Mrz 16 2009

Windows 2003 Domänencontrolller – Certificate AutoEnrollment schlägt fehl

Category: Arbeit,Technik,Windows Servertrekkie22 @ 5:33 pm

Und wieder mal hat es mich eingeholt. Wir haben eine neue Domäne in Betrieb genommen und prompt schlug wieder das Rechte-Problem beim Autoenrollment zu.

Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date:  16.03.2009
Time:  15:44:04
User:  N/A
Computer: <Servername>
Description:
Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.

Hintergrund: Der Domänencontroller hat seit Windows Server 2003 Servicepack 1 keine Rechte mehr, ein Zertifikat anzufordern. Die Rechteverwaltung der Zertifikatsdienste wurde mit Servicepack 1 verändert, es gibt jetzt eine neue Gruppe „CERTSVC_DCOM_ACCESS“, in der die Rechte für den DCOM-Access verwaltet werden.

Wenn man die Zertifizierungsstelle nun in die Stammdomäne installiert, wird die Gruppe angelegt und die Rechte für die Stammdomäne werden erteilt (Domänencomputer und Domänenbenutzer). Schon hier fehlen die Domänencontroller – will also ein DC ein Zertifikat anfordern, hat er Pech gehabt. In meinen Augen eine blödsinnige Konfiguration, da gerade die DCs doch eigentlich am dringendsten die Zertifikate brauchen.

Noch schöner wird es, wenn man Child-Domänen anlegt – die tauchen in der Gruppe nämlich per Default erstmal gar nicht auf, man muß sie manuell hinzufügen, ansonsten hat man in der kompletten Domäne auf jedem Rechner das Problem, daß das AutoEnrollment fehlschlägt. Konkret wären aus der betroffenen Domäne die Gruppen „Domänenbenutzer“, „Domänencomputer“ und „Domänencontroller“ hinzuzufügen.

Das AutoEnrollment kann man mit certutil -pulse auf der Kommandozeile manuell anstoßen, das Eventlog gibt dann umgehend Auskunft, ob es funktioniert hat.

Dazu gibt es natürlich auch einen Knowledgebase-Artikel: http://support.microsoft.com/kb/903220/en-us