KDC-Fehler 29 im Ereignisprotokoll: Zertifikat für Smartcard-Anmeldung nicht gefunden

Aus ITwiki
Wechseln zu: Navigation, Suche

Problembeschreibung[Bearbeiten]

Nach dem Installieren meines ersten Read Only DC's trat in gewissen Abständen immer wieder im Systemprotokoll die Fehlermeldung mit ID 29, Quelle "Kerberos-Key-Distribution-Center" auf: 

Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues KDC-Zertifikat.

Wirft man am RODC einen Blick in die Zertifikats-Verwaltung (leere MMC-Konsole aufrufen, Snap-In "Zertifikate" für "lokalen Computer" hinzufügen), wird bei "Eigene Zertifikate" kein Computerzertifikat für den Server angezeigt - andere, "normale" Domain Controller haben aber ein solches Zertifikat.

Lösung[Bearbeiten]

Bei mir waren mehrere Konfigurationen vorzunehmen. Vorweg: bislang hatte ich eine Domäne, wo die FSMO-/Betriebsmasterrollen allesamt auf einem Windows Server 2003 R2 Computer lagen. Microsoft empfielt / weißt darauf hin, dass aber zumindest die PDC Emulator-Rolle auf einen Windows Server 2008, besser noch einem 2008 R2, AD DS Server liegen müssen. Ich gehe hier nicht darauf ein, wie man FSMO-Rollen überträgt, bitte Google fragen...

Durch das Übertragen der Betriebsmasterrolle(n) und der Aufnahme eines RODCs in die Domäne werden zwei Gruppen "Schreibgeschützte Domänencontroller" bzw. "Schreibgeschützte Domänencontroller der Organisation" erstellt - und genau jene Gruppe benötigt entsprechende Rechte auf bestimmte Zertifikatsvorlagen.

CA Zertifikatsvorlagen: Rechte anpassen[Bearbeiten]

Öffne am Server, auf welchem deine Zertifikatsdienste (CA) installiert sind, die entsprechende MMC "Zertifizierungsstelle". Hier mit der rechten Maustaste auf "Zertifikatvorlagen" und "Verwalten" wählen. Folgende Rechte auf die genannten Vorlagen sind für die Gruppen "Schreibgeschützte Domänencontroller" und "Schreibgeschützte Domänencontroller der Organisation" zu vergeben: 

Vorlage Domänencontroller: "Registrieren"
Vorlage Domänencontrollerauthentifizierung: "Registrieren" und "Automatisch registrieren"
Vorlage Verzeichnis-E-Mail-Replikation: "Registrieren" und "Automatisch registrieren"

Das Ganze kann auch hier nachgelesen werden: http://support.microsoft.com/kb/967623

Active Directory Gruppe CERTSVC_DCOM_ACCESS[Bearbeiten]

Diese Einstellungen alleine reichten bei mir aber nicht. Ich musste zudem die beiden Gruppen "Schreibgeschützte Domänencontroller" und "Schreibgeschützte Domänencontroller der Organisation" der AD-Gruppe "CERTSVC_DCOM_ACCESS" hinzufügen. Am Zertifizierungsstellen-Server muss dann folgendes ausgeführt werden: 

certutil -setreg SetupStatus -SETUP_DCOM_SECURITY_UPDATED_FLAG
net stop certsvc
net start certsvc

Zum Schluss war ein Neustart vom Read Only DC notwendig, nach diesem Reboot wurde das Zertifikat automatisch registriert/erstellt. Diese Info habe ich von hier: http://support.microsoft.com/kb/947237/en-us

Zusammengefasst[Bearbeiten]

Folgende 3 Schritte waren notwendig:

  1. Übertragen der PDC Emulator-Rolle auf einen Windows Server 2008 R2 Computer
  2. Rechteanpassung an der Zertifikatsvorlagen der CA
  3. Rechteanpassung / Gruppenmitgliedschaft von "CERTSVC_DCOM_ACCESS" anpassen

Nützliche Links[Bearbeiten]

Abgerufen von „http://wiki.butzhammer.de/index.php?title=KDC-Fehler_29_im_Ereignisprotokoll:_Zertifikat_für_Smartcard-Anmeldung_nicht_gefunden&oldid=2489