none
クライアント端末でドメインログイン時にRadius証明書が受け取れないときがあります。 RRS feed

  • 質問

  • MMCスナップインコンソールでコンソールルート>個人>[証明書]右クリック⇒すべてのタスク>[新しい証明書の要求]で証明書の要求操作を行った場合、証明書が受け取れることと、受け取れないことのムラがあります。

    (動作検証のため証明書の削除⇒証明書の要求を何度か試しています。)

    通常、ドメインにログイン後に自動で個人>[証明書]内に入ってくるのですが、環境の変更はしていないのに、あるタイミングでまったく受け取れなくなっていまいます。
    また、gpupdate /forceを行ってからMMCスナップインコンソールの最新化をすると証明書が現れたり、現れなかったりします。
    しばらく時間をおくと受けれるようになります。 そのタイミングがわかりません。
    nltest /sc_query:<ドメイン名>で確認しても証明期間のあるAdに向いてます。
    強化されたwindows ファイアウォールで「送信の規則」で全ポートを開放していますが、絞りたいので使用しているポートが具体的に知りたいです。
    [新しい証明書の要求]を行ってから内部でどのような処理が行われるのでしょうか?
    証明書を発行する回数が決まっているとかありますか?
    ADでなんらか処理が行われているとつながらないなどありますか?

    【表示されるエラー表示】
    証明書の登録中にエラーが発生しました。
    証明書の要求を証明機関に送信できませんでした。
    エラー:サーバを利用できません。0x800706ba(win32:1722 RPC_S_SERVER_UNAVABLE)

    だらだらした質問で大変申し訳ありません。



    • 編集済み Shidox 2018年11月9日 7:40
    2018年11月9日 7:31

回答

  • エラーログと現象から、下記のURLの情報に似ているような気がします。

    https://social.technet.microsoft.com/Forums/en-US/f3de8600-cf4e-4a39-a42e-7f929e1b8d6d/certificate-enrollment-the-rpc-server-is-unavailable

    チェックが付いている所の手順だけ和訳しました。

    ファイル名を指定して実行「dsa.msc」から「Builtin」コンテナ内「Certificate Service DCOM Access」に「Authenticated Users」が追加されていることを確認する。
    同じく「Builtin」コンテナ内「Users」に「Authenticated Users」「Domain Users」「INTERACTIVE」が入っているコトを確認する。

    ファイル名を指定して実行「dcomcnfg.exe」を実行。
    「コンポーネント サービス」「コンピューター」を展開し、「マイコンピュータ」を右クリックして「プロパティ」
    「既定のプロパティ」タブの「このコンピュータ上で分散 COMを有効にする」が有効になっていることを確認する。
    「COM セキュリティ」タブの「アクセス許可」内「制限の編集」を実行する。「Everyone」と「Certificate Service DCOM Access」のアクセス権 2種が有効になっていることを確認する。
    「起動とアクティブ化のアクセス許可」内「制限の編集」を実行する。「Certificate Service DCOM Access」のアクセス権が「ローカルからのアクティブ化」「リモートからのアクティブ化」が有効になっていることを確認する。


    Mr. Du

    2018年11月9日 9:12