none
Autoenrollment doesn't work correct RRS feed

  • Вопрос

  • Почему то не смог тему оформить на русском...

    Добрый день участникам!

    Настроен и работает в домене механизм авторегистрации пользовательских сертификатов.

    Шаблон настроен на использование с токенами.

    Сертификат выдается сроком на 2 месяца, в настройках шаблона период обновления 3 дня.

    Что происходит:

    Периодически, независимо от того подошел срок истечения или нет, срабатывает механизм подачи заявки, с соответствующим уведомлением в трее. Если при этом начать процедуру заявки, то сертификат не выдается, и механизм отрабатывает без каких либо запросов  - на XP, на Win 7 - появляется окно с выбором шаблонов сертификатов, на при этом список пуст, то есть доступных шаблонов нет.

    В журнале Application записи:

    Уровень Дата и время Источник Код события Категория задачи

    Сведения 29.06.2010 8:17:38 Microsoft-Windows-CertificateServicesClient-CertEnroll 64 Отсутствует Регистрация сертификатов для ..............: успешная загрузка политики с сервера политик {068A64B6-D0F4-48ED-9CCA-DA4B4929971B}

    Сведения 29.06.2010 8:17:38 Microsoft-Windows-CertificateServicesClient-CertEnroll 65 Отсутствует Регистрация сертификатов для ......................: успешная проверка подлинности сервером политик {068A64B6-D0F4-48ED-9CCA-DA4B4929971B}

    Сведения 29.06.2010 8:08:17 Microsoft-Windows-CertificateServicesClient-CertEnroll 64 Отсутствует Регистрация сертификатов для ........................: успешная загрузка политики с сервера политик 

    Сведения 29.06.2010 8:08:17 Microsoft-Windows-CertificateServicesClient-CertEnroll 65 Отсутствует Регистрация сертификатов для ......................: успешная проверка подлинности сервером политик {068A64B6-D0F4-48ED-9CCA-DA4B4929971B}

    Вопрос:
    Как исключить срабатывание механизма до наступления срока действия предупреждения.

    29 июня 2010 г. 2:59

Ответы

  • Решение:

    Убрал из списка выдаваемых шаблонов лишние и левые запросы перестали появляться. Я так полагаю что при срабатывании механизма читается список шаблонов из ЦС, а далее уже идет выборка какие подходят. Так как в ЦС на выдачу было несколько шаблонов, по ним срабатывало уведомление о запросе, но оно не могло успешно окончится, так как шаблоны не были предназначены для автовыдачи.

    6 июля 2010 г. 10:41

Все ответы

  • Не могу сразу сказать, но давайте начнём решать вопрос с двух уточнений:

    - версия серверной ОС

    - кто обладает правом Enroll на требуемом шаблоне


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 июня 2010 г. 6:10
  • Версия ОС Windows Server 2003 Ent.

    правом Enroll  и AutoEnroll обладают: Прошедшие проверку, PKIUSERS - глобальная группа, Пользователи домена.

    Понимаю что 2 как минимум пересекаются, и лишние. Забыл убрать после настройки, поправлю, это поможет?

    29 июня 2010 г. 7:05
  • А если пользователь сам запросит энроллмент, он получит правильный шаблон?

    я не вникал в автоэнроллмент, но вопрос есть - а кто его производит? Может, вы знаете - вдруг это как-то связано с учётной записью компьютера, от лица которой сервис выполняет запрос? Может, ей нужно дать право?


    MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor
    29 июня 2010 г. 7:27
  • Если сам- то получает правильный шаблон.

    Проблема не в том что не получает кто то. 

    Проблема в том что механизм срабатывает не тогда когда это необходимо, то есть за 3 дня до окончания срока действия, а как попало :) У кого то вылез сегодня, хотя сертификат еще действует месяц, у другого запросило вчера, хотя позавчера был выдан новый. и т.п. Я не наблюдаю никакой логики в этом. Может пройти 2 дня без уведомлений о сертификатах, а может на следующий день вылезти. То есть непохоже это на обновление политик. Я вчера вышел с отпуска и так получилось что мой сертификат был просрочен, я зашел при помощи учетных данных, сработал механизм авторегистрации, вылезло уведомление что часть сертификатов устарела, я выполнил запрос и получил сертификат. Утром после перезагрузки компа - снова получаю уведомление о просроченных сертификатах, но при этом окно выбора шаблона пустое ( у меня 7), у кого XP, там просто молча отрабатывает и все. Я тоже думал что возможно это учетная запись компа пытается получить сертификат, но в GPO прописаны настройки автовыдачи только для раздела Пользователь.

    Вообщем как то непонятно. 

    29 июня 2010 г. 7:43
  • Решение:

    Убрал из списка выдаваемых шаблонов лишние и левые запросы перестали появляться. Я так полагаю что при срабатывании механизма читается список шаблонов из ЦС, а далее уже идет выборка какие подходят. Так как в ЦС на выдачу было несколько шаблонов, по ним срабатывало уведомление о запросе, но оно не могло успешно окончится, так как шаблоны не были предназначены для автовыдачи.

    6 июля 2010 г. 10:41