…Tach Allerseits,<\/p>\n
Anfang des Jahres habe ich eine ISA-Installation bei einem Kunden durchgef\u00fchrt, der ein sicheres OWA-Publishing inklusive Password-Change-Option w\u00fcnschte. Als ich nach zwei Tagen Installation, Konfiguration und Dokumentation den OP-Tisch verlie\u00df lief alles\u00a0einwandfrei. Doch Ende letzter Woche klingelte bei mir das Telefon mit einem traurigen Admin am anderen Ende der Leitung. Ihr ahnt es schon: die Password-Change-Option hatte ihren Geist aufgegeben und funktionierte bereits seit einiger Zeit nicht mehr.<\/p>\n
Einmal mehr ein Fall f\u00fcr den ISA-Arztkoffer. Diesen flott gepackt, zum Kunden gefahren und ein wenig “herumgedoktort”. Folgende Diagnose konnte gestellt werden:<\/p>\n
Die Password-Change-Option auf der Form-Based-Authentication (FBA) des ISAs verweigerte den Dienst mit der Fehlermeldung:”An error occurred while trying to change the password. Please contact technical support for your organization”<\/p>\n
Diese Fehlermeldung ist mir inzwischen hinreichend bekannt. Sie tritt auf, wenn z.B. keine dom\u00e4nenintegrierte CA vorhanden ist (wird f\u00fcr die Password-Change-Option zwingend ben\u00f6tigt), oder wenn einer der am Szenario beteiligten Server (DCs, ISAs) die CA nicht kennt, oder verwaiste DCs im AD herumgeistern (http:\/\/www.it-training-grote.de\/blog\/?p=538<\/a>). Nicht so in unserem vorliegenden Fall. Hier begegnete mir zum ersten Mal folgender Event-Log-Eintrag auf einem der DCs: “Die automatische Zertifikatregistrierung f\u00fcr “lokaler Computer” konnte ein Zertifikat “Dom\u00e4nencontroller” (0x80070005) nicht registrieren. Zugriff verweigert.”<\/p>\n Im Unternehmen stehen zwei DCs. Einer der beiden DCs hat sein passendes Dom\u00e4nencontroller-Zertifikat beim Aufsetzen der CA\u00a0erhalten (deshalb\u00a0funktionierte die Password-Change-Option direkt nach der Installation bzw. Konfiguration, da der ISA mit genau diesem DC kommunizierte), der zweite DC mochte die Pille allerdings nicht so recht und wies obige Fehlermeldung auf. Die gute Nachricht: Dem Patienten konnte geholfen werden!<\/p>\n Meine Therapieempfehlung: F\u00fcgen Sie\u00a0im Wartungsfenster die Gruppe der “Dom\u00e4nencontroller” der Gruppe “CERTSVC_DCOM_ACCESS” hinzu. Daraufhin einmal Replizieren und Rebooten und eine flotte Genesung d\u00fcrfte sich einstellen (sprich: der zweite DC erh\u00e4lt daraufhin von der dom\u00e4nenintegrierten CA sein Dom\u00e4nencontroler-Zertifikat)!<\/p>\n Mit den besten gesundheitlichen W\u00fcnschen verabschiede ich mich f\u00fcr heute:<\/p>\n Karsten Hentrup aka Jens Mander…<\/p>\n |<-|<\/p>\n","protected":false},"excerpt":{"rendered":" …Tach Allerseits, Anfang des Jahres habe ich eine ISA-Installation bei einem Kunden durchgef\u00fchrt, der ein sicheres OWA-Publishing inklusive Password-Change-Option w\u00fcnschte. Als ich nach zwei Tagen Installation, Konfiguration und Dokumentation den OP-Tisch verlie\u00df lief alles\u00a0einwandfrei. Doch Ende letzter Woche klingelte bei … Continue reading