none
Никогда не работал со службой сертификатов (Active Directory Certificate Services). Есть вопросы. RRS feed

  • Общие обсуждения

  • Всем доброго дня.

    Имеется инфраструктура: контроллер домена на и два терминальных сервера (все на базе Windows Server 2008 R2 Standard). Основная масса рабочих станций на базе Ubuntu, которые подключаются с помощью клиента Remina (использует протокол RDP).

    Руководство компании хочет установить систему учета рабочего времени на базе смарт-карт. Система требует установки службы сертификатов. Планируется следующая схема: сотрудник приходит на рабочее место, вставляет карту в клавиатуру, далее запускает Ремину, которая автоматически авторизует его на сервере терминалов.

    Подскажите, пожалуйста:

    1. Есть ли какие-то рекомендации Майкрософт по поводу использования на одной операционной системе ролей контроллера домена и службы сертификатов?
    2. Останется ли возможность авторизации по паролю в случае работы со службой сертификатов?
    3. Есть ли какие-то риски, которые несет в себе добавление этой роли в инфраструктуру?
    14 апреля 2016 г. 13:23

Все ответы

  • Первую ссылку я читал еще до того, как создал тему. В примере роли разнесены по разным серверам. Интересует так же "живой" опыт тех кто уже сталкивался.
    14 апреля 2016 г. 13:49
  • Добрый день.

    1. На сколько я помню, на контроллере домена он даже не даст вам установить роль службы сертификатов.
    2. Возможность останется заходить как по паролю так и по сертификату. Если вы явным образом не укажите это в УЗ пользователя (только по смарт карте).
    3. Если все правильно спланировать, риски будут минимальны. И делайте архив ЦС.

    14 апреля 2016 г. 14:15
  • Проверил в виртуальной среде. Служба сертификатов и контроллер домена вместе встали.

    Если вдруг служба сертификатов "рухнет" остальная инфраструктура останется рабочей или ее работа то же будет нарушена (при условии, что пользователи могут авторизовываться по паролю)?

    14 апреля 2016 г. 15:12
  • Есть ли какая-то зависимость между паролем пользователя и его сертификатом?
    Если точнее, то установщики сказали, что когда подойдет срок смены пароля пользователя он должен будет запросить новый сертификат. Это так или они независимы друг от друга?
    14 апреля 2016 г. 20:50