Schlagwort: Domänencontroller (DC)

Smartcard-Anmeldung schlägt fehl mit Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"

Folgendes Szenario angenommen:

  • Das Unternehmen möchte Smartcard-Anmeldung einsetzen.
  • Die Domänencontroller sind mit für Smartcard-Anmeldung verwendbaren Zertifikaten ausgestattet.
  • Die Benutzer sind mit für Smartcard-Anmeldung verwendbaren Zertifikaten ausgestattet.
  • Die Anmeldung an der Domäne per Smartcard schlägt mit folgender Fehlermeldung fehl:
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
„Smartcard-Anmeldung schlägt fehl mit Fehlermeldung "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)"“ weiterlesen

Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."

Folgendes Szenario angenommen:

  • Das Unternehmen setzt Windows Hello for Business ein.
  • Benutzer erhalten bei der Anmeldung am Client folgende Fehlermeldung:
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
„Anmeldefehler mit Windows Hello for Business: "Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte."“ weiterlesen

Zur Option "Build this from Active Directory information" bei Zertifikatvorlagen

Bei der Konfiguration einer Zertifikatvorlage muss man über den beabsichtigten Zertifikatinhalt entscheiden, d.h. unter Anderen, welche Identitäten durch die Zertifikate bestätigt werden, und wie diese abgebildet werden.

In der Karteikarte "Subject Name" des Konfigurationsdialogs für Zertifikatvorlagen kann konfiguriert werden, wie die durch das Zertifikat bestätigte Identität abgebildet wird.

„Zur Option "Build this from Active Directory information" bei Zertifikatvorlagen“ weiterlesen

Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:74 (0x4A)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Ereignistext (englisch):Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location on server %4: %2. %3.%5%6
Ereignistext (deutsch):Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort auf dem Server "%4" veröffentlicht werden: %2. %3.%5%6
„Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Details zum Ereignis mit ID 75 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:75 (0x4B)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_DELTA_CRL_PUBLICATION_HOST_NAME
Ereignistext (englisch):Active Directory Certificate Services could not publish a Delta CRL for key %1 to the following location on server %4: %2. %3.%5%6
Ereignistext (deutsch):Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort auf dem Server "%4" veröffentlicht werden: %2. %3.%5%6
„Details zum Ereignis mit ID 75 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:65 (0x41)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_BASE_CRL_PUBLICATION
Ereignistext (englisch):Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location: %2. %3.%5%6
Ereignistext (deutsch):Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6
„Details zum Ereignis mit ID 65 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:66 (0x42)
Ereignisprotokoll:Application
Ereignistyp:Fehler
Symbolischer Name:MSG_E_DELTA_CRL_PUBLICATION
Ereignistext (englisch):Active Directory Certificate Services could not publish a Delta CRL for key %1 to the following location: %2. %3.%5%6
Ereignistext (deutsch):Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort veröffentlicht werden: %2. %3.%5%6
„Details zum Ereignis mit ID 66 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Konfigurieren einer Zertifikatvorlage für Domänencontroller

Auch bei einer vermeintlich simpel zu konfigurierenden Zertifikatvorlage für Domänencontroller gibt es einiges zu beachten.

„Konfigurieren einer Zertifikatvorlage für Domänencontroller“ weiterlesen

Smartcard Anmeldung im Netzwerk unterbinden

Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.

Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.

„Smartcard Anmeldung im Netzwerk unterbinden“ weiterlesen

Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN)

Folgendes Szenario angenommen:

  • Es werden Zertifikate für Domänencontroller von einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) ausgestellt
  • Die hierfür verwendete Zertifikatvorlage wurde selbst erzeugt
  • Die ausgestellten Zertifikate enthalten im Subject Alternative Name (SAN) nur den vollqualifizierten Computernamen des jeweiligen Domänencontrollers, jedoch nicht den vollqualifizierten Namen und den NETBIOS Namen der Domäne
„Zertifikate für Domänencontroller enthalten nicht den Domänennamen im Subject Alternative Name (SAN)“ weiterlesen

Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."

Folgendes Szenario angenommen:

  • Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
  • Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:
Signing in with a security device isn't supported for your account. For more info, contact your administrator.
„Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."“ weiterlesen

Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "The revocation status of the authentication certificate could not be determined."

Folgendes Szenario angenommen:

  • Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
  • Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:
The revocation status of the authentication certificate could not be determined.
„Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "The revocation status of the authentication certificate could not be determined."“ weiterlesen

Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung

Damit Domänencontroller Smartcard Anmeldungen verarbeiten können, benötigen sie Zertifikate, welche diese Funktion bereitstellen.

„Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung“ weiterlesen

Benötigte Firewallregeln für Active Directory Certificate Services

Implementiert man eine Active Directory integrierte Zertifizierungsstelle, ist oft eine Planung der im Netzwerk zu erstellenden Firewallregeln erforderlich. Nachfolgend eine Aufstellung der benötigten Firewallregeln und eventueller Fallstricke.

„Benötigte Firewallregeln für Active Directory Certificate Services“ weiterlesen

Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten

Über die Generationen der Windows-Betriebssysteme wurden verschiedene Zertifikatvorlagen für Domänencontroller etabliert. In einem aktuellen Active Directory Verzeichnisdienst wird man drei verschiedene Vorlagen für diesen Zweck finden.

  • Domain Controller
  • Domain Controller Authentication
  • Kerberos Authentication

Nachfolgend eine Beschreibung der einzelnen Vorlagen und eine Empfehlung für die Konfiguration von Domänencontroller-Zertifikatvorlagen.

„Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten“ weiterlesen
de_DEDeutsch
en_USEnglish de_DEDeutsch