Windows 10 V1803: kann keine Enterprise CAs beziehen

Zum Wochenstart noch eine kleine Information für Administratoren in Firmenumgebungen. Windows 10 V1803-Clients können wohl keine Enterprise CA (Computer Zertifikate) beziehen. Hier einige Informationen zum Thema.


Anzeige

Ich bin Sonntag per privater Nachricht auf Facebook auf das Problem hingewiesen worden (danke für den Tipp-Geber aus dem MS-Umfeld). Das Problem wird im Technet-Forenbeitrag Windows 10 Build 1803 unable to request Enterprise CA computer certificates beschrieben.

Since the new build (1803) was installed on previous Windows 10 1709 machines, we are unable to request Certificates from our Enterprise Certificate Authority.

A user on the same system is able to do so, however as the local computer, we cannot request new certificates. The MMC.exe shows no templates available, all are access denied.

Der Tread-Ersteller steht vor dem Problem, dass bei Windows 10-Clients, die von Windows 10 V1709 auf die Version 1803 aktualisiert wurden, keine Zertifikate von der Enterprise Certificate Authority mehr bezogen werden können. Die Anwendung MMC.exe zeigt, dass keine Templates verfügbar seien und meldet einen abgewiesenen Zugriff.

Die üblichen Prüfungen wie eine Maschine komplett neu als Client installiert, einen Server 2016 Domain Controller installiert und konfiguriert wurden ausgeführt, ohne Erfolg. Das Problem tritt auf, sobald eine Maschine von Windows 10 V1709 auf Version 1803 aktualisiert wird. Ab dann kann kein neues Computerzertifikat mehr angefordert werden.

Mögliche Workarounds

Im Verlauf des Technet-Forenbeitrags bestätigen mehrere Nutzer dieses Problem – ihr braucht, sofern betroffen, nicht weiter zu suchen. Es liegt wohl nicht an der Konfiguration – und auch vom Tippgeber aus dem Microsoft-Umfeld ist mir bestätigt worden, dass das Problem reproduzierbar sei. Ein Nutzer schreibt am 12. Mai 2018:


Anzeige

We have the same issue. Getting Certificate from GPO Works fine. But using certreq.exe fails With  0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE), and MMC show no templates. Our CA is Windows Server 2016.

Ein möglicher Workaround, gepostet von Nutzer will5684 am 14. Mai, ist, die Zertifikate von Windows 10 V1709-Clients zu exportieren und dann unter Windows 10 V1803 zu importieren:

DiscussionVote as helpfulSame issue. As a temporary workaround we were able to export the certs from 1709 build and import into 1803 – its a pain but better this than nothing.

Nutzer BartvdO schreibt am 15. Mai 2018, dass er einen weiteren Workaround entwickelt habe:

I've made a copy of the Computer/Machine template and modified it in such a way that we are able to supply the subject name in the request. Made one machine able to request these certificates and of course added admin approval. Now I can create a computer certificate by requesting one from the new Template and filling in the custom CN and subject alt name (don't forget the alt name, else it won't work!), also don't forget to tick the "Make private key exportable" option!

Export the cert+key and import it on the pc that needs the computer cert. Voila… works for now…

This is actually a relatively quick and easy fix, although I will admit, not so pretty. If you want to use this workaround to, please be aware of the security implications and be vigilant on the security settings and admin approval of this new template.

Im Laufe des Threads gibt es dann die Rückmeldung zu einem weiteren Workaround: Sobald man den Credential Guard unter Windows 10 V1803 aktiviert, klappt der Zertifikatsbezug wieder. Der Credential Guard steht aber nur unter Windows 10 Enterprise zur Verfügung. Wie schreibt mein Tipp-Geber:

Kann bestätigen dass es sich verhält wie beschrieben. Mit Credential Guard alles gut, ohne schlecht. Bitter für die, die Pro haben.

Tja, Administratoren mit Windows 10 V1803 Pro schauen bezüglich des Credential Guard in die Röhre und müssen eine der oben skizzierten Maßnahmen über Ex- und Import versuchen.


Anzeige

Dieser Beitrag wurde unter Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Windows 10 V1803: kann keine Enterprise CAs beziehen

  1. Dietmar sagt:

    Das kann ich bestätigen. Wir haben das gleiche Problem. Es ist völlig egal, ob der PC von 1709 upgegradet oder mit 1803 neu aufgesetzt wurde. Die Workarounds sind in großer Menge nicht zu machen. Wir können den Credential Guard in der kurzen Zeit nicht einführen. Wenn das so bleibt, wird 1803 wohl die erste Version die wir auslassen werden.

  2. Tind sagt:

    Also lese ich das richtig, man ist nicht davon betroffen wenn man einen Upgrade von 1703 auf 1803 macht oder einen Rechner frisch mit 1803 installiert?
    Hatte da bisher jetzt so noch keine Probleme bemerkt.

  3. Ingo sagt:

    Interessant wäre, ob das nur bei Upgrades passiert, oder auch bei Neuinstallationen. In der Firma läuft CredentialGuard, da funktioniert deswegen alles. Aber hier im heimischen Testnetz ist das nicht aktiv. Und der 1803 Client, an dem ich grad sitze, hat sich brav ein Computerzertifikat von der CA gezogen.

  4. Günter Born sagt:

    @Tind (hab den Kommentar aus dem Papierkorb gefischt und restauriert – hoffe es war in deinem Sinne). Ich antworte dir und Ingo mal gemeinsam: Wenn ich mich im Original-Post (oben in Auszügen zitiert) nicht verlesen habe, tritt es auch bei Neuinstallationen auf.

  5. Michael sagt:

    Am 23.05. hat das mit dem Zertifikat auf einem meiner neu mit 1803 installierten Rechner noch funktioniert.
    Daher vermute ich jetzt mal, dass das Problem mit einem der letzten kumulativen Updates kaputtgepatcht wurde.

  6. Dirk Schader sagt:

    Wenn ich es richtig verstanden habe, betrifft es nur Domänen die eine Enterprise CA aufgesetzt haben?! Ist es dabei egal ob diese noch unter 2008 R2 oder höher läuft?
    Was ist mit normalen CAs wie z.B. auf dem SBS 2011?

  7. Tind sagt:

    Blöde Frage: Wie erkenne ich ob ich Enterprise CA im Einsatz habe? Ich habe jetzt schon mehrere Clients von 1703 auf 1803 migriert und auch frische 1803 installiert und hätte noch keine Zertifikatsprobleme bemerkt. Wir verteilen root/issuing certs per gpo und stellen das per pki aus.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.