ISA-Password-Change vs. Zertifikatsfehler die Zweite…

Tach Allerseits,

Mitte März veröffentlichte ich folgenden Artikel hier im Blog und berichtete über eine mögliche Schwierigkeit beim ISA-Password-Change: http://www.it-training-grote.de/blog/?p=659.

Heute meldete sich ein Kunde bei mir mit einen Screenshot im Gepäck, der mich erfreut aufhorchen ließ: “Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate. Access is denied.”

Selbstsicher nahm ich den Telefonhörer in die Hand, rief den Kunden an und sagte ihm: “Alles kein Problem, einfach die Gruppe der “Domänencontroller” in die Gruppe “CERTSVC_DCOM_ACCESS” packen und gut is.”

Der Admin vor Ort öffnet auf dem DC auf dem auch die CA installiert ist “Active Directory-Benutzer und -Computer” und siehe da: die Gruppe gibt es nicht!

Einige Tests weiter fing ich an zu recherchieren und fand folgenden Artikel: http://support.microsoft.com/kb/903220/en-us. Auf dem Host der CA flott folgendes reingehackt und die Gruppe “CERTSVC_DCOM_ACCESS” wurde brav angelegt:

certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

Danach noch die Gruppe der “Domänencontroller” in die “CERTSVC_DCOM_ACCESS”-Gruppe aufgenommen, die betroffenen DCs mit obiger Fehlermeldung neugestartet und alles ist im grünen Bereich. Öfter mal was Neues! 🙂

Karsten Hentrup aka Jens Mander…

|<-|