none
не удалось зарегистрировать сертификат RRS feed

  • Вопрос

  • Имеем две сети соединённые по VPN site-to-site.

    Из обоих сетей компьютеры пингуются по сетевому имени. Сетевые общие ресурсы на проблемном компьютере доступны... кроме сервера автоматического обновления. При попытке запросить сертификат в ручную на сервере сертификации возникает вот такая ошибка: 

    Учетной записи не удалось выполнить вход в систему.
    
    Субъект:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		-
    	Домен учетной записи:		-
    	Код входа:		0x0
    
    Тип входа:			3
    
    Учетная запись, которой не удалось выполнить вход:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		frolova zlata
    	Домен учетной записи:		PALIXA
    
    Сведения об ошибке:
    	Причина ошибки:		Ошибка при входе.
    	Состояние:			0xc00002ee
    	Подсостояние:		0x0
    
    Сведения о процессе:
    	Идентификатор процесса вызывающей стороны:	0x0
    	Имя процесса вызывающей стороны:	-
    
    Сведения о сети:
    	Имя рабочей станции:	-
    	Сетевой адрес источника:	-
    	Порт источника:		-
    
    Сведения о проверке подлинности:
    	Процесс входа:		Kerberos
    	Пакет проверки подлинности:	Kerberos
    	Промежуточные службы:	-
    	Имя пакета (только NTLM):	-
    	Длина ключа:		0
    
    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
    
    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
    
    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
    
    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
    
    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
    
    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    	- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.

    Имя журнала:   Security
    Источник:      Microsoft-Windows-Security-Auditing
    Дата:          02.03.2015 12:48:03
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Аудит отказа
    Пользователь:  Н/Д
    Компьютер:     hpv-ca-root.palixa.ricbank.com
    Описание:
    Учетной записи не удалось выполнить вход в систему.
    
    Субъект:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		-
    	Домен учетной записи:		-
    	Код входа:		0x0
    
    Тип входа:			3
    
    Учетная запись, которой не удалось выполнить вход:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		frolova zlata
    	Домен учетной записи:		PALIXA
    
    Сведения об ошибке:
    	Причина ошибки:		Ошибка при входе.
    	Состояние:			0xc00002ee
    	Подсостояние:		0x0
    
    Сведения о процессе:
    	Идентификатор процесса вызывающей стороны:	0x0
    	Имя процесса вызывающей стороны:	-
    
    Сведения о сети:
    	Имя рабочей станции:	-
    	Сетевой адрес источника:	-
    	Порт источника:		-
    
    Сведения о проверке подлинности:
    	Процесс входа:		Kerberos
    	Пакет проверки подлинности:	Kerberos
    	Промежуточные службы:	-
    	Имя пакета (только NTLM):	-
    	Длина ключа:		0
    
    Данное событие возникает при неудачной попытке входа. Оно регистрируется на компьютере, попытка доступа к которому была выполнена.
    
    Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например, служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.
    
    В поле "Тип входа" указан тип выполненного входа. Наиболее распространенными являются типы 2 (интерактивный) и 3 (сетевой).
    
    В полях "Сведения о процессе" указано, какая учетная запись и процесс в системе выполнили запрос на вход.
    
    Поля "Сведения о сети" указывают на источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
    
    Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
    	- В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
    	- Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
    	- Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
        <EventID>4625</EventID>
        <Version>0</Version>
        <Level>0</Level>
        <Task>12544</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8010000000000000</Keywords>
        <TimeCreated SystemTime="2015-03-02T09:48:03.580376100Z" />
        <EventRecordID>70449</EventRecordID>
        <Correlation />
        <Execution ProcessID="500" ThreadID="2392" />
        <Channel>Security</Channel>
        <Computer>hpv-ca-root.palixa.ricbank.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="SubjectUserSid">S-1-0-0</Data>
        <Data Name="SubjectUserName">-</Data>
        <Data Name="SubjectDomainName">-</Data>
        <Data Name="SubjectLogonId">0x0</Data>
        <Data Name="TargetUserSid">S-1-0-0</Data>
        <Data Name="TargetUserName">frolova zlata</Data>
        <Data Name="TargetDomainName">PALIXA</Data>
        <Data Name="Status">0xc00002ee</Data>
        <Data Name="FailureReason">%%2304</Data>
        <Data Name="SubStatus">0x0</Data>
        <Data Name="LogonType">3</Data>
        <Data Name="LogonProcessName">Kerberos</Data>
        <Data Name="AuthenticationPackageName">Kerberos</Data>
        <Data Name="WorkstationName">-</Data>
        <Data Name="TransmittedServices">-</Data>
        <Data Name="LmPackageName">-</Data>
        <Data Name="KeyLength">0</Data>
        <Data Name="ProcessId">0x0</Data>
        <Data Name="ProcessName">-</Data>
        <Data Name="IpAddress">-</Data>
        <Data Name="IpPort">-</Data>
      </EventData>
    </Event>

    на клиентском компьютере наблюдается вот такая ошибка при автоматической регистрации сертификата...

    Имя журнала:   Application
    Источник:      Microsoft-Windows-CertificateServicesClient-CertEnroll
    Дата:          02.03.2015 10:33:04
    Код события:   13
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  PALIXA\frolova zlata
    Компьютер:     LES03.palixa.ricbank.com
    Описание:
    Регистрация сертификата для PALIXA\Frolova zlata: не удалось зарегистрировать сертификат ПользовательБанка с ИД запроса N/A от hpv-ca-root.palixa.ricbank.com\palixa-ROOT-CA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificateServicesClient-CertEnroll" Guid="{54164045-7C50-4905-963F-E5BC1EEF0CCA}" EventSourceName="CertEnroll" />
        <EventID Qualifiers="49754">13</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2015-03-02T07:33:04.000000000Z" />
        <EventRecordID>33059</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>LES03.palixa.ricbank.com</Computer>
        <Security UserID="S-1-5-21-853709256-2082333563-539477523-4155" />
      </System>
      <EventData>
        <Data Name="Context">PALIXA\Frolova zlata</Data>
        <Data Name="TemplateName">ПользовательБанка</Data>
        <Data Name="RequestId">hpv-ca-root.palixa.ricbank.com\palixa-ROOT-CA</Data>
        <Data Name="CA">N/A</Data>
        <Data Name="ErrorCode">Сервер RPC недоступен. 0x800706ba (WIN32: 1722)</Data>
      </EventData>
    </Event>

    Имя журнала:   Application
    Источник:      Microsoft-Windows-CertificateServicesClient-AutoEnrollment
    Дата:          02.03.2015 10:33:04
    Код события:   6
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     LES03.palixa.ricbank.com
    Описание:
    Сбой автоматической регистрации сертификатов PALIXA\Frolova zlata (0x800706ba) Сервер RPC недоступен.
    .
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificateServicesClient-AutoEnrollment" Guid="{F0DB7EF8-B6F3-4005-9937-FEB77B9E1B43}" EventSourceName="AutoEnrollment" />
        <EventID Qualifiers="16384">6</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2015-03-02T07:33:04.000000000Z" />
        <EventRecordID>33060</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>LES03.palixa.ricbank.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="Context">PALIXA\Frolova zlata</Data>
        <Data Name="ErrorCode">0x800706ba</Data>
        <Data Name="ErrorMsg">Сервер RPC недоступен.
    </Data>
      </EventData>
    </Event>

    Это наблюдается только в удалённой сети... в локальной сети проблем нет... что-то я видимо где-то  на косячил... связь осуществляется через Forefront TMG + LINKSYS 

    Адрес в локальной сети 192.168.0.0/24 в удалённой 192.168.133.0/24 Настроено SPLIT DNS... прилагаю картинку.

    Куда "копать"?


    2 марта 2015 г. 10:58

Все ответы

  • Вот такая картинка у пользователя при запросе в ручную:

    2 марта 2015 г. 11:55
  • На TMG только одна ошибка со стороны удалённой сети:

    Время записи	IP-адрес клиента	IP-адрес назначения	Порт назначения	Используемый протокол	Действие	Переопределенное правило	Результат проверки NIS	Сигнатура NIS	Протокол приложения системы проверки сети	Правило	Код результата	Код состояния HTTP	Имя пользователя клиента	Исходная сеть	Сеть назначения	URL-адрес	Имя сервера	Категория URL-адреса	Тип записи журнала	Действие по проверке наличия вредоносных программ	Результат проверки наличия вредоносных программ	Имя угрозы	Уровень угрозы	Метод доставки содержимого	Продолжительность проверки наличия вредоносных программ (мсек)	Адрес NAT	Путь к клиентскому приложению	HTTP-метод	MIME-тип	Агент клиента	Версия UAG	Версия продукта клиентского приложения	Версия файла клиентского приложения	Внутреннее имя клиентского приложения	Время записи (GMT)	Время обработки	Данные кэширования	Двунаправленный	Заголовок Raw IP	Идентификатор UAG	Идентификатор массива UAG	Идентификатор модуля UAG	Идентификатор сеанса UAG	Имя и URL-адрес узла назначения	Имя линии связи UAG	Имя службы UAG	Имя события UAG	Имя узла назначения	Источник объекта	Исходное имя файла клиентского приложения	Исходный IP-адрес клиента	Клиентская версия Forefront TMG	Код ошибки UAG	Название продукта клиентского приложения	Необработанные полезные данные	Отправлено байт	Отсылающий сервер	Поле журнала сведений о внутренней службе	Полное доменное имя клиента	Получено байт	Порт источника	Причина классификации URL-адресов	Прошедший проверку клиент	Сведения о фильтре	Сведения об ошибке	Сервер проверки подлинности	Серьезность UAG	Сетевой интерфейс	Служба	Состояние доверия клиентского приложения	Тип UAG	Тип сеанса	Транспорт	Хэш SHA1 клиентского приложения
    02.03.2015 15:21:27	192.168.133.101	192.168.0.255	137	Служба имен NetBIOS	Отклоненное соединение	-				Нет - см. код результата	0xc0040050 FWX_E_TCPIP_DROP_IP_NOT_LOCALLY_DESTINED			router-les	Внутренняя	-	SRV-NAT0	-	Межсетевой экран			-			0	-		-	-		0				02.03.2015 12:21:27	0	0x0			0	-	-	-	-	-	-	-				192.168.133.101		0			0	-	0		0	137			-	0x0	-	-				-		UDP	

    Отклоненное соединение SRV-NAT0 02.03.2015 15:22:03 
    Тип журнала: Служба межсетевого экрана 
    Состояние: Входящий пакет был отброшен, поскольку его адрес назначения не существует в системе и не существует соответствующий интерфейс пересылки.  
    Правило: Нет - см. код результата 
    Источник: router-les (192.168.133.101:138) 
    Назначение: Внутренняя (192.168.0.255:138) 
    Протокол: Датаграмма NetBios 
    


    • Изменено Fafofu 2 марта 2015 г. 12:23
    2 марта 2015 г. 12:22
  • Ещё есть вот такая ошибка на клиентском компьютере при включении:

    Имя журнала:   Application
    Источник:      Microsoft-Windows-CertificateServicesClient-AutoEnrollment
    Дата:          02.03.2015 15:26:36
    Код события:   6
    Категория задачи:Отсутствует
    Уровень:       Ошибка
    Ключевые слова:Классический
    Пользователь:  Н/Д
    Компьютер:     LES03.palixa.ricbank.com
    Описание:
    Не удается найти описание для идентификатора события 6 из источника Microsoft-Windows-CertificateServicesClient-AutoEnrollment. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
    
    Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием.
    
    К событию были добавлены следующие сведения: 
    
    PALIXA\Frolova zlata
    0x8007052e
    Вход в систему не произведен: имя пользователя или пароль не опознаны.
    
    
    Неверный дескриптор
    
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-CertificateServicesClient-AutoEnrollment" Guid="{F0DB7EF8-B6F3-4005-9937-FEB77B9E1B43}" EventSourceName="AutoEnrollment" />
        <EventID Qualifiers="16384">6</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2015-03-02T12:26:36.000000000Z" />
        <EventRecordID>33145</EventRecordID>
        <Correlation />
        <Execution ProcessID="0" ThreadID="0" />
        <Channel>Application</Channel>
        <Computer>LES03.palixa.ricbank.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="Context">PALIXA\Frolova zlata</Data>
        <Data Name="ErrorCode">0x8007052e</Data>
        <Data Name="ErrorMsg">Вход в систему не произведен: имя пользователя или пароль не опознаны.
    </Data>
      </EventData>
    </Event>

    2 марта 2015 г. 12:31
  • А вот ещё... :(

    Имя журнала:   System
    Источник:      LsaSrv
    Дата:          02.03.2015 15:26:36
    Код события:   40961
    Категория задачи:Отсутствует
    Уровень:       Предупреждение
    Ключевые слова:
    Пользователь:  система
    Компьютер:     LES03.palixa.ricbank.com
    Описание:
    Системе безопасности не удалось установить безопасное соединение с сервером ldap/palixa.ricbank.com/PALIXA.RICBANK.COM@PALIXA.RICBANK.COM. Протоколы проверки подлинности недоступны.
    Xml события:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="LsaSrv" Guid="{199FE037-2B82-40A9-82AC-E1D46C792B99}" />
        <EventID>40961</EventID>
        <Version>0</Version>
        <Level>3</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2015-03-02T12:26:36.309507400Z" />
        <EventRecordID>97702</EventRecordID>
        <Correlation />
        <Execution ProcessID="620" ThreadID="720" />
        <Channel>System</Channel>
        <Computer>LES03.palixa.ricbank.com</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="Target">ldap/palixa.ricbank.com/PALIXA.RICBANK.COM@PALIXA.RICBANK.COM</Data>
      </EventData>
    </Event>


    2 марта 2015 г. 12:39
  • Так. Новые подробности. При ручном запросе сертификата через сайт центра сертификации, сертификат выдаётся и нормально публикуется в актив директори. Проблема наблюдается только для автоматических запросов, и только из этой сети. В анализе трафика значится вот эта ошибка: 

    942	39.218385000	192.168.0.70	192.168.0.10	KRB5	200	KRB Error: KRB5KDC_ERR_BADOPTION NT Status: STATUS_NOT_SUPPORTED

    Причём .10 это сервер сертификации, а .70 это контроллер домена... :(

    3 марта 2015 г. 12:04