none
certificato non rinnovabile mediante autoenrollment e usando mmc -Access Denied RRS feed

  • Domanda

  • Buonasera, ho una CA implementata in un DC1 con OS Windows Server 2008 R2, ho verificato che su un secondo dc con Windows 2003 x64 R2 non e' stata fatto l'autoenrollment, e il cerficato nello store Computer - Personal  sulla macchina DC2 e' in stato expired, l'autoenrollment non ha funzionato, mi dice che la CA presente sul DC1non e' avviata oppure che non ho i permessi per accedervi, inoltre se Provo a fare un renew del certificato con same key o new key usando la Snap-in certificates, pur avendo nella lista sia la ca da usare che il template dcomain Controller, al momento di effettuare la richiesta, mi compare un popup dove alla fine ho un Access denied. Io vorrei provare a fare un restart del dc, ma non vorrei che mi crea qualche problema il fatto di avere il certificato di questo DC2 scaduto, anche perche' su questa macchina sono presenti tutti i ruoli fsmo. Potete aiutarmi?

    Spero di essere stato chiaro.

    mercoledì 19 novembre 2014 17:30

Risposte

  • il fatto che tu riesca a richiedere certificati per utente è un altro indizio utile.

    ti ho chiesta anche se per caso hai modificato le ACL sui templates dei certificati per computer/domain controller della tua Certification Authority ?

    Per quanto riguarda le tue altre domande:

    1) trasferire i ruoli dal dc 2003 al dc 2008 è utile e opportuno anche perchè certamente sarà dismesso prima il 2003 rispetto al 2008;

    2) il trasferimento dei ruoli è un'operazione indolore per utenti e computer client quindi puoi farlo anche durante le ore lavorative senza problemi

    3) il fatto che tutti i dc siano anche global catalog è cosa buona e giusta.

    già che hai nominato l'esistenza di un terzo dc, mi dici se il terzo dc riesce a richiedere i certificati alla CA ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 24 novembre 2014 09:45
    Moderatore
  • Ho Risolto. Mi sono documentato. Ho inserito il gruppo Domain Controllers nel gruppo di dominio DCCOM.....del DC1 e dopo un po' il certificato e' stato consegnato al DC2.

    Grazie

    mercoledì 26 novembre 2014 12:11

Tutte le risposte

  • quale template di certificato non riesci a richiedere alla CA dal DC2 ?

    riavviare il DC2 non ti servirebbe a molto.

    con quale account esegui la mmc Certificates per fare la richiesta del certificato ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 20 novembre 2014 09:27
    Moderatore
  • Ciao Edoardo,

    grazie per l'intervento, il template del certificato e' quello denominato Domain Controller, che si trova nei template della ca sul dc1.

    Ho provato ad usare la mmc loggandomi al Domain controller usando come user un account nella bultin di AD, con il quale riesco ad effettuare tutte le modifiche in AD.

    giovedì 20 novembre 2014 12:17
  • quindi presumo che il tuo account abbia i diritti amministrativi necessari.

    puoi verificare quali errori trovi nel registro eventi del DC1 e del DC2 in particolare nelle sezioni system e application ?
    in application su DC2 servono soprattutto quelli di origine CertificateServiceClient.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 20 novembre 2014 13:38
    Moderatore
  • Negli eventi del dc2 ho il seguente errore nella categoria applications

    Event Type: Warning
    Event Source: KDC
    Event Category: None
    Event ID: 20
    Date:  11/20/2014
    Time:  12:04:34 PM
    User:  N/A
    Computer: DC2
    Description:
    The currently selected KDC certificate was once valid, but now is invalid and no suitable replacement was found.  Smartcard logon may not function correctly if this problem is not remedied.  Have the system administrator check on the state of the domain's public key infrastructure.  The chain status is in the error data.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    Data:
    0000: 18 00 00 00 01 01 0b 80   .......€
    0008: 00 00 00 00 00 00 00 00   ........

    mentre nella categoria system

    Event Type: Error
    Event Source: AutoEnrollment
    Event Category: None
    Event ID: 13
    Date:  11/20/2014
    Time:  4:04:35 AM
    User:  N/A
    Computer: DC2
    Description:
    Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Sul DC1

    Application:Log Name:      Application
    Source:        Microsoft-Windows-CertificateServicesClient-CertEnroll
    Date:          11/20/2014 9:15:10 AM
    Event ID:      64
    Task Category: None
    Level:         Information
    Keywords:      Classic
    User:          SYSTEM
    Computer:      DC1
    Description:
    Certificate enrollment for Local system successfully load policy from policy server

    e anche

    Log Name:      Application
    Source:        Microsoft-Windows-CertificateServicesClient-CertEnroll
    Date:          11/20/2014 9:15:10 AM
    Event ID:      65
    Task Category: None
    Level:         Information
    Keywords:      Classic
    User:          SYSTEM
    Computer:      DC1
    Description:
    Certificate enrollment for Local system is successfully authenticated by policy server

    Nessun errore  evento nella categoria System di rilievo per DC1

    giovedì 20 novembre 2014 14:47
  • le repliche di active directory tra DC2 e DC1 funzionano senza errori e senza problemi ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    giovedì 20 novembre 2014 15:31
    Moderatore
  • Ho eseguito un repadmin /showrepl e repadmin /replsummary su entrambi i dc e non ci sono failures nelle repliche. Ho anche creato un file di testo e messo nel sysvol, e si e' replicato correttamente

    giovedì 20 novembre 2014 16:06
  • ok, questo dimostra che tra i due dc non si sono disallineate le password computer.

    per caso hai modificato le ACL sui templates dei certificati della tua Certification Authority ?

    se sul DC2 esegui la mmc Certificates per user con l'utente loggato e richiedi alla CA un certificato utente, ti viene rilasciato ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 24 novembre 2014 08:01
    Moderatore
  • Buongiorno Edoardo, volevo dirti che ho fatto la prova che mi hai chiesto e a livello ci certificato user template sono riuscito a fare la richiesta correttamente dallo store user ->personal usando la mmc sul DC2 . Poiche' devo restartare questo dc2, ne approfitto per chiederti se potevo trasferire i ruoli fsmo dal dc2 con 2003 X64 R2 a Dc1 con W2008 X64 R2 e se potevo farlo anche durante le ore lavorative senza problemi. Ci sono problemi col fatto che tutte e  3 i DC sono Global catalog?
    lunedì 24 novembre 2014 09:15
  • il fatto che tu riesca a richiedere certificati per utente è un altro indizio utile.

    ti ho chiesta anche se per caso hai modificato le ACL sui templates dei certificati per computer/domain controller della tua Certification Authority ?

    Per quanto riguarda le tue altre domande:

    1) trasferire i ruoli dal dc 2003 al dc 2008 è utile e opportuno anche perchè certamente sarà dismesso prima il 2003 rispetto al 2008;

    2) il trasferimento dei ruoli è un'operazione indolore per utenti e computer client quindi puoi farlo anche durante le ore lavorative senza problemi

    3) il fatto che tutti i dc siano anche global catalog è cosa buona e giusta.

    già che hai nominato l'esistenza di un terzo dc, mi dici se il terzo dc riesce a richiedere i certificati alla CA ?


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 24 novembre 2014 09:45
    Moderatore
  • Si, hai ragione scusami, non saprei perche' e' da poco che gestisco queste macchine, prima erano in carico ad altre persone, quindi non so se sono state  modificate le acl

    il terzo dc e' virtuale con OS 2003 come il DC2, e anche da li non riesco a richiedere il certficato Domain Controllers.

    Tra le altre cose ho visto che questo dc non ce l'ha proprio quel certificato. Quindi mi chiedo se il certificato e' importante per i i Client piuttosto che per i DC.

    Ci tengo inoltre a specificare che questa e' una foresta di risorse, gli account che ci sono sono in stato disabled perche' sono abilitati in un altro dominio e su questa foresta vengono inseriti in stato disabled, che e' invece trustata con quella dove ci sono gli utenti abilitati.

    lunedì 24 novembre 2014 09:54
  • Ho Risolto. Mi sono documentato. Ho inserito il gruppo Domain Controllers nel gruppo di dominio DCCOM.....del DC1 e dopo un po' il certificato e' stato consegnato al DC2.

    Grazie

    mercoledì 26 novembre 2014 12:11
  • Ciao maipercaso,

    Grazie per l’aggiornamento.

    Saluti,

    Maria


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è e non comporta alcuna responsabilità da parte dell’azienda.

    mercoledì 26 novembre 2014 12:22
  • Ho Risolto. Mi sono documentato. Ho inserito il gruppo Domain Controllers nel gruppo di dominio DCCOM.....del DC1 e dopo un po' il certificato e' stato consegnato al DC2.

    Grazie

    grazie per aver fornito la soluzione alla community.

    solo una precisazione: il nome corretto è DCOM e non DCCOM

    http://technet.microsoft.com/en-us/library/bb633148.aspx


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 26 novembre 2014 12:35
    Moderatore