Nach Installation eines Zertifaktes für IIS/HTTPS keine Remote AD Auth mehr

Diskutiere Nach Installation eines Zertifaktes für IIS/HTTPS keine Remote AD Auth mehr im Windows Server 2003 Forum im Bereich Server Systeme; Aloha zusammen, habe nen 2003 R2 mit IIS drauf. Habe nun auf diesem Server die Zertifizierungsstelle eingerichtet um ein SSL-Zertifikat für denn...

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Aloha zusammen,

habe nen 2003 R2 mit IIS drauf. Habe nun auf diesem Server die Zertifizierungsstelle eingerichtet um ein SSL-Zertifikat für denn IIS zu erstellen. Das tut nun alles ohne Probleme.

Ein paar andere Server (Linux) verwenden das W2003 AD System zur Userauthentifikation. Das hat bisher super funktioniert, leider nach dem einspielen des Zertifikates nicht mehr. Irgendwie können die Linuxbüxen nciht mehr auf das AD zugreifen und die User mit Passörtern abfragen.

Hat jemand eine Idee was da los sein könnte?

Die Domänenanmeldung funktioniert der einzelnen PC super.

Vielen Dank

LG HuGO
 

PraesidentEvil

Dabei seit
19.04.2005
Beiträge
1.623
Alter
36
Hi,
ich habe das Gefühl, dass da irgendetwas mit Auto-Enrollment von Zertifikaten geschehen ist.
Hier ein Artikel zu Disable Auto-Enrollment
Das ganze ist aber mit Vorsicht zu genießen!

Schau auch mal in deiner PKI, also Certificate Authority, ob bei "Issued Certificates" noch andere drinstehen, wie dein IIS Webserver Zertifikat

Viele Grüße
Präsi :D
 

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Aloha PraesidentEvil,

danke fürs Feedback,

bei "Ausgestellte Zertifikate" ahbe ich eines für den Server drin. Der Rest ist leer.

Wenn ich das "auto enrollment" deaktiviere wie beschrieben, muss ich dann ncoh etwas machen um zu sheen ob es wieder tut?

Die Kiste bringt mich noch zur Weißglut....

Vielen Dank

LG HuGO
 

PraesidentEvil

Dabei seit
19.04.2005
Beiträge
1.623
Alter
36
hmmm ich hab nochmals drüber nachgedacht!!!
Möglicherweise musst du auch das Root Zertifikat auf diesen PC's einspielen.
Du hast sicherlich eine AD integrated CA erstellt richtig?
Geh mal von den Linux-Büchsen über http://w2k3server/certsrv -> Download a CA certificate, certificate chain, or CRL -> Download CA certificate und füge das in den Certificate Store des Computers ein!
 

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Aloha,

das geht leider nciht. Die Linux Büxe ist ne Fireall, die "nur" die User Auth per AD machen soll wenn die User zb. Spams releasen möchten und sich somit auf der Firewall einloggen wollen. Ich ahbe auch keine Möglichkeit ein Cert. für die AD-Auth einzuspielen.

Als ich die Zertifizierungsstelle auf der W2K3 Büxe installiert hatte, bin ich davon aus gegangen, dass das NUR für den HTTP-SSL-Server ist.

Wohl falsch gedacht.

Es muss doch eine Möglichkeit gaben, für die User-AD-Abfragen das Ding wieder abzuschalten. Hmmmmmm

Danke!

LG HuGO
 

PraesidentEvil

Dabei seit
19.04.2005
Beiträge
1.623
Alter
36
Ich bin mir nicht 100% sicher, ob das nun für die komplette Domäne gilt.
Wenn du eine AD integrated CA eingerichtet hast, ist das komplette AD zwar mit Zertifikaten steuerbar, aber nicht zwingend.

Normallerweise hat man aber in einer Firewall schon die Möglichkeit Zertifikate einzuspielen, vorallem Linux hat solche Möglichkeiten schon lange oder???

Hast du noch Eventeinträge oder sonst was?
 

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Aloha,

eigentlich hast du Recht ;), allerdings aknn ich das Cert "nur" für das http-Frontend importieren oder für IPSEC-VPNs. Leider nciht für die AD-Frage bzw. ein Zertifikat für die AD-Abfrage verwenden.

LG HuGO
 

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Ups.. was vergessen,


hier der Eventeintag:

Benutzerabmeldung:
Benutzername: SRV05$
Domäne: XXXXXXXXXX (hier is der Dom-NAme drin)
Anmeldekennung: (0x0,0x65BB679)
Anmeldetyp: 3


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
 

PraesidentEvil

Dabei seit
19.04.2005
Beiträge
1.623
Alter
36
puuuh das ist hardcore! Ich brauch mehr Infos!!!
Poste mal bitte die komplette Situation, was du schritt für schritt gemacht hast!
Ich bin leider nicht ganz so tief in der PKI Sache drin... :(
 

paulkerl

Threadstarter
Dabei seit
26.07.2005
Beiträge
9
Aloha,

OK, hier StepByStep....

Hintergrund und System:

Haben nen W2003 R2 Server, der auch Exchange, AD, DC etc. übernimmt.
Als Firewall ahben wir eine Astaro (www.astaro.de).

Um auf das Exchange Frontend (http://server/Exchange) per https zu kommen, ahbe ich ein Zertifikat benötigt. Dashalb ahbe ich die Zertifizierungsstelle installiert und mir ein Cert. "gebaut" und installiert.

Seitdem tut die Mühle mit https problemlos. Leider aknn nun kein anderer Server mehr das AD abfragen.

StepByStep:

1. Zertifizeungsstelle installiert
2. Cert. generiert
3. Cert im IIS eingespielt
4. https aktiviert (http tut auch ncoh)

Das wars eigentlich..

Was mich wundert ist, dass M$ hier gleich alles "Dicht" macht. Ich frage das AD auf Port 389 ab. Also "Plain" und nicht per SSL auf Port 636. Da müsste doch alles beim Alten geblieben sein. Irgendwie steig ich bei dem M$-Zeug nicht durch. Da machste einen Klick, die Mühle rödelt sich nen Ast ab und macht irgendwas und ekiner weis was. Man Man Man

Danke für deine Hilfe.....

LG HuGO
 

PraesidentEvil

Dabei seit
19.04.2005
Beiträge
1.623
Alter
36
Das Problem wird vermutlich bei dir auftreten, da du das Webserver Zertifikat auf dem DC installiert hast da dieser auch Webserver ist richtig?
Das heißt (vermulich) alle Systeme die jetzt eine Abfrage auf das AD machen möchten sollen jetzt das Webserver Zertifikat bestätigten.

Also: Wenns geht, würde ich mal das ausgestellte Zertifikat revoken und dann schauen ob es wieder funktioniert. Fall ja dann liegts ja auf jedem Fall mal an dem und dann können wir immer noch schauen wie das Webserver Zertifikat einzuspielen ist!
 
Thema:

Nach Installation eines Zertifaktes für IIS/HTTPS keine Remote AD Auth mehr

Nach Installation eines Zertifaktes für IIS/HTTPS keine Remote AD Auth mehr - Ähnliche Themen

Microsoft Exchache ActiveSync-Konto auf Android Gerät seit kurzem nicht mehr einrichtbar: Hallo liebe Community, bis vor kurzem hatte ich auf meinem Android Gerät (Samsung Galaxy S4 mini) immer ein Exchange ActiveSync-Konto...
GELÖST FTP- Server- Adresse für Passiv-Modus nicht routingfähig: Hallo Wissende. Ich möchte gerne auf einen QNAP NAS (QNAP TS-412 Firmware: 4.0.2) einen FTP Server mit SSL/TLS (explizit) einrichten. Den FTP...
GELÖST RPC über https - Mit Outlook von extern auf Exchange ohne VPN: Mein Zeil war es, extern (also von überall auf der Welt) übers Internet mit einem Notebook und dem darauf installierten Outlook auf mein...
Exchange Installation - 2 Fehler: Hallo, ich setz grade bei mir einen MS Exchange auf einen W2K8 R2 Server auf. Auf dem W2K8 ist der IIS bereits installiert. Dennoch meckert er...
Windows Fehler-Code Liste ...: hallo WB gemeinde ... bin eben über eine auf meinem alten USB stick gespeicherte fehlercode liste für windows gestolpert :aah . da hier oft...
Oben