none
KDC 証明書について RRS feed

  • 質問


  • Windows2008でActiveDirectory環境を構築しています。
    「イベントログID:29について」の質問と同じエラーで設定に難航しております。
    こちらの回答ではAD証明書サービスの有効化が前提となっているようですが、
    極力余計な役割・機能の追加は避けて、エラーだけ出ないように設定したく思っています。


    環境:DC2台(役割はADDS、DNS)
    DC01:Windows2008Server
    DC02:Windows2008Server
    (ともにGC、ドメインレベルは2008、ドメイン参加端末はすべてVistaBussiness)

    現象:
    ドメインコントローラ上で以下の警告が出ます。
    ログの名前: System
    ソース: Microsoft-Windows-Kerberos-Key-Distribution-Center
    イベント ID: 29
    タスクのカテゴリ: なし
    レベル: 警告
    キーワード: クラシック
    説明:
    スマート カード ログオンに使用できる適切な証明書をキー配布センター (KDC) が検出できなかったか、KDC 証明書を確認できませんでした。この問題が解決しない場合、スマート カード ログオンが正しく機能しない可能性があります。この問題を解決するには、certutil.exe を使用して既存の KDC 証明書を確認するか、新しい KDC 証明書を登録してください。

    質問
    ポリシー定義の設定でこのエラーを出ないように設定できますでしょうか。
    それともKDCの営みとして、ADDSのみではこのエラーをおさえられないのでしょうか。

    レジストリの編集での設定可否も含めて現在調べています。
    宜しくお願いします。

    2009年5月25日 8:42

回答

  • statice さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    AD証明書サービスを有効化していない環境でのご投稿のログについては、KBがありましたので紹介させていただきますね。

    You receive a Key Distribution Center "Event ID: 29" event message on a Windows Server 2008-based domain controller
    http://support.microsoft.com/kb/967623

    こちらによると、CAを立てていない環境でのイベントID29ログの出力は「by design」で、CAのない環境であれば無視して大丈夫、ということのようですね。
    ご希望のようにポリシーやレジストリの変更などで出力を止める方法はないものか、他も調べてみたのですが、残念ながらポリシーやレジストリなどでエラーの出力を止める情報は見つからなかったので、そのままでお使いいただく方向になるのかなと思います。
    (ただ、私が調べた範囲なので、何かご存知の方いらっしゃったら、ぜひコメントお寄せください!)

    ご希望に沿う方法ではないかもしれませんが・・・ご参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク 服部清次 2009年7月7日 5:11
    • 回答としてマークされていない statice 2009年10月13日 5:56
    • 回答としてマーク statice 2009年10月23日 4:49
    2009年6月1日 8:20
    モデレータ

すべての返信

  • statice さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    AD証明書サービスを有効化していない環境でのご投稿のログについては、KBがありましたので紹介させていただきますね。

    You receive a Key Distribution Center "Event ID: 29" event message on a Windows Server 2008-based domain controller
    http://support.microsoft.com/kb/967623

    こちらによると、CAを立てていない環境でのイベントID29ログの出力は「by design」で、CAのない環境であれば無視して大丈夫、ということのようですね。
    ご希望のようにポリシーやレジストリの変更などで出力を止める方法はないものか、他も調べてみたのですが、残念ながらポリシーやレジストリなどでエラーの出力を止める情報は見つからなかったので、そのままでお使いいただく方向になるのかなと思います。
    (ただ、私が調べた範囲なので、何かご存知の方いらっしゃったら、ぜひコメントお寄せください!)

    ご希望に沿う方法ではないかもしれませんが・・・ご参考となれば幸いです!


    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    • 回答としてマーク 服部清次 2009年7月7日 5:11
    • 回答としてマークされていない statice 2009年10月13日 5:56
    • 回答としてマーク statice 2009年10月23日 4:49
    2009年6月1日 8:20
    モデレータ
  • お世話になります。

    ご回答ありがとうございます。
    運用環境でも結局、監視システムでフィルタリングして
    非表示にする方向で落ち着きそうです。
    (一応まだ調べてみるつもりですが、、)

    何か進展がありましたらまたご報告させていただきます。
    ありがとうございました。
    2009年6月1日 8:47
  • statice さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。

    今回、弊社の鈴木裕子が紹介しました情報が参考になったのではないかと思いましたので、勝手ながら私の方で [回答としてマーク] のチェックを付けさせていただきました。
    statice さんと同じ疑問を持たれた他に方々にも、ぜひこちらの情報を参照していただきたいと思いましたので。
    もし、statice さんの方でまだ疑問が残っているような場合には、お気軽に [回答としてマーク] のチェックを外して返信してください。
    また、statice さんが運用されている中で何か進展がありましたら、ぜひ報告していただけると嬉しいです。 (^^)

    また何か疑問や質問がありましたら、ぜひ TechNet フォーラムをご利用ください。
    これからも、よろしくお願いします。
    それでは、また! (^_^)/


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年7月7日 5:20