none
Cross forest enrollment is not enabled. RRS feed

  • Вопрос

  •  

    Приветствую!
    Может кто поможет с решением проблемы?
    Есть два домена (домен А и В, оба Win2k3, оба ActiveDirectory), настроены трасты, в домене А поднят центр сертификации, в домене В его нет и не будет.
    Задача: что бы пользователи домена В могли получать себе сертификат в домене А используя свои учетки из домена В.
    Сейчас я получаю при попытке получить сертификат вот это:
    " Your certificate request was denied.
    Your Request Id is <number>. The disposition message is "Denied by Policy Module 0x8007202b, The requester's Active Directory object is not in the current forest. Cross forest enrollment is not enabled. ..."

    Где то я встретил что надо включить в GPO "Включить обработку политики для пользователей, перемещаемые профили пользователя и сценарии входа объектов пользователей для интерактивных входов в перекрестный лес." ... Включил,... не помогло... Помогите советом кто может, плииз )
    4 июня 2008 г. 12:38

Ответы

  • Нашел!

    Enabling Referrals Across Forests

    Windows Server 2003 native Active Directory domains now support Kerberos trust and referrals across forests. By default, a Windows Server 2003 CA will not chase a referral for user or machine information in a trusted forest. When referrals are not chased and the user information is not available, the request will be denied if the user is enrolling from another forest. Referral chasing is not enabled by default as unintended template enumeration and enrollment may occur in some scenarios.

    To enable referral chasing, use the following command on the certification authority and stop and start the service:

    certutil -setreg policy\EditFlags +EDITF_ENABLELDAPREFERRALS 
    Note:

    For this to work, you need to use Kerberos Forest Trust as opposed to normal External Domain Trust. For more information, see the Windows Server 2003 help files.

    http://technet2.microsoft.com/windowsserver/en/library/f8636179-2abe-4cf8-b583-a98dc1abe4361033.mspx?mfr=true
    5 июня 2008 г. 14:08

Все ответы