none
XP SP2ではグループポリシーが適用されるがSP3では適用されずコンピュータ証明書や中間証明書がインストールできない RRS feed

  • 質問

  • 現在、WindowsServer2003 R2 Enterprise Editionを使用したActive Directory環境を構築しています。

    EAP-TLSコンピュータ認証を行うため、証明書テンプレートを使用してActiveDirectoryを利用した証明書自動配布をしており、WindowsXP Professonal SP2端末にはきちんとコンピュータ証明書と中間証明書が適切な場所にインストールされます。

    しかし、WindowsXP Professonal SP3にはコンピュータ証明書と中間証明書はインストールされません。

    #gpupdate /forceでグループポリシーを強制アップデートし、SP3端末のイベントビューアには「正しく更新された」旨が

    表示されますがEnterprise CAには要求があった形跡は一切ありません。

    但し、グループポリシーに設定してあるルート証明書はきちんとインストールされます。

    また、certsrvによるWebでの手動発行は可能であり適切な場所にインストールされますが、

    端末数が数千台規模のため従来どおりの「グループポリシーを利用した方法」などの自動インストールを希望されています。

    数日格闘しましたが「もしかしたら2003環境では動作しないのでは?」と気になっています。

    どうかお知恵を拝借できないでしょうか?よろしくお願いいたします。

    2010年10月6日 15:04

回答

  • なんとか自力で解決できました。

    原因はテストで使用した"lenovo ThinkPad X200"についている指紋認証機能でした。

    これがONされていると認証関連のグループポリシーの適用を阻まれ、証明書の適用が出来なくなります。

    指紋認証をOFFし、通常のWindowsログオン画面よりログオンすると正しく適用されます。

    「指紋認証のないXP SP3をたまたま借りた」時に切り分けがつきました。

    以上ご参考になさってください。

    2010年11月18日 14:26

すべての返信

  • 以下が参考になりませんか?

    システムの起動時に、EAP-TLS コンピューター認証が失敗時にいくつかの問題を Windows XP SP3 ベースのコンピューターが発生します。
    http://support.microsoft.com/kb/960655/ja

    2010年10月8日 22:01
  • 返信ありがとうございます。

    実は、質問前に「このdllを適用すれば解決するだろう」と試しましたが
    残念ながら解決しませんでした。

    その後、そもそも「認証する・しない」ことと「証明書を配布する」
    こととは別の次元の話ではないかと考えました。
    しかるべき証明書がコンピュータの中の適切な場所にある前提で
    認証機能を使う条件(の一部)が揃うわけですから。

    グループポリシーの権限をいろいろ変えてみていますが未だ解決していません。
    XP SP2とWindowsServer2003 R2にはちゃんと証明書が適用されるのですが・・・。

    2010年10月8日 23:58
  • なんとか自力で解決できました。

    原因はテストで使用した"lenovo ThinkPad X200"についている指紋認証機能でした。

    これがONされていると認証関連のグループポリシーの適用を阻まれ、証明書の適用が出来なくなります。

    指紋認証をOFFし、通常のWindowsログオン画面よりログオンすると正しく適用されます。

    「指紋認証のないXP SP3をたまたま借りた」時に切り分けがつきました。

    以上ご参考になさってください。

    2010年11月18日 14:26