[2000] CA wordt soms niet gevonden

Ik ben bezig met een Radius configuratie (PEAP) voor wireless clients, oa met behulp van http://www.hansenonline.net/Networking/wlanradius.html
Ik loop echter tegen wat problemen op:
Het aanvragen en installeren van certificaten via http://CAServer/Certserv werkt prima, dus de CA lijkt goed te werken. Echter, als ik in een GPO een nieuwe "Automatic Certificate Request" (Windows Settings\Security Settings\Public Key Policies) wil maken, krijg ik in de wizard na stap 2, het kiezen van een template, de volgende melding:
There is no Certification Authority available for the selected Certificate Template

Deze melding verschijnt bij elk template.
Bovendien krijg ik bij het aanvragen van een certificaat via de mmc addin Certificates ook een foutmelding. Deze luidt:
Windows cannot find a certification authority that will process the request

Na een beetje zoekwerk op deze laatste error vind ik dat in AD Sites en Services wat rechten verkeerd zouden moeten staan op het template.
Zie: http://support.microsoft....spx?scid=kb;en-us;Q271861
Deze rechten staan gewoon goed
secedit /refreshpolicy heeft geen zin, het rebooten van mijn server(s) ook niet.

De CA is tevens DC.

Als ik met wireless clients probeer te connecten, lijkt het goed te gaan, alleen is er geen dataverkeer. Op een van de clients (Dell laptop) verschijnt in de Dell wireless utility de melding "key abcent". Het certificaat kan dus niet gevonden worden ofzo...
De cients komt wel "door het accesspoint heen", aangezien ik met andere settings IAS meldingen in het eventlog krijg (zoals bv: The user attempted to use an unauthorized authentication method.). Met de juiste(?) settings krijgen de clients geen ip adres. Ook is er geen verkeer na het handmatig toewijzen van een ip adres. De data lijkt dus versleuteld te zijn, maar de clients hebben geen sleutel om de data te lezen.

Ik heb overigens wat websites draaien die gebruik maken van certificaten/ssl zoals bv OWA van Exchange, dit werkt gewoon prima.
Op de clients heb ik ook het certificaat geinstalleerd welke ik in IAS heb opgegeven om te gebruiken voor PEAP.

Gaat er misschien iets fout met DNS? Is er in DNS een manier om, net zoals de FSMO roles in DNS staan, een CA bekend te maken?
Of gaat er misschien ergens anders iets fout?

[ Voor 4% gewijzigd door Xtremelead op 29-05-2006 07:56 . Reden: nog wat extra info ]

^*kick*

schopje omhoog

Het gaat om een Windows 2000 Advanced server. De certificaten die ik probeer te enrollen via de gpo zijn computer certificaten. Ik krijg dezelfde error overigens ook bij de andere templates.
Dan vraag je naar de grootte van de certificaten. Hoe bedoel je dit?

Voor PEAP maak ik gebruik van computer certificaten (volgens mij, ik zit nu op mijn werk dus kan het ff niet checken, maar ik meen zowel user als computer certificaten geprobeerd te hebben)
Zowel de clients als de server hebben de CA in de Trusted Root Certification Authorities list staan.

In CA zit de mogelijkheid "register in AD" of iets dergelijks, maar dan krijg ik de melding dat de CA al is geregistreerd. Is het op een andere manier mogelijk het registreren in AD opnieuw te forceren?

Equator schreef op dinsdag 06 juni 2006 @ 08:31:
Ik neem even aan dat je geen aparte templates zelf heb gedefinieerd maar gebruik maakt van de standaard megeleverde templates

nee, er staan 4 standaard templates die ik heb geprobeerd

De grootte: Hoeveel bit is de het certificaat: 512/768/1024/2048/4096 etc.. De grootte wil helaas wel eens een beperkende factor zijn voor (P)EAP implementaties.
Dit geld voor het Root CA certificaat en voor de client certificaten

1024. Dit is ook het minimun voor PEAP heb ik begrepen

Is er misschien een mogelijkheid om hem opnieuw te installeren / on-registreren en weer registreren
Alles natuurlijk met het Administrator account om permissie trouble te voorkomen..

de herinstallatie wil ik als laatste uitweg gebruiken zoals je zult begrijpen
een optie om te "onregistreren" heb ik niet kunnen vinden.