none
Enterprise Certificate Services - dva obecné dotazy

    Dotaz

  • Prošel jsem patřičným MS školením na Active Directory, stejně mě ale zaskočila zřejmě rutinní banalita a nevím si rady:

    Mám tu server 2008 R2, běží na něm DNS, DHCP, řadič domény, AD CS a NPS (802.1x NAP)

    Best practices analyzer mi hlásí, že bych měl povolit autoenrollment pro počítače a uživatele pomocí group policy. Mám tu i krásný návod, na který mě BPA odkázal: http://technet.microsoft.com/en-us/library/dd379529(WS.10).aspx Vůbec mi ale nedochází, které šablony bych měl pro toto povolit. Mohl by mi prosím někdo vysvětlit, o co tady jde? Z dokumentace jsem se toho zatím moc nedozvěděl.

    Potom mi tady ještě hrozí expirací "CDP location" pod "Enterprise PKI", nevím ale jestli ho obnovit, jak ho obnovit, případně jestli to udělá autoenrollment za mě?

    čtvrtek 10. února 2011 10:37

Odpovědi

  • Zdravim Vas ...

    ad1. Kde ste boli na skoleni? ( Len som zvedavy, o nic nejde ... )

    ad2. Certifikacna autorita na domenovom radici urcite nie je best practice ... BPA nenamietal ? Dufam, ze je to cvicny stroj v labe, nie v produkcii, budte pri konfiguracii a sprave takehoto stroja potom obzvlast opatrny ...

    ad3. K vasej otazke - AutoEnrollment je vhodne nastavit pre tie certifikaty, ktore chcete, aby boli vystavovane automaticky - napr. EFS certifikaty pre uzivatelov, IPSec certifikaty pre pocitace ... Musite prezradit, na co CA pouzivate, ake certifikaty na nej chcete generovat a podla toho mozeme spkulovat, ktore riesit autoenrollmentom a ktore netreba.

    ad4. CDP = CRL Distribution Point. Cize miesto, odkial si klienti ( cize PC ) mozu stiahnut CRL ( = Certificate Revocation List ), aby skontrolovali, ci certifikat predlozeny klientovi ( user alebo PC ) nebol zneplatneny certifikacnou autoritou skor, ako stihol prirodzene exspirovat. Vam neexspiruje CDP location, ale CRL samotne - CRL sa totiz generuje certifikacnou autoritou automaticky na zadefinovane miesto ( LDAP, File System ) a zavisi potom od toho, akym sposobom ( URI ) ho ukazujete klientom ( LDAP, HTTP, ... ). Opat - musite prezradit viac, potom mozeme riesit, ci je to problem alebo, ako obcas napise samotny Microsoft "It is safe to ignore this error ...".

     

    Na vysvetlenie je to znacne obsirna tema - kazdopadne toto malo byt preberane na skoleni. Skuste prosim mrknut do studijnych materialov, tieto veci by tam rozhodne mali byt vysvetlene. Ak nie, napiste mail lektorovi ;) :)

    Pripadne budeme hladat Technet clanky, kde sa o tom docitate podrobnejsie ...

     

     

    čtvrtek 10. února 2011 15:43
  • ad1. Nie, to meno skoliaceho strediska nie je potrebne, to neriesme. To som sa pytal cisto zo zvedavosti.

    ad2. Predpokladal som, ze ste absolvovali kurz MOC 6426, pripadne starsi MOC 2821 ( Win 2003 ), ktore sa venuju PKI podrobnejsie.

    Vydesit som Vas nechcel, to sa ospravedlnujem ... CA moze byt na domenovom radici, ale nemala by tam byt. Inymi slovami - nie je to Best Practice. Je to casto odporucane riesenie v LAB prostredi, nie vsak v produkcii. Tu nejde o funkcny problem. Certifikacna autorita a vobec cela PKI infrastruktura je o dovere, a preto vyzaduje take principy a postupy a mechanizmy zabezpecenia, ze je casto priam nevhodne mat ju na domenovom radici. Konfiguracne problemy by ste mohli mat v pripade, ze by ste chceli CA presunut na iny pocitac, resp. demotovat ( zrusit ) domenovy radic ako taky ( upgrade o par rokov na novy system, napr. ). Nie ze by to neslo, suvisia s tym ale potencialne problemy, preto som pisal ze musite byt "obzvlast opatrny".

    Navyse, vo Vasom pripade, ked ma CA sluzit len pre potreby NAPu, nie je potrebne doslova sledovat nejake vseobecne pokyny, takze kludne moze zostat CA na DC. Ine to bude v momente, ked sa rozhodnete zacat vyuzivat CA aj pre ine ucely ... Dnes coraz viac sluzieb spolieha na certifikaty a na funkcnu PKI ...

    Vratme sa ale k Vasim povodnym otazkam :

    BPA upozornil na to, ze pre certifikaty pre pocitace nemate nastaveny Auto-Enrollment. V takomto rezime pocitace automaticky neziskaju certifikat a teda sa nebudu schopne korektne autentizovat voci switchu alebo wifi access pointu ( takto som to pochopil z Vaseho textu - CA pouzivate na autentizaciu pocitacov na 802.1x enabled sietovych prvkoch, ako je switch alebo wifi access point ). Aby pocitac mal certifikat, musi sa na takyto stroj prihlasit uzivatel s pravami lokalneho administratora a manualne, prostrednictvom MMC konzoli alebo pomocou certreq.exe nastroja z prikazoveho riadku, vyziadat certifikat pre dane PC. Toto je nutne opakovat vzdy, ked certifikat exsiruje. Autoenrollment zabezpeci, ze si klient (teda pocitac) certifikat vyziada sam a teda nie je potrebny manualny zasah akehokolvek uzivatela. Pozrite sa na tento navod :

    Step-By-Ste Guide Demonstrate NAP 802.1X Enforcement in a Test Lab

    Celkom pekne a podrobne popisuje jednotlive kroky nasadenia NAP pre 802.1x.

     

    Otazka CDP / CRL ... Kazda certifikacna autorita vie generovat CRL, teda Certificate Revocation List. Sluzi na to, aby CA vsetkym oznamila, ze certifikat, ktory vystavila, nemoze byt povazovany za doveryhodny ( z akychkolvek dovodov ), a teda by mal byt povazovany za neplatny ihned, nie az prirodzene exsiruje. Kde a akym sposobom su tieto CRL k dispozicii klientom, tak o tom je prave CDP.

    CA ma defaultne prednastavene CDP ( CRL Distribution Point ). Zial, nevhodne, teda tak, ze v tejto podobe to len tazko sprevadzkujete ( jedine pouzitelne default umiestnenie je LDAP, teda v AD - to by asi vo Vasom pripade mohlo postacovat ).

    je to trochu obsirnejsie, skuste preto pozriet sem :

    Configure CDP and AIA Extensions

    a potom sem :

    Configure CRL Publication

    Pripadne, ak mate moznost, skuste si zaobstarat tuto knihu :

    Windows Server 2008 PKI and Certificate Security

     

    Neviem, ako Vam poradit viac. Vidim tu ale este jednu "zaujimavost". Pisete, ze mate 2x Windows Server s AD CS. Ako ste instalovali jednotlive CA? Kazdu ako Enterprise Root CA? Alebo je jedna Root a druha Subordinate?

    A este nieco .. :)

    802.1x na drotovych prepinacoch (wired switches) je relativne lahke oklamat a obist pomocou obycajneho HUB zariadenia ... V pohode je na WiFi Access Pointoch. Co sa snazite dosiahnut? Preco ste sa rozhodli pre NAP s 802.1x?

    Ak Vam ide o autentizaciu a bezpecnost na sieti, zvazte IPSec - podla mojho nazoru robustnejsie a lepsie risienie, i keby malo ist len o atuentizaciu strojov a pripadne zabraneniu situacie, ze mi so servermi (ne)smu komunikovat cudzie PC.

    Ak by Vas to zaujalo, mrknite na toto :

    Step-by-step Guide: Demonstrate NAP IPSec Enforcement in a Test Lab

     

    Zdravim,

    Boris Ulik.

    pátek 11. února 2011 14:01
  • Ano, je to tym, ze DC a CA su obe na jednom stroji.

    Domenovy radic je ako pocitac clenom skupiny Domain Controllers, na rozdiel od vsetkych ostatnych member pocitacov, ktore su clenmi skupiny Domain Computers. A tu je ten "problem" - na sablonu certifikatu "Computer" skupina Domain Controllers nema pravo Enroll - preto sa Vam nezobrazi v ponuke, a preto vidite len tie tri sablony, ktore ste uviedli (Directory Email Replication, Domain Controller, Domain Controller Authentication).

    Mate dve moznosti - skupine Domain Controllers date pravo Enroll na sablonu certifikatu Computer :

    1. Spustite MMC Snap-In "Certification Authority"

    2. V lavej casti kliknite pravym na "Certificate Templates" a zvolte Manage

    3. V novej otvorenej konzoli "Certificate Templates" kliknite pravym na sablonu "Computer" a zvolte Properties

    4. Na zalozke "Security" pridajte skupinu "Domain Controllers" a dajte jej pravo "Enroll" ( pravo "Read" mozete, aj nemusite zrusit - toto pravo maju vsetci uzivatelia a vsetky pocitace vdaka tomu, ze na zalozke "Security" je aj skupina "Authenticated Users" s pravom "Read" ... )

    5. Zatvorte MMC Snap-In "Certificate Templates" aj "Certification Authority" a skuste teraz pridat certifikat - mala by sa Vam zobrazit aj moznost Computer ( ak nie, restartujte sluzbu certifikacnej autority, nemalo by to byt ale potrebne  ).

     

    Druhou, jednoduchsou moznostou je vyuzit v dalsej konfiguracii celeho NAP riesenia uz existujuci certifikat. Ked spustite MMC konzolu a nacitate Snap-In certifikatov pre lokalny pocitac na domenovom radici, mali by ste tam vidiet v casti Personal minimmalne dva certifikaty - certifikat certifikacnej autority, ktora tu bezi a certifikat s menom domenoveho radica - pozrite sa do stlpca "Certificate Template", mal by tam mat uvedene "Domain Controller". Tento certifikat by mal vyhovovat pre NAP - nemusite teda generovat novy tak, ako to uvadza manual na strane 19-20.

     

    Boris.

    • Označen jako odpověď Jiri Simek úterý 15. února 2011 15:06
    neděle 13. února 2011 10:44
  • Nevadi, sablonu si vytvorte :

    1. Spustite MMC Snap-In Certification Authority

    2. V lavej casti kliknite pravym na Certificate Templates a zvolte Manage

    3. V novej otvorenej konzole Certificate Templates kliknite pravym na sablonu Computer a zvolte Duplicate Template

    4. Zvolte "Windows Server 2003 Enterprise"

    5. Zadajte nazov sablony ( Template display name: - co ja viem, napr. Contoso Computer Certificate)

    6. Prebehnite ostatne polozky, v zasade netreba menit

    7. Na zalozke Security oznacte skupinu Domain Computers, a okrem prava Enroll zaskrtnite aj pravo Autoenroll.

    8. Potvrdte Apply a OK.

    9. Zatvorte MMC konzolu Certificate Templates

    10. V konzoli Certification Authority kliknite pravym na Certificate Templates a zvolte New - Certificate Template to Issue

    11. Vyberte vytvorenu sablonu a dajte OK.

     

    A to ostatne uz podla uvedeneho postupu na technet.microsoft.com. Toto je celkom bezna vec, takato uprava sablon, nemusite sa jej bat a kludne pokumajte moznosti sablon ;)

     

    Boris.

     

    • Označen jako odpověď Jiri Simek úterý 15. února 2011 15:06
    pondělí 14. února 2011 20:09

Všechny reakce

  • Zdravim Vas ...

    ad1. Kde ste boli na skoleni? ( Len som zvedavy, o nic nejde ... )

    ad2. Certifikacna autorita na domenovom radici urcite nie je best practice ... BPA nenamietal ? Dufam, ze je to cvicny stroj v labe, nie v produkcii, budte pri konfiguracii a sprave takehoto stroja potom obzvlast opatrny ...

    ad3. K vasej otazke - AutoEnrollment je vhodne nastavit pre tie certifikaty, ktore chcete, aby boli vystavovane automaticky - napr. EFS certifikaty pre uzivatelov, IPSec certifikaty pre pocitace ... Musite prezradit, na co CA pouzivate, ake certifikaty na nej chcete generovat a podla toho mozeme spkulovat, ktore riesit autoenrollmentom a ktore netreba.

    ad4. CDP = CRL Distribution Point. Cize miesto, odkial si klienti ( cize PC ) mozu stiahnut CRL ( = Certificate Revocation List ), aby skontrolovali, ci certifikat predlozeny klientovi ( user alebo PC ) nebol zneplatneny certifikacnou autoritou skor, ako stihol prirodzene exspirovat. Vam neexspiruje CDP location, ale CRL samotne - CRL sa totiz generuje certifikacnou autoritou automaticky na zadefinovane miesto ( LDAP, File System ) a zavisi potom od toho, akym sposobom ( URI ) ho ukazujete klientom ( LDAP, HTTP, ... ). Opat - musite prezradit viac, potom mozeme riesit, ci je to problem alebo, ako obcas napise samotny Microsoft "It is safe to ignore this error ...".

     

    Na vysvetlenie je to znacne obsirna tema - kazdopadne toto malo byt preberane na skoleni. Skuste prosim mrknut do studijnych materialov, tieto veci by tam rozhodne mali byt vysvetlene. Ak nie, napiste mail lektorovi ;) :)

    Pripadne budeme hladat Technet clanky, kde sa o tom docitate podrobnejsie ...

     

     

    čtvrtek 10. února 2011 15:43
  • Ahoj,

    jak už bylo psáno výše + CRL se nenastaví samo... na mstv.cz se objeví screencast popisující nastavení SSTP VPN serveru - tam je i část věnována nastavení a rozběhání CRL - respektive rozběhání online respondéru.

    čtvrtek 10. února 2011 23:38
  • ad1. Bylo to kdesi v Praze. Pokud Vás to skutečně zajímá, najdu to jméno firmy a pošlu Vám to přes PM

    ad2. CA nesmí být na doménovém řadiči? Tím jste mě docela vyděsil, protože už se chystáme za pár týdnů migrovat stávající uživatele do nové domény. Z kurzů mám k dispozici knihy 6424A a 6425b, ale toto jsem tam skutečně nenašel. Já bych CA ani cíleně neinstaloval, ale bylo to vynuceno při přidávání role NPS (NAP), a skutečně žádná zmínka o nutnosti oddělit CA od DC nebyla ani během instalace, ani potom v BPA. Co dál? Je nutné vytvořit třetí server výhradně pro CA, případně čtvrtý server pro záložní běh třetího serveru s CA?

    ad3., ad4. CA by mělo být u nás používané snad jenom pro ten 802.1x NAP Kompletní konfigurace: dva servery 2008 R2 v nové doméně, Oba jsou globálními katalogy, mají nainstalované AD CS, AD DS, AD DNS, DHCP a NAP. Vše takto zdvojeno kvůli záložnímu běhu. Druhý navíc funguje jako printserver, roli fileserveru zatím neplánujeme, IIS také ne. Jsou to tedy servery výhradně pro vnitřní část sítě. 802.1x NAP je nakonfigurované na EAP a MSCHAPv2.

    pátek 11. února 2011 9:00
  • Ahoj,

    jak už bylo psáno výše + CRL se nenastaví samo... na mstv.cz se objeví screencast popisující nastavení SSTP VPN serveru - tam je i část věnována nastavení a rozběhání CRL - respektive rozběhání online respondéru.


    Děkuji, podívám se na to.
    pátek 11. února 2011 9:02
  • Tak druhá část dotazu vyřešena. Problém byl mezi židlí a klávesnicí. V minulosti jsem totiž postupoval podle návodu BPA na user autoenrollment, nastavil v default domain GPO Certificate Services Client - Auto-Enrollment, ale zatím jsem k tomu nepřiřadil správný template. Takže jsem toto GPO vypnul, restartoval CA roli, a platnost CDP location se rázem automaticky prodloužila o další týden.

    Teď už tedy visí ve vzduchu jenom nutnost řešit umístění role CA a dořešení hlášky BPA ohledně user autoenrollment a computer autoenrollment. Jdu studovat dokumentaci ...

    pátek 11. února 2011 13:50
  • ad1. Nie, to meno skoliaceho strediska nie je potrebne, to neriesme. To som sa pytal cisto zo zvedavosti.

    ad2. Predpokladal som, ze ste absolvovali kurz MOC 6426, pripadne starsi MOC 2821 ( Win 2003 ), ktore sa venuju PKI podrobnejsie.

    Vydesit som Vas nechcel, to sa ospravedlnujem ... CA moze byt na domenovom radici, ale nemala by tam byt. Inymi slovami - nie je to Best Practice. Je to casto odporucane riesenie v LAB prostredi, nie vsak v produkcii. Tu nejde o funkcny problem. Certifikacna autorita a vobec cela PKI infrastruktura je o dovere, a preto vyzaduje take principy a postupy a mechanizmy zabezpecenia, ze je casto priam nevhodne mat ju na domenovom radici. Konfiguracne problemy by ste mohli mat v pripade, ze by ste chceli CA presunut na iny pocitac, resp. demotovat ( zrusit ) domenovy radic ako taky ( upgrade o par rokov na novy system, napr. ). Nie ze by to neslo, suvisia s tym ale potencialne problemy, preto som pisal ze musite byt "obzvlast opatrny".

    Navyse, vo Vasom pripade, ked ma CA sluzit len pre potreby NAPu, nie je potrebne doslova sledovat nejake vseobecne pokyny, takze kludne moze zostat CA na DC. Ine to bude v momente, ked sa rozhodnete zacat vyuzivat CA aj pre ine ucely ... Dnes coraz viac sluzieb spolieha na certifikaty a na funkcnu PKI ...

    Vratme sa ale k Vasim povodnym otazkam :

    BPA upozornil na to, ze pre certifikaty pre pocitace nemate nastaveny Auto-Enrollment. V takomto rezime pocitace automaticky neziskaju certifikat a teda sa nebudu schopne korektne autentizovat voci switchu alebo wifi access pointu ( takto som to pochopil z Vaseho textu - CA pouzivate na autentizaciu pocitacov na 802.1x enabled sietovych prvkoch, ako je switch alebo wifi access point ). Aby pocitac mal certifikat, musi sa na takyto stroj prihlasit uzivatel s pravami lokalneho administratora a manualne, prostrednictvom MMC konzoli alebo pomocou certreq.exe nastroja z prikazoveho riadku, vyziadat certifikat pre dane PC. Toto je nutne opakovat vzdy, ked certifikat exsiruje. Autoenrollment zabezpeci, ze si klient (teda pocitac) certifikat vyziada sam a teda nie je potrebny manualny zasah akehokolvek uzivatela. Pozrite sa na tento navod :

    Step-By-Ste Guide Demonstrate NAP 802.1X Enforcement in a Test Lab

    Celkom pekne a podrobne popisuje jednotlive kroky nasadenia NAP pre 802.1x.

     

    Otazka CDP / CRL ... Kazda certifikacna autorita vie generovat CRL, teda Certificate Revocation List. Sluzi na to, aby CA vsetkym oznamila, ze certifikat, ktory vystavila, nemoze byt povazovany za doveryhodny ( z akychkolvek dovodov ), a teda by mal byt povazovany za neplatny ihned, nie az prirodzene exsiruje. Kde a akym sposobom su tieto CRL k dispozicii klientom, tak o tom je prave CDP.

    CA ma defaultne prednastavene CDP ( CRL Distribution Point ). Zial, nevhodne, teda tak, ze v tejto podobe to len tazko sprevadzkujete ( jedine pouzitelne default umiestnenie je LDAP, teda v AD - to by asi vo Vasom pripade mohlo postacovat ).

    je to trochu obsirnejsie, skuste preto pozriet sem :

    Configure CDP and AIA Extensions

    a potom sem :

    Configure CRL Publication

    Pripadne, ak mate moznost, skuste si zaobstarat tuto knihu :

    Windows Server 2008 PKI and Certificate Security

     

    Neviem, ako Vam poradit viac. Vidim tu ale este jednu "zaujimavost". Pisete, ze mate 2x Windows Server s AD CS. Ako ste instalovali jednotlive CA? Kazdu ako Enterprise Root CA? Alebo je jedna Root a druha Subordinate?

    A este nieco .. :)

    802.1x na drotovych prepinacoch (wired switches) je relativne lahke oklamat a obist pomocou obycajneho HUB zariadenia ... V pohode je na WiFi Access Pointoch. Co sa snazite dosiahnut? Preco ste sa rozhodli pre NAP s 802.1x?

    Ak Vam ide o autentizaciu a bezpecnost na sieti, zvazte IPSec - podla mojho nazoru robustnejsie a lepsie risienie, i keby malo ist len o atuentizaciu strojov a pripadne zabraneniu situacie, ze mi so servermi (ne)smu komunikovat cudzie PC.

    Ak by Vas to zaujalo, mrknite na toto :

    Step-by-step Guide: Demonstrate NAP IPSec Enforcement in a Test Lab

     

    Zdravim,

    Boris Ulik.

    pátek 11. února 2011 14:01
  • Děkuji Vám za obsáhlou odpověď a zajímavé odkazy. Určitě se k nim budu ještě často vracet. Zatím jsem se ale zasekl na tom prvním. Dokument

    Step-By-Ste Guide Demonstrate NAP 802.1X Enforcement in a Test Lab

    znám celkem dobře, na něm jsem to celé postavil. Děkuji Vám, že jste ho ještě zmínil, protože jsem si všimnul, že jsem asi udělal chybu právě v tomto postupu: na straně 19 a 20 je postup, jak nastavit Computer enrollment, ale i když postupuji přesně podle dokumentu, tak volba "Computer" chybí. Já mám na našem serveru úplně jiné možnosti:

    Directory Email Replication
    Domain Controler
    Domain Controler Authentization

    Proč je to u mě jinak? Může to mít souvislost s tím, že je na mém serveru DC i CS dohromady? V dokumentu je CS odděleně a ještě na serveru 2003. Jako začátečník jsem z toho docela zmatený.

    Jinak k té volbě NAPu: O bezpečnostních slabinách 802.1x wired už jsem někde zaslechl, pro nás je to ale dostačující, protože hlavní účel využití u nás je účel "výchovný". Rádi bychom přiměli uživatele, aby dbali na zapnutý firewall, aktualizace atd... Až bude vytvořená infrastruktura pro 802.1x se zájmem se také podívám na IPsec - určitě se bude hodit.

    sobota 12. února 2011 19:50
  • Ano, je to tym, ze DC a CA su obe na jednom stroji.

    Domenovy radic je ako pocitac clenom skupiny Domain Controllers, na rozdiel od vsetkych ostatnych member pocitacov, ktore su clenmi skupiny Domain Computers. A tu je ten "problem" - na sablonu certifikatu "Computer" skupina Domain Controllers nema pravo Enroll - preto sa Vam nezobrazi v ponuke, a preto vidite len tie tri sablony, ktore ste uviedli (Directory Email Replication, Domain Controller, Domain Controller Authentication).

    Mate dve moznosti - skupine Domain Controllers date pravo Enroll na sablonu certifikatu Computer :

    1. Spustite MMC Snap-In "Certification Authority"

    2. V lavej casti kliknite pravym na "Certificate Templates" a zvolte Manage

    3. V novej otvorenej konzoli "Certificate Templates" kliknite pravym na sablonu "Computer" a zvolte Properties

    4. Na zalozke "Security" pridajte skupinu "Domain Controllers" a dajte jej pravo "Enroll" ( pravo "Read" mozete, aj nemusite zrusit - toto pravo maju vsetci uzivatelia a vsetky pocitace vdaka tomu, ze na zalozke "Security" je aj skupina "Authenticated Users" s pravom "Read" ... )

    5. Zatvorte MMC Snap-In "Certificate Templates" aj "Certification Authority" a skuste teraz pridat certifikat - mala by sa Vam zobrazit aj moznost Computer ( ak nie, restartujte sluzbu certifikacnej autority, nemalo by to byt ale potrebne  ).

     

    Druhou, jednoduchsou moznostou je vyuzit v dalsej konfiguracii celeho NAP riesenia uz existujuci certifikat. Ked spustite MMC konzolu a nacitate Snap-In certifikatov pre lokalny pocitac na domenovom radici, mali by ste tam vidiet v casti Personal minimmalne dva certifikaty - certifikat certifikacnej autority, ktora tu bezi a certifikat s menom domenoveho radica - pozrite sa do stlpca "Certificate Template", mal by tam mat uvedene "Domain Controller". Tento certifikat by mal vyhovovat pre NAP - nemusite teda generovat novy tak, ako to uvadza manual na strane 19-20.

     

    Boris.

    • Označen jako odpověď Jiri Simek úterý 15. února 2011 15:06
    neděle 13. února 2011 10:44
  • Moc děkuji za skvělý návod. Skutečně už jsem možnost "Computer" viděl. Původní problém se ale ještě zdá se nevyřešil. BPA stále uvádí, že:

    User autoenrollment group policy is not enabled
    Computer autoenrollment group policy is not enabled
    Restartoval jsem roli i server - na BPA to nemá vliv.
    pondělí 14. února 2011 10:47
  • Jasne, tieto hlasenia su tu varovanim, ze tak pocitace ( computer ), ako ja uzivatelia ( user ) nemaju prostrednictvom GPO aktivovany autoenrollment. A teda akekolvek certifikaty, ktore by tieto objekty chceli alebo mali mat, musia byt vyziadane, nainstalovane a nasledne aktualizovane manualne. A to nie je vhodne.

    Vo Vasom pripade mate CA za ucelom generovania certifikatov pre PC, preto varovanie "User autoenrollment group policy is not enabled" mozete zatial ignorovat. Co sa tyka pocitacov ... Zrejme by bolo vhodne autoenrollment zapnut - spravu certifikatov si tak pocitace budu riesit same a automaticky. Postup, ako na to, Vam poskytol BPA ( ako ste uviedli v otazke ) :

     http://technet.microsoft.com/en-us/library/dd379529(WS.10).aspx

     

    Tak vela zdaru :)

    Boris.

    pondělí 14. února 2011 13:21
  • Takže jsme zase na začátku. Já nevím, podle čeho vybrat tu správnou template (v odkazeovaném návodu není uvedeno). Pokud vemu např template "Computer", tak v záložce "security" mám zaškrtnout volbu "Enroll" a "Autoenroll". Volba "Autoenroll" ale u této template chybí. Takže usuzuji, že mám použít nejspíš jinou template, ale kterou? Že by "Workstation Authentication"?

    pondělí 14. února 2011 15:35
  • Nevadi, sablonu si vytvorte :

    1. Spustite MMC Snap-In Certification Authority

    2. V lavej casti kliknite pravym na Certificate Templates a zvolte Manage

    3. V novej otvorenej konzole Certificate Templates kliknite pravym na sablonu Computer a zvolte Duplicate Template

    4. Zvolte "Windows Server 2003 Enterprise"

    5. Zadajte nazov sablony ( Template display name: - co ja viem, napr. Contoso Computer Certificate)

    6. Prebehnite ostatne polozky, v zasade netreba menit

    7. Na zalozke Security oznacte skupinu Domain Computers, a okrem prava Enroll zaskrtnite aj pravo Autoenroll.

    8. Potvrdte Apply a OK.

    9. Zatvorte MMC konzolu Certificate Templates

    10. V konzoli Certification Authority kliknite pravym na Certificate Templates a zvolte New - Certificate Template to Issue

    11. Vyberte vytvorenu sablonu a dajte OK.

     

    A to ostatne uz podla uvedeneho postupu na technet.microsoft.com. Toto je celkom bezna vec, takato uprava sablon, nemusite sa jej bat a kludne pokumajte moznosti sablon ;)

     

    Boris.

     

    • Označen jako odpověď Jiri Simek úterý 15. února 2011 15:06
    pondělí 14. února 2011 20:09
  • Skvěle! Moc Vám děkuji, od BPA hlášky už mám pokoj :)
    úterý 15. února 2011 15:06
  • Mám to všechno postavené na virtuálních strojích, tak jsem se rozhodl současné servery odzálohovat pryč a zkusit to postavit znovu podle "best practicies" se serverem CA odděleně. Mám tady k dispozici tři servery 2008 R2 standard - půjde to na této edici? Je potřeba dát na něco pozor při připojování CA serveru do domény, podobně jako při připojování sekundárního AD DS serveru?

     

    Asi bych měl na toto založit nové vlákno.

    Tady je: http://social.technet.microsoft.com/Forums/cs-CZ/windowsservercs/thread/cdde399e-e592-4944-9d9c-9cbbc9189a40

    pátek 18. února 2011 8:40