Hoi Allemaal,
Ik heb een Windows 2003 domein met 2 windows 2003 domain controllers.
- op 1 van de DC's heb ik certificate server geinstalleerd (Enterprise Root CA).
- later heb ik deze ge-deinstalleerd.
- en weer later heb ik wederom certificate server geinstalleerd (ook weer Enterprise Root CA)
echter heb ik deze keer een andere naam gebruikt dan de eerste keer.
vervolgens begonnen er warning messages in application log van de DC's te ontstaan.
event 7022 source: KDC: KDC hangs at startup
event 20 source: KDC: The currently selected KDC certificate was once valid, but now is invalid etc..
na wat speurwerk, zou dit te maken hebben met het nog steeds bestaan van de oude enterprise root ca.(die ik na mijn idee al lang had verwijderd.)
het commando certutil verteld mij dat er 2 entry's zijn.
1) op advies alle oude certificaten te verwijderen uit beide DC's local certificate stores.
2) en certutil te draaien op beide DC's: certutil -dcinfo deleteBad
na reboot van beide DC's waren deze warnings verdwenen uit de application logs van beide DC's.
echter warning messages voor DCOM onstonden nu... vervolgens heb ik onderstaande uitgeprobeerd.
3) 1. Please check to ensure that a new security group, CERTSVC_DCOM_ACCESS, has been created after applied the SP1.
2. Please add the "Domain Users", "Domain Computers", "Domain Controllers" groups to the new CERTSVC_DCOM_ACCESS security group.
3. Then, we can have Certificate Services update the DCOM security settings by running the following commands:
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc.
======================================================================
de DCOM+ en autoenrollment warnings zijn nu weer foetsie..
echter certutil blijft aangeven dat er een entry is voor de oude enterprise root ca en een entry voor de nieuwe enterprise root ca ?
oude naam: Enterprise Root CA - PlanetX
nieuwe naam: Enterprise root CA for planetx'
output van certuril commando..
Yeti en Manta zijn de DC's
c:> certutil
Entry 0:
Name: `Enterprise Root CA - PlanetX'
Organizational Unit: `'
Organization: `'
Locality: `'
State: `'
Country/region: `'
Config: `MANTA.planetx.local\Enterprise Root CA - PlanetX'
Exchange Certificate: `'
Signature Certificate: `'
Description: `'
Server: `MANTA.planetx.local'
Authority: `Enterprise Root CA - PlanetX'
Sanitized Name: `Enterprise Root CA - PlanetX'
Short Name: `Enterprise Root CA - PlanetX'
Sanitized Short Name: `Enterprise Root CA - PlanetX'
Flags: `1'
Entry 1: (Local)
Name: `Enterprise root CA for planetx'
Organizational Unit: `'
Organization: `'
Locality: `'
State: `'
Country/region: `'
Config: `yeti.planetx.local\Enterprise root CA for planetx'
Exchange Certificate: `'
Signature Certificate: `yeti.planetx.local_Enterprise root CA for planetx.crt'
Description: `'
Server: `yeti.planetx.local'
Authority: `Enterprise root CA for planetx'
Sanitized Name: `Enterprise root CA for planetx'
Short Name: `Enterprise root CA for planetx'
Sanitized Short Name: `Enterprise root CA for planetx'
Flags: `13'
CertUtil: -dump command completed successfully.
Wat ben ik nu nog vergeten ?
Ik heb een Windows 2003 domein met 2 windows 2003 domain controllers.
- op 1 van de DC's heb ik certificate server geinstalleerd (Enterprise Root CA).
- later heb ik deze ge-deinstalleerd.
- en weer later heb ik wederom certificate server geinstalleerd (ook weer Enterprise Root CA)
echter heb ik deze keer een andere naam gebruikt dan de eerste keer.
vervolgens begonnen er warning messages in application log van de DC's te ontstaan.
event 7022 source: KDC: KDC hangs at startup
event 20 source: KDC: The currently selected KDC certificate was once valid, but now is invalid etc..
na wat speurwerk, zou dit te maken hebben met het nog steeds bestaan van de oude enterprise root ca.(die ik na mijn idee al lang had verwijderd.)
het commando certutil verteld mij dat er 2 entry's zijn.
1) op advies alle oude certificaten te verwijderen uit beide DC's local certificate stores.
2) en certutil te draaien op beide DC's: certutil -dcinfo deleteBad
na reboot van beide DC's waren deze warnings verdwenen uit de application logs van beide DC's.
echter warning messages voor DCOM onstonden nu... vervolgens heb ik onderstaande uitgeprobeerd.
3) 1. Please check to ensure that a new security group, CERTSVC_DCOM_ACCESS, has been created after applied the SP1.
2. Please add the "Domain Users", "Domain Computers", "Domain Controllers" groups to the new CERTSVC_DCOM_ACCESS security group.
3. Then, we can have Certificate Services update the DCOM security settings by running the following commands:
certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc.
======================================================================
de DCOM+ en autoenrollment warnings zijn nu weer foetsie..
echter certutil blijft aangeven dat er een entry is voor de oude enterprise root ca en een entry voor de nieuwe enterprise root ca ?
oude naam: Enterprise Root CA - PlanetX
nieuwe naam: Enterprise root CA for planetx'
output van certuril commando..
Yeti en Manta zijn de DC's
c:> certutil
Entry 0:
Name: `Enterprise Root CA - PlanetX'
Organizational Unit: `'
Organization: `'
Locality: `'
State: `'
Country/region: `'
Config: `MANTA.planetx.local\Enterprise Root CA - PlanetX'
Exchange Certificate: `'
Signature Certificate: `'
Description: `'
Server: `MANTA.planetx.local'
Authority: `Enterprise Root CA - PlanetX'
Sanitized Name: `Enterprise Root CA - PlanetX'
Short Name: `Enterprise Root CA - PlanetX'
Sanitized Short Name: `Enterprise Root CA - PlanetX'
Flags: `1'
Entry 1: (Local)
Name: `Enterprise root CA for planetx'
Organizational Unit: `'
Organization: `'
Locality: `'
State: `'
Country/region: `'
Config: `yeti.planetx.local\Enterprise root CA for planetx'
Exchange Certificate: `'
Signature Certificate: `yeti.planetx.local_Enterprise root CA for planetx.crt'
Description: `'
Server: `yeti.planetx.local'
Authority: `Enterprise root CA for planetx'
Sanitized Name: `Enterprise root CA for planetx'
Short Name: `Enterprise root CA for planetx'
Sanitized Short Name: `Enterprise root CA for planetx'
Flags: `13'
CertUtil: -dump command completed successfully.
Wat ben ik nu nog vergeten ?
[ Voor 50% gewijzigd door Verwijderd op 16-10-2006 17:56 ]