{"id":205311,"date":"2018-06-11T00:23:09","date_gmt":"2018-06-10T22:23:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=205311"},"modified":"2022-05-22T01:13:15","modified_gmt":"2022-05-21T23:13:15","slug":"windows-10-v1803-kann-keine-enterprise-cas-beziehen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/06\/11\/windows-10-v1803-kann-keine-enterprise-cas-beziehen\/","title":{"rendered":"Windows 10 V1803: kann keine Enterprise CAs beziehen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Zum Wochenstart noch eine kleine Information f\u00fcr Administratoren in Firmenumgebungen. Windows 10 V1803-Clients k\u00f6nnen wohl keine Enterprise CA (Computer Zertifikate) beziehen. Hier einige Informationen zum Thema. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/81408e80ac5d47c4850b561073150359\" width=\"1\" height=\"1\"\/>Ich bin Sonntag per privater Nachricht auf Facebook auf das Problem hingewiesen worden (danke f\u00fcr den Tipp-Geber aus dem MS-Umfeld). Das Problem wird im Technet-Forenbeitrag <a href=\"https:\/\/social.technet.microsoft.com\/Forums\/en-US\/fc7162ed-c83a-4e41-bf2e-1e52158b99a2\/windows-10-build-1803-unable-to-request-enterprise-ca-computer-certificates?forum=win10itprosecurity\" target=\"_blank\" rel=\"noopener\">Windows 10 Build 1803 unable to request Enterprise CA computer certificates<\/a> beschrieben. <\/p>\n<blockquote>\n<p>Since the new build (1803) was installed on previous Windows 10 1709 machines, we are unable to request Certificates from our Enterprise Certificate Authority.<\/p>\n<p>A user on the same system is able to do so, however as the local computer, we cannot request new certificates. The MMC.exe shows no templates available, all are access denied.<\/p>\n<\/blockquote>\n<p>Der Tread-Ersteller steht vor dem Problem, dass bei Windows 10-Clients, die von Windows 10 V1709 auf die Version 1803 aktualisiert wurden, keine Zertifikate von der Enterprise Certificate Authority mehr bezogen werden k\u00f6nnen. Die Anwendung MMC.exe zeigt, dass keine Templates verf\u00fcgbar seien und meldet einen abgewiesenen Zugriff. <\/p>\n<p>Die \u00fcblichen Pr\u00fcfungen wie eine Maschine komplett neu als Client installiert, einen Server 2016 Domain Controller installiert und konfiguriert wurden ausgef\u00fchrt, ohne Erfolg. Das Problem tritt auf, sobald eine Maschine von Windows 10 V1709 auf Version 1803 aktualisiert wird. Ab dann kann kein neues Computerzertifikat mehr angefordert werden. <\/p>\n<h2>M\u00f6gliche Workarounds<\/h2>\n<p>Im Verlauf des Technet-Forenbeitrags best\u00e4tigen mehrere Nutzer dieses Problem \u2013 ihr braucht, sofern betroffen, nicht weiter zu suchen. Es liegt wohl nicht an der Konfiguration \u2013 und auch vom Tippgeber aus dem Microsoft-Umfeld ist mir best\u00e4tigt worden, dass das Problem reproduzierbar sei. Ein Nutzer schreibt am 12. Mai 2018:<\/p>\n<blockquote>\n<p>We have the same issue. Getting Certificate from GPO Works fine. But using certreq.exe fails With&nbsp; 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE), and MMC show no templates. Our CA is Windows Server 2016.<\/p>\n<\/blockquote>\n<p>Ein m\u00f6glicher Workaround, gepostet von Nutzer will5684 am 14. Mai, ist, die Zertifikate von Windows 10 V1709-Clients zu exportieren und dann unter Windows 10 V1803 zu importieren:<\/p>\n<blockquote>\n<p><img decoding=\"async\" alt=\"Discussion\" src=\"https:\/\/web.archive.org\/web\/20220416205448\/https:\/\/i1.social.s-msft.com\/globalresources\/Images\/trans.gif?cver=0%0d%0a\"\/><a href=\"https:\/\/social.technet.microsoft.com\/Forums\/en-US\/fc7162ed-c83a-4e41-bf2e-1e52158b99a2\/07132933-a71b-4220-943a-bbf21e62f893\/voteHelpful\" name=\"voteup\"><img decoding=\"async\" title=\"Vote as helpful\" alt=\"Vote as helpful\" src=\"https:\/\/web.archive.org\/web\/20220416205448\/https:\/\/i1.social.s-msft.com\/globalresources\/Images\/trans.gif?cver=0%0d%0a\"\/><\/a>Same issue. As a temporary workaround we were able to export the certs from 1709 build and import into 1803 &#8211; its a pain but better this than nothing.<\/p>\n<\/blockquote>\n<p>Nutzer BartvdO schreibt am 15. Mai 2018, dass er einen weiteren Workaround entwickelt habe: <\/p>\n<blockquote>\n<p>I've made a copy of the Computer\/Machine template and modified it in such a way that we are able to supply the subject name in the request. Made one machine able to request these certificates and of course added admin approval. Now I can create a computer certificate by requesting one from the new Template and filling in the custom CN and subject alt name (don't forget the alt name, else it won't work!), also don't forget to tick the \"Make private key exportable\" option!<\/p>\n<p>Export the cert+key and import it on the pc that needs the computer cert. Voila&#8230; works for now&#8230;<\/p>\n<p>This is actually a relatively quick and easy fix, although I will admit, not so pretty. If you want to use this workaround to, please be aware of the security implications and be vigilant on the security settings and admin approval of this new template.<\/p>\n<\/blockquote>\n<p>Im Laufe des Threads gibt es dann die R\u00fcckmeldung zu einem weiteren Workaround: Sobald man den Credential Guard unter Windows 10 V1803 aktiviert, klappt der Zertifikatsbezug wieder. Der Credential Guard steht aber nur unter Windows 10 Enterprise zur Verf\u00fcgung. Wie schreibt mein Tipp-Geber:  <\/p>\n<blockquote>\n<p>Kann best\u00e4tigen dass es sich verh\u00e4lt wie beschrieben. Mit Credential Guard alles gut, ohne schlecht. Bitter f\u00fcr die, die Pro haben.<\/p>\n<\/blockquote>\n<p>Tja, Administratoren mit Windows 10 V1803 Pro schauen bez\u00fcglich des Credential Guard in die R\u00f6hre und m\u00fcssen eine der oben skizzierten Ma\u00dfnahmen \u00fcber Ex- und Import versuchen. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Zum Wochenstart noch eine kleine Information f\u00fcr Administratoren in Firmenumgebungen. Windows 10 V1803-Clients k\u00f6nnen wohl keine Enterprise CA (Computer Zertifikate) beziehen. Hier einige Informationen zum Thema.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[24,4378],"class_list":["post-205311","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-problem","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=205311"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/205311\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=205311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=205311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=205311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}