none
Ошибка работы СА RRS feed

  • Вопрос

  • Добрый день.

    Был домен 2003 с с двумя DC и с развернутым СА на одном из (назовем первый DC_01, а второй DC_CA). Был произведен апгрейд до 2008 R2. И DC_01 был выведен из эксплуатации, а ему на замену поставлен DC_01_2. СА так же мигрировал с 2003 на 2008 с точно таким же названием DC. Вроде бы все хорошо. Но стала каждые восемь часов (или при обновлении политики) на DC_01_2 появляться ошибка 6 и 13

    ошибка 6

    Сбой автоматической регистрации сертификатов Локальная система (0x800706ba) Сервер RPC недоступен.
    .

    ошибка 13

    Регистрация сертификата для Локальная система: не удалось зарегистрировать сертификат DomainController с ИД запроса N/A от DC_CA\CA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

    При этом в выданных сертификатах сертификат для DC_01 есть, а для DC_01_2 нет.

    Что делать? Помогите пожалуйста.

    UPD: Проблема более локальная. При запросе пользовательского сертификата проблем нет. При запросе компьютерного сертификата с любой машины в домене проблема недоступности RPC.


    • Изменено Sudden Death 2 ноября 2012 г. 11:58
    2 ноября 2012 г. 10:10

Ответы

  • Проблема решена.

    Чьи-то шалавливые ручки удалили из группы Buildin\Users группы

    NT AUTHORITY\Authenticated Users

    NT AUTHORITY\INTERACTIVE

    Domain Users

    После добавления все заработало.

    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 12:04
    6 ноября 2012 г. 12:09

Все ответы

  • Есть подозрение, что не хватает разрешений для удаленного доступа к CA.

    Проверьте, для начала, что учетная запись КД (и других компьютеров, которым нужно получить сертификаты) входит (прямо или косвенно - через другие группы или встроенных участников безопасности типа "Everyone" или "Authenticated Users" ) во встроенную группу Certificate Service DCOM Access


    Слава России!


    • Изменено M.V.V. _ 2 ноября 2012 г. 18:23
    2 ноября 2012 г. 18:22
  • Такой группы нет Certificate Service DCOM Access

    СА установлен на контроллере домена.

    6 ноября 2012 г. 11:32
  • Ка это - нет? Она же встроенная. Должна быть, в контейнере Builtin (в оснастке AD users and computers), c SID=S-1-5-32-574


    Слава России!

    6 ноября 2012 г. 11:40
  • Проблема решена.

    Чьи-то шалавливые ручки удалили из группы Buildin\Users группы

    NT AUTHORITY\Authenticated Users

    NT AUTHORITY\INTERACTIVE

    Domain Users

    После добавления все заработало.

    • Помечено в качестве ответа Yuriy Lenchenkov 9 ноября 2012 г. 12:04
    6 ноября 2012 г. 12:09
  • На DC ее нет.
    6 ноября 2012 г. 13:13
  • 1. Попробовать вручную переполучить сертификат для контроллеров. (mmc->Сертификаты->локальный компьютер).

    Если это не помогло.

    1. Проверить, что список отзывов доступен по http

    2. Переиздать корневой сертификат

    3. Получить сертификаты для контроллеров вручную

    6 ноября 2012 г. 16:53