none
Сервис сертификатов не могу поднять в режиме Enterprise RRS feed

  • Вопрос

  •  

    Была настроена у меня авторизация безпроводных клиентов на безпроводной точке доступа через виндовый радиус. Т.е. на винде стоял:
    - сервер сертификатов
    - сервер Internet Authentication Service

    Internet Authentication Service авторизовал народ через PEAP, для этого же служил и сертификат.
    На безпроводной точке в качестве радиус сервера был указан IP этого сервера.
    Всё было замечательно.

    По причине перехода на легальнокупленное ПО пришлось переустанавливать серверы. Поставил новую винду. Конечно же думал, что демоут сервера из контроллера домена в простой сервер сделает всё сам и правильно. Оказывается процедура убивания корпоративных рутовых сертификатов гораздо сложнее. Это я уже узнал, когда получил проблему.

    Что имеем сейчас:
    1. новый сервер не хочет ставить сервис сертификатов в режиме энтерпрайз, ессно авторизация уже не пойдёт. Т.е. начинаю ставить Sertificate Services и первые две позиции (относящиеся к Enterprise) серые. Активны только Stand-alone позиции.
    2. на старом сервере, IAS прекрасно видит энтерпрайзовый сертификат, при этом старый сервер уже не контроллер домена и даже не имеет на себе сервиса сертификатов
    3. на старом сервере, даже если его поднять до контроллера домена и пытаться установить Sertificate Services, первые две позиции Enterprise - тоже серые и недоступные

    Читал статью, делал всё по ней. Результат нулевой.
    Честно говоря познания в сертификатах сводятся к общему представлению как это работает. Может кто подскажет чего?

    Старая винда 2003 Enterprise Server RC1 + SP1, новая - 2003 Standart Server RC2 + SP2.

Ответы

  • Всё, разобрался. Оказывается мастеры винды, при промоуте/демоуте серверов не передают роль владельца глобального каталога. Поставил галку - заработало.

    Тогда я вообще не понимаю, зачем все эти мастеры, если в конце концов доделывать всё приходится руками?

     

    9 июля 2008 г. 16:32

Все ответы

  • Сервер сертификации вносит сведения о себе в AD,и простым удалением он не уничтожится. Посмотрите это обсуждение
    7 июня 2008 г. 12:45
  •  

    Там у человека центр сертификации ставился, у него шаблоны не копировались и не настраивались.

    У меня всё наоборот: шаблоны можно копировать и настраивать, а вот центр сертификации не ставится в режиме предприятия (Enterprise). Ссылки на статьи, указанные там уже вдел, читал, делал. Не помогает.

     

    7 июня 2008 г. 18:24
  • Так и не могу решить проблему. Но открылось новое обстоятельство. Взял пару тестовых машин, на одну поставил 2003 сервер RC1, сделал его контроллером домена, применил к нему adprep. На второй комп поставил 2003 сервер RC2, поднял его ко контроллера домена. Первый комп сдемоутил до рядового сервера. Теперь в тестовом домене остался один контроллер домена (вторая машина).

    Начинаем устанавливать на второй машине сервис сертификатов. И опять опция Enterprise root CA не доступна.

     

    Демоутим второй комп до рядового сервера, и убиваем тестовый домен. поднимаем новый домен. Начинаем ставить сервис сертификатов. Теперь Enterprise root CA доступно.

     

    Т.е. проблема явно не в удалении, а в том, что был абгрейд с RC1 до RC2. В моём эксперименте я вообще поднимал сервис сертификатов уже после переезда с RC1 на RC2.

     

    Мне кажется дело в том, что в системе остались сертификаты версии 1. Когда захожу в Certificate Templates, то система говорит, что обнаружила старые сертификаты, и их надо бы проабгреёдить. нажимаю ОК, но система говорит, что не нашла какой-то файл. Может быть в этом дело? Какой файл она ищет?

    29 июня 2008 г. 17:46
  • Статью прочитал. Делаю

    certutil -dcinfo deleteBad

     

    Получаю

     

    Code Snippet

    0: B-SERVER
    1: SERVER

    *** Testing DC[0]: B-SERVER
    ** Enterprise Root Certificates for DC B-SERVER
    No certs in Ent Root store!
    ** KDC Certificates for DC B-SERVER
    0 KDC certs for B-SERVER
    No KDC Certificate in MY store
    KDC certificates: Cannot find object or property. 0x80092004 (-2146885628)

    *** Testing DC[1]: SERVER
    ** Enterprise Root Certificates for DC SERVER
    No certs in Ent Root store!
    ** KDC Certificates for DC SERVER
    0 KDC certs for SERVER
    No KDC Certificate in MY store
    KDC certificates: Cannot find object or property. 0x80092004 (-2146885628)

    CertUtil: -DCInfo command FAILED: 0x80092004 (-2146885628)
    CertUtil: Cannot find object or property.

     

     

    Объясните мне словами, что у меня вообще произошло?

    На сколько понял я, у меня в AD остались сертификаты от старого центра сертификации и утиль сейчас информацию о контроллерах домена? Но с другой стороны она же нашла два моих доменныйх контроллера и написала их имена в первых двух строчках.

    В общем я совсем запутался во всей этой информации и не могу в голове выстроить всё.

     

    Есть ряд принципиальных вопросов:

    1. Должен ли в домене быть сервер сертификатов?

    2. У меня сейчас неставится Enterprise Root CA, надо ли мне ставить сервре сертификатов хотябы в режиме Stand-alone root CA?

    3. Как и где вообще храняться сертификаты?

    30 июня 2008 г. 17:10
  • Вам надо прежде всего почистить AD от ссылок на прежний CA - тогда поставится новый Enterprise Root CA

    Модератор
  •  netman123 написано:
    1. Должен ли в домене быть сервер сертификатов?

    Нет.

     netman123 написано:
    2. У меня сейчас неставится Enterprise Root CA, надо ли мне ставить сервре сертификатов хотябы в режиме Stand-alone root CA?

    Нет.

     netman123 написано:
    3. Как и где вообще храняться сертификаты?

    Вопрос достаточно непростой. Сертификаты бывают разные (пользователи, компьютеры, службы), сертификаты могут быть с закрытыми ключами, можно настроить архивирование закрытых ключей в самом CA. Но, если очень сильно упростить, то хранятся в реестре.

  • В общем сомневаюсь я, что дело в сертификатах вообще. Что-то у меня такое ощущение, что дело где-то в конфигах каких-то, ибо certutil по-моему не может найти контроллеров домена.

    8 июля 2008 г. 18:04
  • Я так и не понял, почистили ли вы AD от старых записей о CA как указано в приведенной статье.

    Модератор
  • Всё, разобрался. Оказывается мастеры винды, при промоуте/демоуте серверов не передают роль владельца глобального каталога. Поставил галку - заработало.

    Тогда я вообще не понимаю, зачем все эти мастеры, если в конце концов доделывать всё приходится руками?

     

    9 июля 2008 г. 16:32
  • А AD вы всё же хорошо вычистите от старого. У меня новый энтерпрайз не выдавал сертификаты пока не вычистил через оснастку AD сайты и службы (сначала начал чистить через adsiedit, но потом решил прочитать man и всё оказалось гораздо проще Smile ).
    9 июля 2008 г. 17:42