Die Zertifikatsdienste bilden das Rückgrat des sicheren Datenaustauschs, indem sie die Authentizität der Kommunikation im Netzwerk gewährleisten. Funktionieren diese nicht mehr richtig, kommt es zu Verbindungsfehlern und Sicherheitslücken. In solchen Situationen ist ein zielgerichtetes Troubleshooting wichtig, um schnell eine Lösung zu finden. In diesem Workshop zeigen wir Mittel und Wege auf, um Probleme mit den Zertifikatsdiensten zu beheben.
Zertifikatsdienste sind Mechanismen zum Ausstellen, Validieren und Verwalten von Zertifikaten, die eine sichere Kommunikation im Netzwerk gewährleisten. Sie stellen die Identität von Endgeräten und Benutzern sicher und ermöglichen die verschlüsselte Übertragung von Daten. Die Zertifikatsdienste des Active Directory bestehen aus mehreren Komponenten. Eine der wichtigsten ist die Certificate Authority (CA), die die Rolle einer vertrauenswürdigen dritten Partei übernimmt. Sie ist für das Ausstellen, Verwalten und Widerrufen von Zertifikaten verantwortlich. Zertifikatsvorlagen hingegen definieren die Eigenschaften und Einstellungen der auszustellenden Zertifikate. Sie bestimmen, wie lange ein Zertifikat gültig ist, wer es erhalten kann und welche Rechte und Einschränkungen es enthält. Es ist für eine effektive Fehlerbehebung wichtig, sich mit diesen und anderen Komponenten vertraut zu machen.
Zu den Problemen, die auftreten können, gehören abgelaufene Zertifikate, Kommunikationsprobleme zwischen Server und Zertifizierungsstelle (CA), falsch konfigurierte Zertifikatsvorlagen und vieles mehr. Ein abgelaufenes Zertifikat führt dann unter Umständen dazu, dass ein Benutzer oder ein Gerät keine sichere Verbindung zu Netzwerkressourcen herstellen kann. Dies äußert sich in Form von Verbindungsfehlern, Anmeldeproblemen oder ähnlichen Symptomen. Ein weiteres häufiges Problem sind Konfigurationsfehler. Ist eine Zertifikatsvorlage falsch konfiguriert, werden Zertifikate entsprechend nicht korrekt ausgestellt. Dann lehnen Dienste Zertifikatsanfragen ab oder ausgestellte Zertifikate funktionieren nicht wie erwartet. Diese und andere Probleme lassen sich in der Regel durch eine sorgfältige Prüfung der Systemprotokolle und Fehlermeldungen erkennen und beheben.
Ereignisanzeige als erste Anlaufstelle
Bei der Fehlersuche kommen verschiedene Tools und Techniken zum Einsatz. Eines der grundlegendsten Werkzeuge ist die Ereignisanzeige, um Fehlermeldungen und Warnungen zu finden, die auf Probleme mit den Zertifikatsdiensten hindeuten. Die Informationen können Sie daneben auch in der PowerShell auslesen. Verwenden Sie dazu das Cmdlet "Get-Eventlog". Die Parameter "system", "application" und "security" sind Ihre Werkzeuge, um spezifische Ereignisanzeigen zu öffnen. Beachten Sie, dass Sie das Sicherheitsprotokoll nur mit Administratorrechten einsehen können. Das Durchsuchen der gesamten Ereignisanzeige kann schnell zu einer Informationsflut führen. Kontrollieren Sie das Chaos, indem Sie sich nur die neuesten Meldungen anzeigen lassen. Verwenden Sie dazu den Befehl Get-Eventlog system -Newest 100.
Zertifikatsdienste sind Mechanismen zum Ausstellen, Validieren und Verwalten von Zertifikaten, die eine sichere Kommunikation im Netzwerk gewährleisten. Sie stellen die Identität von Endgeräten und Benutzern sicher und ermöglichen die verschlüsselte Übertragung von Daten. Die Zertifikatsdienste des Active Directory bestehen aus mehreren Komponenten. Eine der wichtigsten ist die Certificate Authority (CA), die die Rolle einer vertrauenswürdigen dritten Partei übernimmt. Sie ist für das Ausstellen, Verwalten und Widerrufen von Zertifikaten verantwortlich. Zertifikatsvorlagen hingegen definieren die Eigenschaften und Einstellungen der auszustellenden Zertifikate. Sie bestimmen, wie lange ein Zertifikat gültig ist, wer es erhalten kann und welche Rechte und Einschränkungen es enthält. Es ist für eine effektive Fehlerbehebung wichtig, sich mit diesen und anderen Komponenten vertraut zu machen.
Zu den Problemen, die auftreten können, gehören abgelaufene Zertifikate, Kommunikationsprobleme zwischen Server und Zertifizierungsstelle (CA), falsch konfigurierte Zertifikatsvorlagen und vieles mehr. Ein abgelaufenes Zertifikat führt dann unter Umständen dazu, dass ein Benutzer oder ein Gerät keine sichere Verbindung zu Netzwerkressourcen herstellen kann. Dies äußert sich in Form von Verbindungsfehlern, Anmeldeproblemen oder ähnlichen Symptomen. Ein weiteres häufiges Problem sind Konfigurationsfehler. Ist eine Zertifikatsvorlage falsch konfiguriert, werden Zertifikate entsprechend nicht korrekt ausgestellt. Dann lehnen Dienste Zertifikatsanfragen ab oder ausgestellte Zertifikate funktionieren nicht wie erwartet. Diese und andere Probleme lassen sich in der Regel durch eine sorgfältige Prüfung der Systemprotokolle und Fehlermeldungen erkennen und beheben.
Ereignisanzeige als erste Anlaufstelle
Bei der Fehlersuche kommen verschiedene Tools und Techniken zum Einsatz. Eines der grundlegendsten Werkzeuge ist die Ereignisanzeige, um Fehlermeldungen und Warnungen zu finden, die auf Probleme mit den Zertifikatsdiensten hindeuten. Die Informationen können Sie daneben auch in der PowerShell auslesen. Verwenden Sie dazu das Cmdlet "Get-Eventlog". Die Parameter "system", "application" und "security" sind Ihre Werkzeuge, um spezifische Ereignisanzeigen zu öffnen. Beachten Sie, dass Sie das Sicherheitsprotokoll nur mit Administratorrechten einsehen können. Das Durchsuchen der gesamten Ereignisanzeige kann schnell zu einer Informationsflut führen. Kontrollieren Sie das Chaos, indem Sie sich nur die neuesten Meldungen anzeigen lassen. Verwenden Sie dazu den Befehl Get-Eventlog system -Newest 100.
Falls Sie gezielter filtern möchten, erweitern Sie den Befehl dergestalt, dass er nur Fehlermeldungen anzeigt. Das erreichen Sie mit
Get-Eventlog system -Newest 100 | where-Object {$_.entryType -Match "Error"}
Und Sie können Ihren Filter noch weiter verfeinern, indem Sie die Ausgabe beispielsweise formatieren:
Clear-Host
$Event = Get-Eventlog -logname system -Newest 1000
logError = $Event | Where {$_.entryType -Match "Error"}
Get-EventLog -Logname system -InstanceId 7040 -Newest 10
Blick ins Active Directory
Ein neben der Ereignisanzeige nützliches Tool ist "Certutil". Sie können mit dem Werkzeug Zertifikate importieren und exportieren, Zertifikatsanforderungen erstellen und bearbeiten, Zertifikatsketten überprüfen und vieles mehr. Aber auch für die Fehlersuche ist diese Software sehr nützlich. Darüber hinaus gibt es eine Reihe von PowerShell-Cmdlets und -Skripten, die speziell für die Verwaltung und Überprüfung des Active Directory und der Zertifikatsdienste sinnvoll sind. Beispielsweise rufen Sie mit dem Cmdlet "Get-ADCertificate" Informationen zu einem bestimmten Zertifikat ab oder überprüfen mit dem Cmdlet "Test-ADServiceAccount" die Funktionalität eines Dienstkontos.
Auch DCDiag und Repadmin unterstützen Sie bei der Überprüfung des Verzeichnisdienstes. DCDiag kann eine Vielzahl von Tests durchführen, um den Zustand und die Konfiguration Ihrer Domänencontroller abzuklopfen, während Repadmin Ihnen bei der Verwaltung und Überwachung der Replikation von AD-Daten hilft. Dadurch lassen sich Probleme mit den Zertifikatsdiensten schnell erkennen und eingrenzen. Installieren Sie die Zertifizierungsstelle möglichst auf einem Mitgliedsserver und nicht auf einem Domänencontroller. Entfernen Sie nämlich den Server, der die Zertifizierungsstelle verwaltet, aus der Domäne, verlieren die Zertifikate ihre Gültigkeit. Daher verkompliziert die Installation auf Domänencontrollern das Troubleshooting und ist in den meisten Fällen keine gute Idee.
Funktionieren die Zertifikatsdienste nicht wie erwartet oder sind Sie sich unsicher, ob die Konfiguration der Zertifikatsdienste passt, kann eine Diagnose in der PowerShell für Klarheit sorgen. Neben Cmdlets zur Fehlersuche können Sie dabei auf Skripte wie das auf GitHub verfügbare Skript "LockSmith" zurückgreifen. Dieses können Sie kostenlos zur Analyse von Zertifikatsdiensten sowie zur Dokumentation verwenden, da es die Daten in eine CSV-Datei exportiert. Mit LockSmith lassen sich häufige Fehlkonfigurationen der Zertifikatsdienste identifizieren und teilweise beheben. Dazu später mehr.
Nicht selten tauchen Probleme nach Änderungen an der Zertifizierungsstelle auf. Hier lohnt sich ein Blick in den Server Manager und dort in das entsprechend lautende Verwaltungsprogramm "Zertifizierungsstelle". Dort lässt sich überprüfen, ob Unklarheiten vorliegen, und der Server sollte prinzipiell mit einem grünen Häkchen angezeigt werden. Sie können das Tool übrigens auch über "certsrv.msc" aufrufen.
Daneben gibt es das Tool "PKIVIEW", mit dem Sie sehr schnell den allgemeinen Zustand der Zertifizierungsstelle überprüfen. Stößt das Werkzeug auf Probleme, zeigt es diese in einer Konsole an. Öffnen Sie die Software durch Eingabe von pkiview in einer Eingabeaufforderung für eine rasche Fehlersuche.
Methodisches Vorgehen im Problemfall
Angenommen, Sie sehen in der Ereignisanzeige die Fehlermeldung "Die Zertifikatskette wurde von einer nicht vertrauenswürdigen Zertifizierungsstelle ausgestellt". Dies könnte darauf hindeuten, dass das Root-Zertifikat Ihrer Zertifizierungsstelle nicht korrekt installiert oder abgelaufen ist. In diesem Fall können Sie Certutil verwenden, um das Root-Zertifikat zu überprüfen.
Geben Sie hierzu den Befehl certutil -viewstore Root ein. Dieser listet alle Zertifikate im Root-Zertifikatsspeicher auf, einschließlich ihres Ablaufdatums und anderer wichtiger Informationen. Wenn Sie feststellen, dass ein Zertifikat abgelaufen ist oder gar fehlt, installieren Sie es mit dem Befehl certutil -addstore Root <Zertifikatsdatei> neu.
Das ist natürlich nur ein Beispiel von vielen möglichen Problemen und Lösungen, aber es zeigt die grundsätzliche Vorgehensweise bei der Informationsbeschaffung und der anschließenden Fehlerbehebung. Das Wichtigste ist, methodisch vorzugehen, die Symptome sorgfältig zu analysieren und die richtigen Werkzeuge zu verwenden.
Sie können mittels Certutil auch den Status eines bestimmten Zertifikats überprüfen. Geben Sie dazu den Befehl certutil -verify <Zertifikatsdatei> ein. Das Kommando zeigt Ihnen, ob das Zertifikat gültig ist und ob es Probleme mit der Zertifikatskette gibt. Das deutet auf Probleme mit den Zertifikatsdiensten hin, da sich diese oft auf die Zertifikate selbst auswirken.
Falls Sie einen Fehler im Zertifikatsspeicher vermuten, können Sie Certutil dazu verwenden, um dessen Inhalt zu überprüfen. Mit certutil -store <Speichername> bekommen Sie alle Zertifikate im angegebenen Speicher angezeigt. Damit können Sie nachvollziehen, ob ein Zertifikat korrekt installiert ist oder ob es abgelaufene beziehungsweise widerrufene Zertifikate gibt. Mit certutil -ca.cert <Zertifikatsdatei> ermitteln Sie dabei die Zertifizierungsstelle, die das Zertifikat ausgestellt hat. Das kann Ihnen dabei helfen, Probleme mit einer bestimmten CA auszumachen. Hilfreich kann das insbesondere bei der Verwendung mehrerer Zertifizierungsdienste sein.
Domänencontroller prüfen
Normalerweise nutzen Sie Repadmin und Dcdiag vor allem dann, wenn Fehler auf Domänencontrollern auftreten. Die beiden Tools helfen aber auch dabei, Probleme mit Zertifikaten zu identifizieren, zum Beispiel wenn diese durch eine fehlerhafte Replikation im Active Directory verursacht werden.
Repadmin ist ein Kommandozeilentool, das zur Überwachung und Fehlerbehebung der Active-Directory-Replikation zum Einsatz kommt. Der Befehl repadmin / showrepl zeigt den Status der AD-Replikation für alle Domänencontroller an. Damit können Sie überprüfen, ob es Probleme mit der Replikation gibt, die sich wiederum auf die Zertifikatsdienste auswirken. Mit dem Befehl repadmin /showconn lassen Sie sich die Replikationsverbindungen zwischen den Domänencontrollern in Ihrer Domäne anzeigen.
Das ist hilfreich, um Netzwerkprobleme oder Konfigurationsfehler zu identifizieren, die auch die Zertifikatsdienste in Mitleidenschaft ziehen können. Treten Fehler der Zertifikatsdienste im Zusammenhang mit Repadmin-Problemen auf, lassen sich diese oft effektiv eingrenzen. Mit repadmin /latency werfen Sie einen Blick auf die Latenzzeiten bei der Replikation zwischen den Domänencontrollern. Hohe Latenzzeiten sind ein Zeichen für Netzwerkprobleme, die letztlich auch die Performance der Zertifikatsdienste beeinträchtigen.
DCDiag ist ein Kommandozeilentool, mit dem Sie den Status und die Konfiguration von Domänencontrollern überprüfen. Der Befehl dcdiag /test:CheckSecurityError führt eine Reihe von Tests durch, um mögliche Sicherheitsprobleme auf Domänencontrollern zu identifizieren, die sich letztendlich auf die Zertifikatsdienste auswirken. Mittels dcdiag /test:DNS werfen Sie einen kritischen Blick in die DNS-Konfiguration Ihrer DCs. Falsch konfigurierte DNS-Einstellungen können eine Vielzahl von Problemen verursachen, darunter auch Probleme mit den Zertifikatsdiensten.
Vorbeugende Maßnahmen
Einer der wichtigsten Aspekte bei der Vermeidung von Problemen mit Zertifikatsdiensten ist deren regelmäßige Überwachung. Dazu gehört nicht nur das Überprüfen der Systemprotokolle und Warnungen in der Ereignisanzeige, sondern auch das Prüfen der Gültigkeit der Zertifikate und der Konfiguration der Zertifizierungsdienste.
Alle Mitgliedscomputer einer Domäne vertrauen automatisch einer internen Stammzertifizierungsstelle vom Typ "Unternehmen". Dazu wird das Zertifikat dieser Zertifizierungsstelle auf den Clients und Mitgliedsservern in den Zertifikatsspeicher der vertrauenswürdigen Stammzertifizierungsstellen eingebunden. Die Verwaltung der lokalen Zertifikate erfolgt mittels "certlm.msc".
Damit der Server Zertifikate fehlerfrei ausstellt, muss er Mitglied der Gruppe "Zertifikateherausgeber" sein. Diese befindet sich in der OU "Users". Das sollten Sie bei Problemen im Hinterkopf haben. Außerdem ist es wichtig, dass Sie Ihre Zertifikate und Zertifikatsdienste auf dem neuesten Stand halten und deren Konfiguration gut dokumentieren. Das erleichtert die Fehlersuche erheblich und kann auch dazu beitragen, künftige Probleme zu vermeiden. In diesem Zusammenhang kann auch Locksmith hilfreich sein.
Locksmith für die Fehlersuche
Das erwähnte Locksmith ist ein wertvolles Werkzeug zur Dokumentation und Fehlerbehebung von Active-Directory-Zertifikatsdiensten. Das PowerShell-Skript identifiziert und behebt Probleme mittels vier verschiedener Methoden. Gleichzeitig speichert es Informationen für die Dokumentation. Das zugehörige PowerShell-Skript "Invoke-LockSmith.ps1" [1] stellt verschiedene Modi zur Verfügung. Um das Skript zu nutzen, müssen Sie keine PowerShell-Module herunterladen oder andere Erweiterungen installieren. Laden Sie einfach die PS1-Datei des Skripts herunter und führen Sie es in der PowerShell-Sitzung auf dem Server mit den Zertifikatsdiensten aus.
Bei der einfachen Ausführung von "Invoke-LockSmith.ps1" aktiviert das Skript automatisch den Parameter "-Mode 0". In diesem Modus durchsucht das Skript die gesamte AD-Struktur nach Installationen der Zertifikatsdienste, liest die Konfiguration aus und zeigt die Daten in der PowerShell an – einschließlich möglicher Fehlkonfigurationen. Um die Daten in einer Liste darzustellen, verwenden Sie den Parameter "-Mode 1". Auf diese Weise erkennen Sie sehr schnell, wo Fehler aufgetreten sind. Das ist vor allen Dingen interessant, wenn die Zertifikatsdienste auf mehrere Server verteilt sind oder Sie mit verschiedenen Zertifizierungsstellen im Netzwerk arbeiten. Mit dem Parameter "-Mode 2" exportieren Sie die Konfiguration der Zertifikatsdienste in eine CSV-Datei namens "ADCSIssues.CSV". Die Datei bildet damit eine wichtige Informationsquelle, wenn Probleme mit den Zertifikatsdiensten auftreten.
Es ist insbesondere empfehlenswert, vor der Verwendung von LockSmith samt Parameter "-Mode 4" ein Backup zu erstellen, denn hierbei passt das Tool die Konfiguration der Zertifikatsdienste an. Der Modus zeigt bei Bedarf Befehle an, um aktiv in die Einstellungen der Zertifikatsdienste einzugreifen. Der entsprechende Befehl für das Erstellen eines Backups lautet:
Damit schützen Sie das Konfigurations-Backup auch gleich mit einem Passwort, sodass es nicht von jedem Benutzer angezeigt werden kann. Sie können die Konfiguration bei Bedarf mit dem Cmdlet "Restore-CARoleService" wiederherstellen: Restore-CARoleService -Path "C:\temp". Möchten Sie nur die Datenbank wiederherstellen, verwenden Sie den Befehl Restore-CARoleService -Path "C:\temp" -DatabaseOnly. Und mit diesem Cmdlet stellen Sie den CA-Schlüssel bei Bedarf wieder her: Restore-CARoleService -Path "C:\CABackup" -KeyOnly.
CA-Daten aus der Registry sichern
Viele Einstellungen der Zertifikatsdienste speichert Windows in der Registry des jeweiligen Servers. Auch hier ist es zur Fehlerbehebung sinnvoll, ein Backup zu erstellen, bevor Änderungen erfolgen. Die Sicherung können Sie jederzeit wieder einspielen. Parallel dazu lassen sich diese zur Informationsgewinnung nutzen. Sie können die exportierten Daten und die Registry-Exportdatei auch auf einer Netzwerkfreigabe speichern oder generell in die Datensicherung einbeziehen, um regelmäßig diese Daten zu sichern und bei Bedarf wiederherstellen zu können. Den Registry-Export starten Sie mit folgendem Befehl:
Vor der Verwendung von "-Mode 4" mit LockSmith ist ein Export parallel zur Sicherung mit "Backup-CaroleService" wie erwähnt sicherlich ratsam. Parallel zu "Backup-CaroleService" und "reg export" können Sie die aktuellen Zertifikatsvorlagen sichern. Das ist sinnvoll, wenn Sie eigene Vorlagen verwenden und bevor Sie Änderungen an den Diensten vornehmen. Dazu verwenden Sie wieder "certutil.exe": certutil.exe -catemplates > C:\temp\vorlagen.txt. Ohne Angabe eines Parameters zeigt "certutil.exe" Informationen zu den Zertifikatsdiensten an, zum Beispiel Name, Serverbezeichnung und Signaturzertifikat. Diese Informationen dienen auch der Fehlersuche, da sie eine schnelle Identifikation von Fehlerquellen ermöglichen.
Arbeiten Unternehmen mit Zertifikatdiensten und eigenen Vorlagen, können sie über Gruppenrichtlinien Zertifikate automatisiert ausstellen und Benutzern oder Computern zuweisen. So lassen sich Fehler bei Zertifikaten vermeiden. Dies bietet sich an, wenn die Remotedesktopdienste im Einsatz sind oder andere Serverdienste oder Benutzer Zertifikate benötigen. Eine Automatisierung dieser Vorgänge hilft bei der einfachen Verteilung und vermeidet Fehler. Die Einstellungen dazu finden Sie im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Remotedesktopdienste / Remotedesktop-Sitzungshost / Sicherheit".
Rufen Sie die Einstellung "Zertifikatvorlage für Serverauthentifizierung" auf, um hier den Namen der Zertifikatsvorlage einzutragen, die Ihnen im Netzwerk zur Verfügung steht. Achten Sie jedoch darauf, dass der Name an dieser Stelle mit der Bezeichnung der Zertifikatsvorlage in den Einstellungen der Zertifizierungsstelle übereinstimmen muss. Wenn Sie das neue GPO mit den Computern in der Domäne verknüpfen, die ein Zertifikat auf Basis dieser Vorlage erhalten sollen, verteilt das AD das Zertifikat automatisch.
Hilfreiche PowerShell-Cmdlets
Die PowerShell bietet eine Vielzahl von Cmdlets, die Sie zur Fehlerbehebung bei Zertifikatsdiensten verwenden können. So erhalten Sie alle verfügbaren Cmdlets der Zertifikatsdienste mit Get-Command -Module ADCSAdministration angezeigt. Mit dem Cmdlet "Get-Certificate" sehen Sie Informationen zu einem bestimmten Zertifikat:
Der Befehl zeigt Details zu einem Zertifikat mit der Vorlage "WebServer" an. Mit dem Cmdlet "Test-Certificate" prüfen Sie die Gültigkeit eines Zertifikats und seiner Zertifikatskette:
Sie können nicht nur lokale Zertifikatsdateien prüfen, sondern auch Zertifikate, die bereits in einem Zertifikatsspeicher installiert sind. Verwenden Sie dazu den Parameter "-Cert" mit dem Ergebnis des Cmdlets "Get-PfxCertificate":
Test-Zertifikat -Cert (Get-PfxCertificate -FilePath "C:\Pfad zum Zertifikat.pfx")
Dieser Befehl überprüft das PFX-Zertifikat und dessen Zertifikatskette. Mit dem Parameter "-DnsName" können Sie direkt auf eine Online-Zertifizierungsstelle zurückgreifen:
Dieses Kommando prüft das SSL-Zertifikat der angegebenen Website. Ist das Zertifikat ungültig oder weist die Zertifikatskette Probleme auf, gibt der Befehl die nötigen Details aus, die Sie zur Behebung des Problems nutzen können. Mit dem Cmdlet "Get-CertificationAuthority" wiederum rufen Sie Informationen zu Zertifizierungsstellen im Netzwerk ab. Der nachfolgende Befehl zeigt die Details zur angegebenen Zertifizierungsstelle an: Get-CertificationAuthority -Name "CA-Name.
Best Practices Analyzer im Server Manager
Der Best Practices Analyzer (BPA) im Server Manager ermöglicht die Analyse verschiedener Serverdienste in Windows. Er erkennt fehlerhafte Konfigurationen und hilft bei deren Behebung. Es ist sinnvoll, bereits vor dem Auftreten von Fehlern zu prüfen, ob es Probleme mit den Diensten gibt, die durch Fehlkonfigurationen verursacht werden. BPA erkennt diese Fehler und gibt gleichzeitig Hinweise zu deren Behebung.
Sie können nahezu alle Serverrollen auf diese Weise überprüfen und das Ergebnis zentral anzeigen. Bei der Installation und Konfiguration von Serverrollen kommt es häufig zu Fehlkonfigurationen, das gilt natürlich auch für die Zertifikatsdienste. Die Ergebnisse der automatischen Prüfung sind direkt in die einzelnen Kacheln der verschiedenen Serverdienste im Dashboard des Server Managers integriert.
Im Dashboard des Server Managers können Sie die BPA-Ergebnisse aller Server für alle Serverrollen anzeigen und natürlich nach einzelnen Serverdiensten filtern. Dazu müssen Sie jedoch zunächst einen Scan der Computer im Netzwerk starten. Wenn Sie in der Ansicht "Alle Server" im oberen Bereich auf einen Server klicken, sehen Sie unten wichtige Fehlermeldungen der Ereignisanzeige. Im oberen Bereich sehen Sie auch, ob die entsprechenden Server online sind und ob Windows Server als Betriebssystem aktiviert ist. Diese Angaben haben nichts mit dem BPA zu tun, ergänzen aber dessen Informationen und spielen letztlich auch bei der Fehlerbehebung eine Rolle.
Nach der Installation von Windows Server sollten Sie im Server Manager über das Kontextmenü des Servers den Befehl "Leistungsindikatoren starten" ausführen, damit der Server über das Netzwerk überwacht werden kann, die Best Practices Analyzer der verschiedenen Dienste laufen und Daten abrufen können. Der schnellste Weg, BPA für alle Serverrollen zu starten und zu aktivieren, ist die Eingabe des Befehls Get-BPAModel | Invoke-BpaModel in der PowerShell. Dieser Befehl versucht, auch BPAs für Serverrollen zu aktivieren, die nicht im Netzwerk installiert sind. Das führt zwar zu einigen Fehlermeldungen, stellt aber sicher, dass alle BPAs gestartet sind. Im Server Manager selbst können Sie im "Best Practices Analyzer" über "Aufgaben / BPA-Prüfung starten" die Prüfung für einzelne Serverdienste aktivieren.
Hier sehen Sie allerdings nur die Server, die Sie über "Verwalten / Server hinzufügen" dem lokalen Server Manager hinzugefügt haben. Im unteren Teil des Server Managers befindet sich der Bereich "Best Practices Analyzer". Denselben Assistenten finden Sie im Server Manager über "Alle Server" im unteren Bereich bei "Best Practices Analyzer". Hier können Sie alle Server, die mit dem lokalen Server Manager verbunden sind, überprüfen.
Diese Überprüfung lässt sich übrigens auch aus der Ferne auf Windows-10/11-Rechnern starten. Installieren Sie dazu die Remote-Server-Management-Tools für Windows 10/11 auf dem Client und verbinden Sie die entsprechenden Server über den Server Manager. Wenn Sie eine Liste der vorhandenen Möglichkeiten sehen möchten, lassen Sie sich die Informationen entsprechend formatiert anzeigen. Hierzu benötigen Sie auch die ID eines BPA-Modells, dessen Ergebnis Sie später auslesen wollen. Verwenden Sie dazu das Cmdlet Get-BpaModel | Format-List Name,Id. Möchten Sie nur für eine bestimmte Rolle einen Scanvorgang starten, rufen Sie wieder zunächst die ID des entsprechenden Models ab. Danach starten Sie den oder die Tests mit dem folgenden Befehl für die Zertifikatsdienste:
Sie müssen die ID immer als kompletten Pfad angeben, den Sie mit "Get-BPAModel" auslesen können, wenn Sie noch andere Dienste überprüfen möchten. Um die Ergebnisse einer bestimmten BPA-Prüfung anzuzeigen, benötigen Sie die ID, in diesem Beispiel "Microsoft/Windows/CertificateServices". Dabei können Sie auch gezielt nach dem Text "Fehler" suchen lassen:
Um alle Ergebnisse von bestimmten Serverrollen (BPA-Modellen) anzuzeigen, verwenden Sie zum Beispiel das folgende Kommando: Get-BPAResult Microsoft/ Windows/CertificateServices. Einzelne Ergebnisse lassen sich dabei von der Anzeige ausblenden. Das funktioniert generell ähnlich wie die gefilterte Anzeige. Für Letztere legen Sie mit dem Cmdlet "Set-BPAResult" fest, dass BPA diese Ergebnisse ausblenden soll:
Zur Analyse nutzen Sie dann den Server Manager. Allerdings bietet die PowerShell ebenfalls Informationen an, die sich wiederum mit Skripten auslesen lassen. Mit der Option „-ComputerName“ können Sie eine Konfiguration und Abfrage der Ergebnisse über das Netzwerk durchführen.
Ergebnisse exportieren
Um BPA-Ergebnisse als HTML-Datei zu exportieren, nutzen Sie
Nach dem Start der BPA-Prüfung stehen die Ergebnisse zudem in den einzelnen Kacheln des Server Managers zur Verfügung. Diese sind sofort sichtbar und lassen sich durch einen Klick auf die Kachel öffnen. Dabei zeigt der Server Manager die gefundenen Fehler der Server im Netzwerk an. Über das Kontextmenü eines Ergebnisses starten Sie eine erneute Prüfung für den entsprechenden Server, blenden Ergebnisse aus oder kopieren das Ergebnis in die Zwischenablage.
Die BPA-Ergebnisse finden Sie zudem in den Ansichten "Lokaler Server" und "Alle Server" im Bereich "Best Practices Analyzer" unten im Server Manager. Ist für eine Serverrolle ein BPA-Ergebnis für einen der Server im Netzwerk vorhanden, ändert sich die Farbe der Kachel. Auf diese Weise sehen Sie sofort, ob für einen Server Verbesserungen möglich sind oder Fehler vorliegen. Durch das Ausschließen eines Ergebnisses deaktivieren Sie einzelne Meldungen bei Bedarf. Ferner können Sie das Ergebnis nach Schweregrad, Server und Kategorie filtern.
Fehler bei Zertifikaten für Benutzer und Dienste beheben
Mit dem Cmdlet "Set-Certificate" ändern Sie die Eigenschaften eines Zertifikats, wenn nicht die Zertifizierungsstelle, sondern einzelne Zertifikate Probleme verursachen. Das kann natürlich Auswirkungen auf verschiedene Serverdienste haben. Ein Beispiel wäre, das Ablaufdatum des Zertifikats auf ein Jahr ab dem aktuellen Datum zu setzen:
Mit dem Cmdlet "Get-ADUser" rufen Sie Informationen zu einem Benutzerkonto in Active Directory ab, einschließlich der zugehörigen Zertifikate. Dieser Befehl listet alle Zertifikate auf, die dem angegebenen Benutzer zugeordnet sind. So können Sie feststellen, ob es Probleme bei der Zuordnung von Zertifikaten gibt:
Bei der Fehlerbehebung im Bereich der Zertifikatsdienste ist ein strukturiertes Vorgehen wichtig. Zunächst sollten Sie darauf achten, die bestehende Konfiguration vor möglichen Änderungen zu sichern. Dies ist mit Bordmitteln schnell und einfach möglich. Ebenfalls mit Bordmitteln lassen sich die notwendigen Informationen gewinnen, die als Grundlage für die Fehlersuche dienen. In vielen Fällen treten ähnliche Probleme auch in anderen Umgebungen auf und wurden dort möglicherweise bereits gelöst. Testen Sie die Schritte zur Problemlösung in Ihrer Umgebung, um so den Fehler schneller zu beheben.