none
Certificate Autority e Dominio AD RRS feed

  • Domanda

  • Salve a tutti,

    vi scrivo perché ho un problema con una Certificate Autority che è stata cancellata in malo modo dal mio Dominio.

    Vi spiego più nel dettaglio:

    tempo fa volevamo mettere su un radius server per gestire la nostra parte di rete wifi. A quel tempo non ero a conoscenza del fatto che un radius è una CA e che avrebbe modificato la struttura del dominio.Al momento il radius server e' stato riformattato da un mio collega e quindi mi trovo con parecchi computer che non possono accedere alle cartelle condivise.

    In particolare mi trovo questo error sui miei 2 DC:

    Log Name:      Application
    Source:        Microsoft-Windows-CertificateServicesClient-CertEnroll
    Date:          23/01/2012 10.37.39
    Event ID:      13
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          SYSTEM
    Computer:      BackupDC.Domain-name
    Description:
    Certificate enrollment for Local system failed to enroll for a DomainController certificate from netmanagement.Domain-name\Domain-name-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722)).

    Il dominio ha ragione poverino la CA è stata veramente estirpata dalla rete. La CA aveva come nome netmanagement.

    Ora io vorrei sapere , essendo purtroppo ignorante in materia di CA, se nel mio dominio ho bisogno di una CA. Al momento abbiamo abbandonato la parte radius e wifi tutti i nostri client si collegano con IP statico , user e psw e la rete wifi non ha il broadcast dell'SSID.

    Cercando nella rete ho trovato questo  http://support.microsoft.com/kb/889250

    ma purtroppo quando arrivo allo step 1 

    Step 1: Revoke all active certificates that are issued by the enterprise CA
    Click Start, point to Administrative Tools, and then click Certification Authority.

    dentro a Strumenti di amministrazione non ho Certificate Autority.
    Come faccio a risolvere l'errore di sopra e a levare questo maledetto certificato?
    Grazie a tutti per l'auito.

    mercoledì 25 gennaio 2012 08:43

Risposte

  • Salve a tutti,

    vi scrivo perché ho un problema con una Certificate Autority che è stata cancellata in malo modo dal mio Dominio.

    Vi spiego più nel dettaglio:

    tempo fa volevamo mettere su un radius server per gestire la nostra parte di rete wifi. A quel tempo non ero a conoscenza del fatto che un radius è una CA e che avrebbe modificato la struttura del dominio.

    Un radius server non è una CA, un radius server è IAS Internet Authentication Server o NPS Network Policy Server e questi radius server possono appoggiarsi ad una CA se i criteri di autenticazione e crittazione si basano su 802.1x ossia sui certificati ma potrebbe anche non essere così usando una presharedkey e la coppia username/password.

    Al momento il radius server e' stato riformattato da un mio collega e quindi mi trovo con parecchi computer che non possono accedere alle cartelle condivise.

    In particolare mi trovo questo error sui miei 2 DC:

    Log Name:      Application
    Source:        Microsoft-Windows-CertificateServicesClient-CertEnroll
    Date:          23/01/2012 10.37.39
    Event ID:      13
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          SYSTEM
    Computer:      BackupDC.Domain-name
    Description:
    Certificate enrollment for Local system failed to enroll for a DomainController certificate from netmanagement.Domain-name\Domain-name-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722)).

    Il dominio ha ragione poverino la CA è stata veramente estirpata dalla rete. La CA aveva come nome netmanagement.

    Ora io vorrei sapere , essendo purtroppo ignorante in materia di CA, se nel mio dominio ho bisogno di una CA. Al momento abbiamo abbandonato la parte radius e wifi tutti i nostri client si collegano con IP statico , user e psw e la rete wifi non ha il broadcast dell'SSID.

    Cercando nella rete ho trovato questo  http://support.microsoft.com/kb/889250

    ma purtroppo quando arrivo allo step 1 

    Step 1: Revoke all active certificates that are issued by the enterprise CA
    Click Start, point to Administrative Tools, and then click Certification Authority.

    dentro a Strumenti di amministrazione non ho Certificate Autority.
    Come faccio a risolvere l'errore di sopra e a levare questo maledetto certificato?
    Grazie a tutti per l'auito.

     


    l'articolo è quello giusto http://support.microsoft.com/kb/889250

    tu segui quell'articolo a partire dallo step 4 (perchè i precedenti non li puoi più fare visto che la CA non esiste più) e forse anche il 4 non riuscirai a farlo tutto ma dal 5 in poi puoi farli tutti.

    tu prova e scrivi su quali punti ti pianti.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 25 gennaio 2012 10:21
    Moderatore

Tutte le risposte

  • scusate specifico meglio 

    "dentro a Strumenti di amministrazione non ho Certificate Autority."

    Questa operazione la sto effettuando sui Domain controller perchè la CA non c'è più.

    mercoledì 25 gennaio 2012 09:01
  • Salve a tutti,

    vi scrivo perché ho un problema con una Certificate Autority che è stata cancellata in malo modo dal mio Dominio.

    Vi spiego più nel dettaglio:

    tempo fa volevamo mettere su un radius server per gestire la nostra parte di rete wifi. A quel tempo non ero a conoscenza del fatto che un radius è una CA e che avrebbe modificato la struttura del dominio.

    Un radius server non è una CA, un radius server è IAS Internet Authentication Server o NPS Network Policy Server e questi radius server possono appoggiarsi ad una CA se i criteri di autenticazione e crittazione si basano su 802.1x ossia sui certificati ma potrebbe anche non essere così usando una presharedkey e la coppia username/password.

    Al momento il radius server e' stato riformattato da un mio collega e quindi mi trovo con parecchi computer che non possono accedere alle cartelle condivise.

    In particolare mi trovo questo error sui miei 2 DC:

    Log Name:      Application
    Source:        Microsoft-Windows-CertificateServicesClient-CertEnroll
    Date:          23/01/2012 10.37.39
    Event ID:      13
    Task Category: None
    Level:         Error
    Keywords:      Classic
    User:          SYSTEM
    Computer:      BackupDC.Domain-name
    Description:
    Certificate enrollment for Local system failed to enroll for a DomainController certificate from netmanagement.Domain-name\Domain-name-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722)).

    Il dominio ha ragione poverino la CA è stata veramente estirpata dalla rete. La CA aveva come nome netmanagement.

    Ora io vorrei sapere , essendo purtroppo ignorante in materia di CA, se nel mio dominio ho bisogno di una CA. Al momento abbiamo abbandonato la parte radius e wifi tutti i nostri client si collegano con IP statico , user e psw e la rete wifi non ha il broadcast dell'SSID.

    Cercando nella rete ho trovato questo  http://support.microsoft.com/kb/889250

    ma purtroppo quando arrivo allo step 1 

    Step 1: Revoke all active certificates that are issued by the enterprise CA
    Click Start, point to Administrative Tools, and then click Certification Authority.

    dentro a Strumenti di amministrazione non ho Certificate Autority.
    Come faccio a risolvere l'errore di sopra e a levare questo maledetto certificato?
    Grazie a tutti per l'auito.

     


    l'articolo è quello giusto http://support.microsoft.com/kb/889250

    tu segui quell'articolo a partire dallo step 4 (perchè i precedenti non li puoi più fare visto che la CA non esiste più) e forse anche il 4 non riuscirai a farlo tutto ma dal 5 in poi puoi farli tutti.

    tu prova e scrivi su quali punti ti pianti.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 25 gennaio 2012 10:21
    Moderatore
  • Oki vado e ti posto se ho problemi!

    Grazie per la risposta.

    mercoledì 25 gennaio 2012 13:02
  • grazie a te del feedback, ciao.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 25 gennaio 2012 13:39
    Moderatore
  • Oki sono andato avanti tranquillo fino al punto 7 adesso mi trovo che dopo aver dato il comando per esteso mi risponde cosi 

     

     

    ldap:///CN=NtAuthCertificates,CN=Public

    CertUtil: -viewdelstore command FAILED: 0x80070005 (WIN32: 5)

    CertUtil: Access is denied.

     

    Eppure sono loggato come Enterprise Admin.

    Non so se posso andare avanti :(

    aggiunta: il command promnt è elevated
    • Modificato P.Andrea mercoledì 25 gennaio 2012 16:14 aggiunta
    mercoledì 25 gennaio 2012 16:07
  • Va bhe mi rispondo da solo mancavano le " " a inizio e fine del comando.

    e dai però ce le potevano anche scrivere sul documento :(.

    Mi sento fesso.

    mercoledì 25 gennaio 2012 16:22
  • Ultima cosa dopo l'ultimo comando

     

    certutil -dcinfo deleteBad

    alla fine di parecchie righe mi ha risposto cosi

    ** KDC Certificates for DC PDC

    0 KDC certs for PDC

    No KDC Certificate in MY store

    KDC certificates: Cannot find object or property. 0x80092004 (-2146885628)

     

    CertUtil: -DCInfo command FAILED: 0x80092004 (-2146885628)

    CertUtil: Cannot find object or property.

    PDC è il nome del mio Domain Controller.

    E' normale?

    mercoledì 25 gennaio 2012 16:34
  • Ho anche trovato questo dentro lo snap-in certificate->computer account->local computer

    Lo posso cancellare?

    giovedì 26 gennaio 2012 08:16
  • si, puoi cancellarlo.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 26 gennaio 2012 13:25
    Moderatore
  • Oki fatto!

    Dovrei aver finito!

    Ti ringrazio per l'aiuto.

    giovedì 26 gennaio 2012 13:34