Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Windows 10 ERR_CERT_AUTHORITY_INVALID
12-03-2021, 16:53 door Anoniem, 3 reacties
Ik probeer een Windows 10 machine te installeren op een lokaal AD domein (netwerk installatie procedure) en ik loop tegen een vreemd probleem aan: na installatie komt het vaak voor (niet altijd, maar ik weet niet precies wat toen de instellingen en omstandigheden waren) dat de compleet geinstalleerde PC op zowat alle sites meldt:
NET::ERR_CERT_AUTHORITY_INVALID
Of soms andere gerelateerde meldingen. Je kunt bijna niks met de machine.
Rondkijken de machine geeft aan dat de "lijst van vertrouwde certificerings instanties" (het is een Nederlandse versie..) zowat leeg is, ipv dat je daar honderden root- en intermediate certificaten ziet staan zoals normaal.
Ik heb ook met RSoP gekeken of dit wellicht door een policy komt, maar er is eigenlijk niks ingesteld op dit gebied.
Er was ooit een policy die een WiFi certificaat installeerde (niet meer in gebruik) maar die heb ik verwijderd en dat maakt niks uit.
Ik dacht op een gegeven moment dat het iets te maken had met een defecte update omdat ik het na een kale installatie en zonder updates een keer niet zag, maar dat is toch denk ik niet zo. Als ik nu installeer vanaf een 20H2 image op het netwerk treedt het weer op.
Heeft iemand dit wel eens gezien? Als ik zoek naar deze fout vind ik helaas de tegenwoordig gebruikelijke spam resultaten van "programma's die alles fixen" en adviezen die er op neer komen dat er iets fout is in een of andere cache (adviezen om allerlei IP instellingen te resetten enzo) of dat de klok verkeerd staat, maar dat is duidelijk niet wat er aan de hand is, hij heeft op de een of andere manier de certificate store niet goed gevuld bij installatie of leeg gegooid na het joinen van het domain.
Heeft iemand dat wel eens gezien? Ik ga maandag verder met een poging om de install te doen zonder domain join om uit te sluiten dat het daar ergens zit, maar ik betwijfel dat eigenlijk want er zitten ook andere Windows 10 PC's op het zelfde domein die het normaal doen, die zijn alleen handmatig gejoined ipv dat ze in de unattend.xml van de netwerk install gejoined zijn zoals deze.
NET::ERR_CERT_AUTHORITY_INVALID
Of soms andere gerelateerde meldingen. Je kunt bijna niks met de machine.
Rondkijken de machine geeft aan dat de "lijst van vertrouwde certificerings instanties" (het is een Nederlandse versie..) zowat leeg is, ipv dat je daar honderden root- en intermediate certificaten ziet staan zoals normaal.
Ik heb ook met RSoP gekeken of dit wellicht door een policy komt, maar er is eigenlijk niks ingesteld op dit gebied.
Er was ooit een policy die een WiFi certificaat installeerde (niet meer in gebruik) maar die heb ik verwijderd en dat maakt niks uit.
Ik dacht op een gegeven moment dat het iets te maken had met een defecte update omdat ik het na een kale installatie en zonder updates een keer niet zag, maar dat is toch denk ik niet zo. Als ik nu installeer vanaf een 20H2 image op het netwerk treedt het weer op.
Heeft iemand dit wel eens gezien? Als ik zoek naar deze fout vind ik helaas de tegenwoordig gebruikelijke spam resultaten van "programma's die alles fixen" en adviezen die er op neer komen dat er iets fout is in een of andere cache (adviezen om allerlei IP instellingen te resetten enzo) of dat de klok verkeerd staat, maar dat is duidelijk niet wat er aan de hand is, hij heeft op de een of andere manier de certificate store niet goed gevuld bij installatie of leeg gegooid na het joinen van het domain.
Heeft iemand dat wel eens gezien? Ik ga maandag verder met een poging om de install te doen zonder domain join om uit te sluiten dat het daar ergens zit, maar ik betwijfel dat eigenlijk want er zitten ook andere Windows 10 PC's op het zelfde domein die het normaal doen, die zijn alleen handmatig gejoined ipv dat ze in de unattend.xml van de netwerk install gejoined zijn zoals deze.
Reacties (3)
Klinkt als een bekend probleem dat op 11 december 2020 opgelost is door Microsoft:
https://docs.microsoft.com/en-us/windows/release-health/resolved-issues-windows-10-20h2#1513msgdesc
Misschien gebruik je nog een image dat dit probleem nog heeft. Verder weet ik het niet want ik gebruik alleen Windows 10 Home voor mijzelf.
https://docs.microsoft.com/en-us/windows/release-health/resolved-issues-windows-10-20h2#1513msgdesc
Certificates may not be present after updating to a newer version of Windows 10
Devices in a managed environment using update management tools or ISO images might lose certificates when updating.
Devices in a managed environment using update management tools or ISO images might lose certificates when updating.
Misschien gebruik je nog een image dat dit probleem nog heeft. Verder weet ik het niet want ik gebruik alleen Windows 10 Home voor mijzelf.
Door Anoniem: Klinkt als een bekend probleem dat op 11 december 2020 opgelost is door Microsoft:
Ah ja dat is inderdaad de issue, en ik herrinner me dus ook dat ik eerder een update verdacht.Maar nu treedt het dus op met een schone 20H2 installatie vanaf een image wat ik een week of 2 geleden gedownload heb bij Microsoft. De files in /sources zijn van 19 november dus ik denk dat dit de "gefixte" versie zou moeten zijn.
Wellicht is het een voorbeeld van zo'n issue wat ze pas na 3 pogingen echt weten te fixen...
Bedankt voor de reactie in ieder geval!
Na het nodige getob werkt het helaas nog steeds niet...
Ik heb al een nieuw image gedownload, en dit keer van VLSC ipv het publiek beschikbare image, omdat ik vreesde dat ze het wellicht alleen voor volume license users gefixed hadden. Dit was ook een nieuwere versie (Feb '21).
Maar dit maakt dus niks uit. De vertrouwde certificaten lijst is niet compleet, en op een rare manier ook nog: bijv youtube.com wordt wel vertrouwd, maar go.microsoft.com niet. Dus opstarten van Edge geeft meteen een scherm dat er problemen zijn.
Ook heb ik geprobeerd de domain join uit de unattend.xml te halen en dan later handmatig te joinen, en DAT lost het op!
Maar dat wil ik uiteraard niet.
Dus nu is de grote vraag: wordt dit veroorzaakt door een instelling in de group policies (ik denk van niet maar ik kan niet alle policies editen), of gaat dit altijd fout als je bij install meteen een domein joined.
Ik heb al een nieuw image gedownload, en dit keer van VLSC ipv het publiek beschikbare image, omdat ik vreesde dat ze het wellicht alleen voor volume license users gefixed hadden. Dit was ook een nieuwere versie (Feb '21).
Maar dit maakt dus niks uit. De vertrouwde certificaten lijst is niet compleet, en op een rare manier ook nog: bijv youtube.com wordt wel vertrouwd, maar go.microsoft.com niet. Dus opstarten van Edge geeft meteen een scherm dat er problemen zijn.
Ook heb ik geprobeerd de domain join uit de unattend.xml te halen en dan later handmatig te joinen, en DAT lost het op!
Maar dat wil ik uiteraard niet.
Dus nu is de grote vraag: wordt dit veroorzaakt door een instelling in de group policies (ik denk van niet maar ik kan niet alle policies editen), of gaat dit altijd fout als je bij install meteen een domein joined.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.