Liebe Leserinnen und Leser,
verehrte Administratoren,
hoch geschätzte Lebensformen,
werte Freunde,

es begab sich kürzlich erneut, dass die Chefredaktion mit der Administration eines Windows-Servers betraut wurde. Die dabei entstandenen psychischen Wunden und physischen Scherzen versuchen wir nun aufzuarbeiten.

Es handelte sich um einen Server mit Windows-Zertifizierungsstelle (CA). Hier sollten einfach 2 Rollen hinzugefügt werden, um dem Server die APIs SCEP (Microsoft nennt es NDES, weil Standards für’n Arsch) und CEP/CES beizubringen. Beides funktionierte nicht Out-Of-The-Box.

Zuerst SCEP: damit das funktioniert muss der dafür angelegte Service Account impersonieren dürfen. Also nahm man die Gruppe IIS_IUSRS in der lokalen Sicherheitsrichtlinie (secpol.msc) in die Richtlinie „Annehmen der Clientidentität nach Authentifizierung“ auf. Zur Sicherheit startet man den IIS neu, denn man weiß ja nie unter Windows. Wohlgemerkt gleich über den so präsenten Button „Neu starten“ oben rechts in der IIS-Konsole. Ging dann nur leider trotzdem nicht. Stunden der Fehlersuche und ein leer gegoogeltes Internet später stießen wir in einem Blog auf die Randnotiz, man solle den IIS doch lieber mittels „iisreset“ auf der Kommandozeile neu starten. Und schon ging’s! Was für ein Pfeffer! Dass nur das Kommandozeilentool den IIS richtig neu startet ist seit vielen Generationen vererbtes Profi-Geheimwissen, auf welchem der ganze Erfolg von Windows-Systemhäusern beruht. Also sagen Sie es bitte nicht weiter.

Trotz nicht mehr vorhandener Nerven: da war ja noch CEP/CES, was nicht ging. Bei einer Anfrage an diese SOAP-API lieferte sie einfach keine verfügbare Zertifikatsvorlage zurück. Die Liste war leer, obwohl Zertifikatsvorlagen aktiviert waren, auf welche der authentifizierte Nutzer das „Registrieren“-Recht hatte. Stellt sich heraus, das ist ein bekannter Bug, wenn die Zertifikatsvorlage auf das neueste Kompatibilitätslevel „Windows Server 2016“ gesetzt ist, dann steht sie via CEP/CES nicht zur Verfügung. Microsoft macht auch seit Jahren keine Anstalten das zu fixen. Warum auch? Die Leute kaufens ja trotzdem. Einzige Lösung: das Level nach unten setzen. Und dann den obligatorischen IIS-Neustart nicht vergessen, weil erst dann rafft die CEP/CES-API die Änderung und bietet das Template an 😉