none
Не могу правильно настроить Центр Сертификации Win2003r2 St. RRS feed

  • Вопрос

  • В одной организации был установлено несколько серверов с Windows 2003R2 Standart. Подняли роль AD, DNS, IIS, Центр Сертификации? а также в политике настроили autoenrollment. Все отлично работало, пока не пришлось понизить сервер в роли ЦС. Взял другой сервер и при помощи мастера поднял Enterprise CA. Теперь немогу понять как поднять правильно ЦС чтобы домен контроллеры и доменные пк получали сертификаты на их запрос. Что я  только не пробовал настраивать на самом ЦС и добовлял сертификаты этого центра в траст, и пытался пробовать разные типы ЦС, ничего не помогает (максимум что я достиг это сам комп на котором стоит домен контроллер получает сертификат). При попытке получения сертификата в ручную через mmc->сертификаты вываливается ошибка "Центр сертификации отсутствует(незапущен) или нехватает прав на запрос". Вопрос почему при первой инсталации и настройке службы ЦС все работает. Помогите пожайлусто разобраться, как правильно поднять ЦС при поможи мастера(учитывая что он уже гдето работал и данных от него неосталось) чтобы он раздавал всему домену сертификаты.
    29 октября 2010 г. 10:03

Ответы

  • Есть известная проблема "запроса сертификатов по сети" с контроллеров.
    Решение: добавить учетную запись контроллера или группу "контроллеры домена" в локальную доменную группу безопасности "CERTSVC_DCOM_ACCESS" (у Вас ведь CA на контроллере?). Не забудьте перезагрузить контроллер, для получения им актуального маркера доступа.

    Членство в этой группе контролирует доступ к DCOM-интерфейсу CertSrv, реализующего функционал "удаленной выдачи" сертификатов. По умолчанию, членами этой группы являются рядовые члены домена ("Domain Computers"), но не контроллеры, которые не входят в группу безопасности "компьютеры домена".

    Установить разрешения для группы "CERTSVC_DCOM_ACCESS" на DCOM-интерфейсе компонента CA можно так: "certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG" (потребуется перезапуск службы "certsvc" для их применения к DCOM-интерфейсу).

    • Предложено в качестве ответа Mih Miheev 4 ноября 2010 г. 14:19
    • Помечено в качестве ответа Vinokurov YuriyModerator 15 ноября 2010 г. 12:54
    3 ноября 2010 г. 19:05
    Отвечающий

Все ответы

  • Посмотрите руководство http://technet.microsoft.com/en-us/library/ee126170(WS.10).aspx
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    29 октября 2010 г. 12:42
    Модератор
  • На будущее, так сказать, надо было следовать следующему плану:

    1. Заархивировать базу ЦС, его сертфикат с закрытым ключом и параметры службы (из системного реестра).
    2. Продлить срок действия списка отзыва (на год, например), и, перевыпустив его, - сохранить.
    3. Удалить роль УЦ.
    4. Вычистить в разделе конфигурации каталога AD мешающие объекты/значения (например, его конкретный сертификат из доверенных/доверенных для аутентифкации УЦ). // это в большинстве случаев можно сделать с помощью "certutil"

    Поскольку Вам сейчас требуется решить проблему с "Autoenrollment", то попробуйте удалить запись о старом УЦ из объекта контейнера "\Services\Public Key Services\Enrollment Services" раздела конфигурации. Успешной репликации не забудьте "дождаться" после этого...

    А затем - читайте: http://support.microsoft.com/kb/889250.

    29 октября 2010 г. 20:11
    Отвечающий
  • Спасибо за ответ, я вычистил контейнер "\Services\Public Key Services\Enrollment Services" и "certutil" вычистил предидущие сертификаты, но "Autoenrollment" так и не заработал. Единственное я не удалял текущий ца.
    2 ноября 2010 г. 17:32
  • А что за ошибки?..
    2 ноября 2010 г. 18:18
    Отвечающий
  • Event Type:    Error
    Event Source:    AutoEnrollment
    Event Category:    None
    Event ID:    13
    Date:        03.11.2010
    Time:        21:41:34
    User:        N/A
    Computer:    SRV-XXX
    Description:
    Automatic certificate enrollment for local system failed to enroll for one Domain Controller certificate (0x80070005).  Access is denied.


    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    3 ноября 2010 г. 16:19
  • Самое что интересное не выдает только DC на котором нет CA, а pc-ки получают)).
    3 ноября 2010 г. 17:44
  • Есть известная проблема "запроса сертификатов по сети" с контроллеров.
    Решение: добавить учетную запись контроллера или группу "контроллеры домена" в локальную доменную группу безопасности "CERTSVC_DCOM_ACCESS" (у Вас ведь CA на контроллере?). Не забудьте перезагрузить контроллер, для получения им актуального маркера доступа.

    Членство в этой группе контролирует доступ к DCOM-интерфейсу CertSrv, реализующего функционал "удаленной выдачи" сертификатов. По умолчанию, членами этой группы являются рядовые члены домена ("Domain Computers"), но не контроллеры, которые не входят в группу безопасности "компьютеры домена".

    Установить разрешения для группы "CERTSVC_DCOM_ACCESS" на DCOM-интерфейсе компонента CA можно так: "certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG" (потребуется перезапуск службы "certsvc" для их применения к DCOM-интерфейсу).

    • Предложено в качестве ответа Mih Miheev 4 ноября 2010 г. 14:19
    • Помечено в качестве ответа Vinokurov YuriyModerator 15 ноября 2010 г. 12:54
    3 ноября 2010 г. 19:05
    Отвечающий
  • Есть известная проблема "запроса сертификатов по сети" с контроллеров.
    Решение: добавить учетную запись контроллера или группу "контроллеры домена" в локальную доменную группу безопасности "CERTSVC_DCOM_ACCESS" (у Вас ведь CA на контроллере?). Не забудьте перезагрузить контроллер, для получения им актуального маркера доступа.

    Членство в этой группе контролирует доступ к DCOM-интерфейсу CertSrv, реализующего функционал "удаленной выдачи" сертификатов. По умолчанию, членами этой группы являются рядовые члены домена ("Domain Computers"), но не контроллеры, которые не входят в группу безопасности "компьютеры домена".

    Установить разрешения для группы "CERTSVC_DCOM_ACCESS" на DCOM-интерфейсе компонента CA можно так: "certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG" (потребуется перезапуск службы "certsvc" для их применения к DCOM-интерфейсу).

    Абсолютно точный ответ, знаю, сам наступал... :)
    4 ноября 2010 г. 14:20