28 b9 70  34 d2 57 5f 0e dc 65 46
    00e0    8d d9 bc 7a f3 59 83 63  33 7c 1d 59 f5 de 2b 0f
    00f0    3d b9 ac f4 a7 ec e7 54  d9 dd 0b ce f9 8f db c8
    0100    71 86 30 44 5a 59 af 6e  f7 02 03 01 00 01

      Länge des öffentlichen Schlüssels: 0x800 (2048)
      Öffentlicher Schlüssel-Algorithmus: "1.2.840.113549.1.1.1" RSA (RSA_SIGN)
      Algorithmus-Parameter f. öffentlichen Schlüssel:
    0000    05 00                                              ..

      Abgelaufenes Zertifikat in Sperrliste veröffentlichen: LEER
      Benutzerprinzipalname: LEER
      Ausgestellt: Definierter Name: LEER
      Ausgestellt: Binärer Name:
    0000    30 00                                              0.

      Ausgestellt: Land/Region: LEER
      Ausgestellt: Organisation: LEER
      Ausgestellt: Organisationseinheit: LEER
      Ausgestellt: Allgemeiner Name: LEER
      Ausgestellt: Stadt: LEER
      Ausgestellt: Bundesland/Kanton: LEER
      Ausgestellt: Titel: LEER
      Ausgestellt: Vorname: LEER
      Ausgestellt: Initialen: LEER
      Ausgestellt: Nachname: LEER
      Ausgestellt: Domänenkomponente: LEER
      Ausgestellt: E-Mail-Adresse: LEER
      Ausgestellt: Adresse: LEER
      Ausgestellt: Unstrukturierter Name: LEER
      Ausgestellt: Unstrukturierte Adresse: LEER
      Ausgestellt: Gerätseriennummer: LEER

      Anforderungsattribute:
        RequestOSVersion: "6.0.6003.2"
        RequestCSPProvider: "Microsoft RSA SChannel Cryptographic Provider"
        cdc: "MGODC1.mgo.de"
        rmd: "MGODC1.mgo.de"
        ccm: "MGODC1.mgo.de"

      Zertifikaterweiterungen:
        1.3.6.1.4.1.311.20.2: Kennzeichen = 20000(Ursprung=Richtlinie), Länge = 22
        Zertifikatvorlagenname (Zertifikattyp)
            DomainController

        2.5.29.37: Kennzeichen = 20000(Ursprung=Richtlinie), Länge = 16
        Erweiterte Schlüsselverwendung
            Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
            Serverauthentifizierung (1.3.6.1.5.5.7.3.1)

        2.5.29.15: Kennzeichen = 20001(Kritisch, Ursprung=Richtlinie), Länge = 4
        Schlüsselverwendung
            Digitale Signatur, Schlüsselverschlüsselung (a0)

        1.2.840.113549.1.9.15: Kennzeichen = 20000(Ursprung=Richtlinie), Länge = 6b
        SMIME-Funktionen
            [1]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.2
                 Parameter=02 02 00 80
            [2]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.4
                 Parameter=02 02 00 80
            [3]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.42
            [4]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.45
            [5]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.2
            [6]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.5
            [7]SMIME-Funktion
                 Objekt-ID=1.3.14.3.2.7
            [8]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.7

        2.5.29.14: Kennzeichen = 10000(Ursprung=Anforderung), Länge = 16
        Schlüsselkennung des Antragstellers
            4a5221d5a26ea59babf2e97001ed39c8249612aa

        2.5.29.35: Kennzeichen = 20000(Ursprung=Richtlinie), Länge = 18
        Stellenschlüsselkennung
            Schlüssel-ID=cd0a48065610a447275c0bf7946672b560328e1f

        2.5.29.31: Kennzeichen = 40000(Ursprung=Server), Länge = f2
        Sperrlisten-Verteilungspunkte
            [1]Sperrlisten-Verteilungspunkt
                 Name des Verteilungspunktes:
                      Vollst. Name:
                           URL=ldap:///CN=MGO CA(2),CN=MGO100,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=mgo,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint (ldap:///CN=MGO%20CA(2),CN=MGO100,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=mgo,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint)
                           URL=http://MGO100.mgo.de/CertEnroll/MGO CA(2).crl (http://MGO100.mgo.de/CertEnroll/MGO%20CA(2).crl)

        1.3.6.1.5.5.7.1.1: Kennzeichen = 40000(Ursprung=Server), Länge = f9
        Zugriff auf Stelleninformationen
            [1]Stelleninformationszugriff
                 Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
                 Alternativer Name:
                      URL=ldap:///CN=MGO CA,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=mgo,DC=de?cACertificate?base?objectClass=certificationAuthority (ldap:///CN=MGO%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=mgo,DC=de?cACertificate?base?objectClass=certificationAuthority)
            [2]Stelleninformationszugriff
                 Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
                 Alternativer Name:
                      URL=http://MGO100.mgo.de/CertEnroll/MGO100.mgo.de_MGO CA(2).crt (http://MGO100.mgo.de/CertEnroll/MGO100.mgo.de_MGO%20CA(2).crt)

        2.5.29.19: Kennzeichen = 20001(Kritisch, Ursprung=Richtlinie), Länge = 2
        Basiseinschränkungen
            Typ des Antragstellers=Endeinheit
            Einschränkung der Pfadlänge=Keine

    Dienstag, 24. November 2020 14:22

Alle Antworten

  • Hallo MGO1990,

    da ich nicht sicher bin, was Du bereits versucht hast, werde ich Folgendes vorschlagen:

    Entferne als Problemumgehung die 64-Zeichen-Gränze, indem Du den folgenden Befehl ausführst: 

    certutil -setreg ca\EnforceX500NameLengths 0

    Disable DN Length Enforcement

    Der CA-Dienst muss nach dem Ausführen des Befehls neu gestartet werden. 

    Überprüfe auch das Länderfeld, das DN-Suffix des Landes unterstützt nur zweistellige Ländercodes, wie DE, IT, US...

    certutil -dump %YourRequestFile%

    "Error Parsing Request The request subject name is invalid or too long" when trying to create a certificate from a CSR

    Grüße,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.




    Dienstag, 24. November 2020 19:48
    Moderator
  • Hallo Mihaela,

    vielen Dank für deine schnelle Antwort.
    Die Länge habe ich bereits kontrolliert und gesetzt.
    Den Dump des Requests kann ich nur aus der Konsole der Zertifizierungsstelle exportieren.
    Hier das Ergebnis:

    PKCS10-Zertifikatanforderung:
    Version: 1
    Antragsteller:
        LEER
      Namenshash (sha1): f944dcd635f9801f7ac90a407fbc479964dec024
      Namenshash (md5): a46c3b54f2c9871cd81daf7a932499c0

    Öffentlicher Schlüssel-Algorithmus:
        Algorithmus Objekt-ID: 1.2.840.113549.1.1.1 RSA
        Algorithmusparameter:
        05 00
    Länge des öffentlichen Schlüssels: 2048 Bits
    Öffentlicher Schlüssel: Nicht verwendete Bits = 0
        0000  30 82 01 0a 02 82 01 01  00 d4 30 3c 97 07 a1 f7
        0010  d7 35 cb 1a ea f3 da e9  66 5c 35 34 c1 02 97 ad
        0020  3b ef 39 4f 12 23 dd e1  76 52 85 e3 90 22 d6 16
        0030  80 81 f9 77 80 bf 06 36  55 4c e5 05 ff 79 e4 d4
        0040  dc bc 4f b9 a6 52 0f df  07 58 cf d3 07 57 55 a7
        0050  22 91 03 36 bf 64 49 6a  fd af c5 5c e8 6f 60 8c
        0060  4c 56 68 26 03 37 b7 ac  61 eb ea ae 0b f6 75 38
        0070  40 3a 55 03 60 94 80 95  2c 25 b5 bd 5e d1 e5 10
        0080  a8 1d 4d 94 59 2f fa 38  41 b0 39 dc 09 2b 85 9d
        0090  3a 55 05 d1 40 92 9b 1f  fb 0d a9 9e 6a fa 31 ea
        00a0  20 36 6f 5d d6 c8 ad 91  5d ee 9d 8c cf 00 8e 13
        00b0  16 53 f9 7b 23 f0 a4 67  01 df f5 cc 07 5e f5 d8
        00c0  e8 ab 4b 75 62 c6 f3 77  f1 d7 cc 77 ff 24 ba 94
        00d0  18 46 22 9e 05 3f 9f ee  1d b0 59 13 26 f4 81 34
        00e0  0a 64 a6 1e a9 18 7c b1  c7 62 12 e3 54 64 b1 c8
        00f0  30 76 a2 52 72 82 72 eb  68 af 4e 83 55 06 54 08
        0100  6f e4 6e 28 5a d3 e4 86  4d 02 03 01 00 01
    Anforderungsattribute: 4
      4 Attribute:

      Attribut[0]: 1.3.6.1.4.1.311.13.2.3 (Betriebssystemversion)
        Wert [0][0], Länge = c
            6.0.6003.2

      Attribut[1]: 1.3.6.1.4.1.311.21.20 (Clientinformationen)
        Wert [1][0], Länge = 30
        Client-ID: = 5
        ClientIdDefaultRequest -- 5
        Benutzer: DOMÄNE\MGODC1$
        Computer: MGODC1.mgo.de
        Status: taskeng.exe

      Attribut[2]: 1.3.6.1.4.1.311.13.2.2 (Kryptografiedienstanbieter der Registrierung)
        Wert [2][0], Länge = 64
        Kryptografiedienstanbieterinformationen
        Schlüsselspez. = 1
        Anbieter = Microsoft RSA SChannel Cryptographic Provider
        Signatur: Nicht verwendete Bits=0

      Attribut[3]: 1.2.840.113549.1.9.14 (Zertifikaterweiterungen)
        Wert [3][0], Länge = fc
    Zertifikaterweiterungen: 5
        1.3.6.1.4.1.311.20.2: Kennzeichen = 0, Länge = 22
        Zertifikatvorlagenname (Zertifikattyp)
            DomainController

        2.5.29.37: Kennzeichen = 0, Länge = 16
        Erweiterte Schlüsselverwendung
            Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
            Serverauthentifizierung (1.3.6.1.5.5.7.3.1)

        2.5.29.15: Kennzeichen = 1(Kritisch), Länge = 4
        Schlüsselverwendung
            Digitale Signatur, Schlüsselverschlüsselung (a0)

        1.2.840.113549.1.9.15: Kennzeichen = 0, Länge = 6b
        SMIME-Funktionen
            [1]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.2
                 Parameter=02 02 00 80
            [2]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.4
                 Parameter=02 02 00 80
            [3]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.42
            [4]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.45
            [5]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.2
            [6]SMIME-Funktion
                 Objekt-ID=2.16.840.1.101.3.4.1.5
            [7]SMIME-Funktion
                 Objekt-ID=1.3.14.3.2.7
            [8]SMIME-Funktion
                 Objekt-ID=1.2.840.113549.3.7

        2.5.29.14: Kennzeichen = 0, Länge = 16
        Schlüsselkennung des Antragstellers
            bd27590e72146ee7a17fada209dc42ed6df78d0c

    Signaturalgorithmus:
        Algorithmus Objekt-ID: 1.2.840.113549.1.1.5 sha1RSA
        Algorithmusparameter:
        05 00
    Signatur: Nicht verwendete Bits=0
        0000  02 ea 99 48 1c 02 2c 52  22 74 46 f4 64 3f fb ae
        0010  b4 b3 2c 40 ac e9 be d0  a6 0f 21 1e ac 1a b7 95
        0020  0a 18 dd 1e df f0 ba 82  d0 61 3b 84 58 0e f6 30
        0030  ec 53 0b 1a 8c 49 f6 78  0a 7e d8 e0 8f 91 c8 3d
        0040  3a 62 6f 2f a8 b0 39 4b  5a bf 22 6a 17 e8 e1 e9
        0050  c7 8a ef d5 92 ae f1 a3  57 a9 a0 78 9d f7 1f 6e
        0060  2c 1b 8b 51 3c 51 cc a8  19 1a d4 c1 7a af b6 32
        0070  9b 23 2b 95 ce 31 38 d1  2a 72 40 53 aa c9 2d d9
        0080  94 2e 34 f8 4f b4 62 00  9c ce 4d dc 92 f5 ee 9e
        0090  bd 14 41 e3 b6 93 8e 57  3c 41 c8 90 cf 83 08 e3
        00a0  9d 82 0e ad 90 b1 f4 f2  b6 97 4e 4e 5b 9c 69 2d
        00b0  d0 68 ff 22 e7 b8 a2 3d  36 c3 ba 78 cb fb 6e 60
        00c0  d8 97 21 78 4d fd 0f 5a  8a dc f2 c9 7f 13 d1 9a
        00d0  3b 12 c4 e7 fe 6e 69 c1  26 e6 18 ec c3 31 7f 04
        00e0  8b de b5 b5 db 80 22 2a  58 af 6c 57 72 c8 23 1d
        00f0  a7 54 4a fe b6 e1 c5 88  fd 4d 9b 83 78 03 c2 2a
    Signatur stimmt mit dem öffentlichen Schlüssel überein.
    Schlüssel-ID-Hash(rfc-sha1): bd27590e72146ee7a17fada209dc42ed6df78d0c
    Schlüssel-ID-Hash(sha1): 5920d13e32b87089f9758a18cbac9da0c8ce1677
    Schlüssel-ID-Hash(bcrypt-sha1): 1d43877ad0223dc60614f0d36e01805e850cf0e2
    Schlüssel-ID-Hash(bcrypt-sha256): 80dbf3283f0639f3fe72144a4099854ece7f99ad57c1a7f5339cf07fcb6f34f8
    CertUtil: -dump-Befehl wurde erfolgreich ausgeführt.

    Es muss irgendwas mit dem Autoenrollment zu tun haben.

    Viele Grüße

    Matthias


    Mittwoch, 25. November 2020 07:32
  • Moin

    normalerweise haben die Domain Controller-Zertifikate aus einer Enterprise-PKI zwar einen leeren Subject (wie bei Dir auch), aber dafür zwei SANs: DNS (FQDN des beantragenden DC) und DSObjectGUID (binäre GUID des DC aus dem AD). Die SANs fehlen in Deinem Request. Der DNS-Name kommt da per SAN in der Vorlage rein, die DS-GUID durch schwarze Magie (zu faul zu suchen, wie das gesetzt wird).

    Aber.

    Eigentlich sollte man die alte "Domain Controller" Vorlage nicht mehr benutzen, sondern "Domain Controller Authentication" (oder, noch besser, "Kerberos Authentication", wenn alle DCs und Members 2008 oder neuer sind) und "Directory E-Mail-Replication" (wenn man das denn benutzt). Diese alte Vorlage wurde auch offiziell durch die neue Vorlage abgelöst...

    Kriegst Du auf den DCs im Anwendungsprotokoll Events 47 oder 56?

    EDIT:

    Du kannst übrigens die aktualisierten Versionen der Standard-Templates für Deine CA-Version mit certutil.exe -InstallDefaultTemplates einspielen.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Mittwoch, 25. November 2020 08:18
  • Hallo Evgenij,

    beide Vorlagen sind vorhanden. Die DomainController Vorlage kann ich nicht verändern.
    Wie stelle ich auf die neue Vorlage um(oder führt mich das nicht zum Ziel)?

    Die Events tauchen bei mir auf keinem der DCs auf.

    InstallDefaultTemplates habe ich ausgeführt.

    Mittwoch, 25. November 2020 11:04
  • Moin,

    Du kannst die Domain Controller-Vorlage von der CA zurückziehen und bei den neueren kontrollieren, dass die Domain Controller das Enroll- und Autoenroll-Recht haben. Anschließend die neuen Vorlagen auf der CA veröffentlichen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 25. November 2020 13:52
  • Leider finde ich nirgends ein Möglichkeit die Vorlage zurückzuziehen. Ich kann wie gesagt an der Vorlage auch nichts verändern.

    Mittwoch, 25. November 2020 14:42
  • Leider finde ich nirgends ein Möglichkeit die Vorlage zurückzuziehen. Ich kann wie gesagt an der Vorlage auch nichts verändern.

    Einfach löschen. Die verschwindet dann zwar von der CA, aber nicht aus dem AD. Dann klickst Du rechts auf "Vorlagen", sagst "Verwalten", und da kannst Du alles ändern. Sind die Änderungen fertig, gehst Du zurück in die CA-Konsole, wieder auf Vorlagen und sagst Neu >> Auszustellende Zertifikatsvorlage.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 25. November 2020 15:35
  • Geht leider nicht. Ich kann im Snap-In Zertifikatvorlagen die Vorlage Domänencontroller nicht löschen.

    Schemaversion ist 1 Version ist 4.1

    Im ADSI und im Active Directory-Standorte und -Dienste kann ich es löschen.

    Freitag, 27. November 2020 09:09
  • Dann hast Du irgendwo ein Berechtigungsproblem. Entweder die Maschine der CA hat keine Rechte oder Dein Account. Wobei zweiteres eher unwahrscheinlich ist, da Du ja im ADSIEdit herumfuhrwerken darfst.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 27. November 2020 09:45
  • Die Maschine auf der die CA läuft ist kein Domain Controller. Wo könnte ich die Berechtigungen prüfen und vor allem welche?
    Freitag, 27. November 2020 10:08
  • Die Maschine auf der die CA läuft ist kein Domain Controller.

    Das ist sehr lobenswert.

    Wo könnte ich die Berechtigungen prüfen und vor allem welche?

    Im AD, Configuration Partition, Public Key Services. Bau Dir am Besten ein Mini-Labor (1DC + 1 CA), dann kannst Du da alles abschauen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 27. November 2020 10:34