Nach Installation eines Zertifaktes für IIS/HTTPS keine Remote AD Auth mehr

[paulkerl]

Aloha zusammen,

habe nen 2003 R2 mit IIS drauf. Habe nun auf diesem Server die Zertifizierungsstelle eingerichtet um ein SSL-Zertifikat für denn IIS zu erstellen. Das tut nun alles ohne Probleme.

Ein paar andere Server (Linux) verwenden das W2003 AD System zur Userauthentifikation. Das hat bisher super funktioniert, leider nach dem einspielen des Zertifikates nicht mehr. Irgendwie können die Linuxbüxen nciht mehr auf das AD zugreifen und die User mit Passörtern abfragen.

Hat jemand eine Idee was da los sein könnte?

Die Domänenanmeldung funktioniert der einzelnen PC super.

Vielen Dank

LG HuGO

 

[PraesidentEvil]

Hi,
ich habe das Gefühl, dass da irgendetwas mit Auto-Enrollment von Zertifikaten geschehen ist.
Hier ein Artikel zu Disable Auto-Enrollment
Das ganze ist aber mit Vorsicht zu genießen!

Schau auch mal in deiner PKI, also Certificate Authority, ob bei "Issued Certificates" noch andere drinstehen, wie dein IIS Webserver Zertifikat

Viele Grüße
Präsi

 

[paulkerl]

Aloha PraesidentEvil,

danke fürs Feedback,

bei "Ausgestellte Zertifikate" ahbe ich eines für den Server drin. Der Rest ist leer.

Wenn ich das "auto enrollment" deaktiviere wie beschrieben, muss ich dann ncoh etwas machen um zu sheen ob es wieder tut?

Die Kiste bringt mich noch zur Weißglut....

Vielen Dank

LG HuGO

 

[PraesidentEvil]

hmmm ich hab nochmals drüber nachgedacht!!!
Möglicherweise musst du auch das Root Zertifikat auf diesen PC's einspielen.
Du hast sicherlich eine AD integrated CA erstellt richtig?
Geh mal von den Linux-Büchsen über http://w2k3server/certsrv -> Download a CA certificate, certificate chain, or CRL -> Download CA certificate und füge das in den Certificate Store des Computers ein!

 

[paulkerl]

Aloha,

das geht leider nciht. Die Linux Büxe ist ne Fireall, die "nur" die User Auth per AD machen soll wenn die User zb. Spams releasen möchten und sich somit auf der Firewall einloggen wollen. Ich ahbe auch keine Möglichkeit ein Cert. für die AD-Auth einzuspielen.

Als ich die Zertifizierungsstelle auf der W2K3 Büxe installiert hatte, bin ich davon aus gegangen, dass das NUR für den HTTP-SSL-Server ist.

Wohl falsch gedacht.

Es muss doch eine Möglichkeit gaben, für die User-AD-Abfragen das Ding wieder abzuschalten. Hmmmmmm

Danke!

LG HuGO

 

[PraesidentEvil]

Ich bin mir nicht 100% sicher, ob das nun für die komplette Domäne gilt.
Wenn du eine AD integrated CA eingerichtet hast, ist das komplette AD zwar mit Zertifikaten steuerbar, aber nicht zwingend.

Normallerweise hat man aber in einer Firewall schon die Möglichkeit Zertifikate einzuspielen, vorallem Linux hat solche Möglichkeiten schon lange oder???

Hast du noch Eventeinträge oder sonst was?

 

[paulkerl]

Aloha,

eigentlich hast du Recht , allerdings aknn ich das Cert "nur" für das http-Frontend importieren oder für IPSEC-VPNs. Leider nciht für die AD-Frage bzw. ein Zertifikat für die AD-Abfrage verwenden.

LG HuGO

 

[paulkerl]

Ups.. was vergessen,


hier der Eventeintag:

Benutzerabmeldung:
Benutzername: SRV05$
Domäne: XXXXXXXXXX (hier is der Dom-NAme drin)
Anmeldekennung: (0x0,0x65BB679)
Anmeldetyp: 3


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

[PraesidentEvil]

puuuh das ist hardcore! Ich brauch mehr Infos!!!
Poste mal bitte die komplette Situation, was du schritt für schritt gemacht hast!
Ich bin leider nicht ganz so tief in der PKI Sache drin...

 

[paulkerl]

Aloha,

OK, hier StepByStep....

Hintergrund und System:

Haben nen W2003 R2 Server, der auch Exchange, AD, DC etc. übernimmt.
Als Firewall ahben wir eine Astaro (www.astaro.de).

Um auf das Exchange Frontend (http://server/Exchange) per https zu kommen, ahbe ich ein Zertifikat benötigt. Dashalb ahbe ich die Zertifizierungsstelle installiert und mir ein Cert. "gebaut" und installiert.

Seitdem tut die Mühle mit https problemlos. Leider aknn nun kein anderer Server mehr das AD abfragen.

StepByStep:

1. Zertifizeungsstelle installiert
2. Cert. generiert
3. Cert im IIS eingespielt
4. https aktiviert (http tut auch ncoh)

Das wars eigentlich..

Was mich wundert ist, dass M$ hier gleich alles "Dicht" macht. Ich frage das AD auf Port 389 ab. Also "Plain" und nicht per SSL auf Port 636. Da müsste doch alles beim Alten geblieben sein. Irgendwie steig ich bei dem M$-Zeug nicht durch. Da machste einen Klick, die Mühle rödelt sich nen Ast ab und macht irgendwas und ekiner weis was. Man Man Man

Danke für deine Hilfe.....

LG HuGO

 

[PraesidentEvil]

Das Problem wird vermutlich bei dir auftreten, da du das Webserver Zertifikat auf dem DC installiert hast da dieser auch Webserver ist richtig?
Das heißt (vermulich) alle Systeme die jetzt eine Abfrage auf das AD machen möchten sollen jetzt das Webserver Zertifikat bestätigten.

Also: Wenns geht, würde ich mal das ausgestellte Zertifikat revoken und dann schauen ob es wieder funktioniert. Fall ja dann liegts ja auf jedem Fall mal an dem und dann können wir immer noch schauen wie das Webserver Zertifikat einzuspielen ist!