Eine Gruppenrichtlinie war der Auslöser. Per Default besorgt sich ein Windows 2003 DC ein von der - wenn vorhanden - hauseigenen Zertifizierungsstelle (CA) ausgestelltes Zertifikat. In diesem speziellen Fall wollte der DC jedoch nicht und protokollierte - beleidigt - im Anwendungsprotokoll unter der EventID 13, AutoEnrollment, dass
“Die automatische Zertifikatregistrierung für “lokaler Computer” konnte ein Zertifikat “Domänencontroller” (0×800706ba) nicht registrieren. Der RPC-Server ist nicht verfügbar.”
Auf der Maschine ist neben dem DC auch ein ISA Firewallserver installiert.
OK, das war vielleicht nicht die beste Idee aber wer kennt das Problem knapper IT Budgets nicht?
EventID.net – sonst immer Quell guter Problembehebungsideen hatte nix passendes und so fing die Suche an. Der ISA protokollierte nix ungewöhnliches, die CA ließ sich pingen, die Namensauflösung stimmte vorwärts wie rückwärts und andere DCs hatten sich vorher auch schon ein eigenes Zertifikat abgeholt.
Dann der entscheidende Hinweis…
Laut eines Kommentars auf eventid.net läuft die Kommunikation des DCs mit der CA offenbar über DCOM.
Ein Forumsposting erzählte mir dann, man müsse im ISA temporär das RPC Filtermodul deaktivieren. Und so findet sich in den RPC Filteroptionen auch tatsächlich der Hinweis, wenn man den Filter aktiviert lasse, also die strikte RPC Einhaltung erzwinge, ständen einige Protokolltypen wie z.B. auch DCOM nicht zur Verfügung.
Deaktiviert man nun den ganzen Filter, muss anschließend die Firewall neu gestartet werden was im laufenden Betrieb in der Regel das Trennen jeglicher Verbindungen von und über die Firewall zur Folge hat.
Das würde im Umkehrschluss bedeuten: Aktiviere ich den RPC Filter wieder, könnte der DC nie wieder sein eigenes Zertifikat erneuern.
Glücklicherweise hat aber Microsoft auch hier eine Lösung:
Bei der Kommunikation zwischen DC und CA kommt die Systemrichtlinie 22 “RPC von ISA Server an vertrauenswürdige Server zulassen” zum Einsatz. Für diese kann man ebenfalls die strikte RPC Einhaltung abschalten. Dazu öffnet man den Systemrichtlinien-Editor, wählt den Punkt “Active Directory” und deaktiviert den Punkt “Strickte RPC-Einhaltung erzwingen”.
Nun musste ich nur noch den Domänencontroller (in diesem Fall einer untergeordneten Domäne) in die Gruppe CERTSVC_DCOM_ACCESS (in der Hauptdomäne, wo die CA “steht”) einfügen und die CA selbst durchstarten.
Anschließend sind der DC und die CA wieder Freunde.
No Comments on "Ereigniskennung 13, AutoEnrollment: Kein RPC Server?"