none
Проблемы с корневым центром сертификации RRS feed

  • Вопрос

  • Добрый день всем. Помогите разобраться, плз.

    Преамбула:

    Есть домен с двумя существующими центрами сертификации - имена машин DAG1 (+контроллер домена) и DAG2. Также в домене работает Exchange 2010.

    Когда разворачивали Exchange на машине с именем DAG1 подняли корневой центр сертификации. После этого добавили в домен машину с именем DAG2 и объединили их в Exchange Database Availability Group (имя кластера MAIL.DOMAIN.RU). В какой то момент центр сертификации на DAG1 перестал работать. Разбираться было некогда, подняли второй ЦС на DAG2 им и пользовались до текущего момента. Сейчас DAG2 морально устарел и странно себя чувствует, пришло время выводить его из DAG и домена вообще. Для этого были добавлены еще две сервера с именами DAG3 и DAG4. Т.к. все последние сертификаты выдавались на DAG2, перед его уничтожением необходимо восстановить работу ЦС на DAG1.

    Симптомы:

    На DAG1 журнал приложений засыпан ошибками (74, 75, 66) - 

    Службы сертификации Active Directory не смогли опубликовать базовый CRL для ключа 0 в следующем месте на сервере dag1.DOMAIN.RU: ldap:///CN=DOMAIN-MAIL-CA,CN=DAG1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=RU.  Объект каталога не найден. 0x8007208d (WIN32: 8333).

    Служба центра сертификации запускается и работает нормально.

    Центр сертификации:

    PKIView.msc показывает следующее:

    Сайты и службы:

    Насколько я понимаю, после создания Exchange DAG с именем MAIL.DOMAIN.RU центр сертификации переименовался в MAIL, а путь публикации CRL остался старый, который указывает на DAG1.

    Я через ADSIEdit.msc пытался переименовать папку CN=MAIL в CN=DAG1, но не удалось: "для объекта был установлен системный флаг, запрещающий его перемещение и переименование". Дальше в эту сторону действовать побоялся.

    Как мне сейчас лучше поступить, чтобы восстановить работоспособность ЦС на DAG1??

    7 февраля 2020 г. 14:51

Ответы

  • Рекомендую не мучаться, а снести этот CA и установить новый (на том же или на другом сервере). Через некоторое время, порядка суток, его корневой сертификат приедет в хранилище корневых сертификатов (в физическое размещение Enterprise) всех членов домена и им можно будет начать пользоваться.


    Слава России!

    7 февраля 2020 г. 15:56

Все ответы

  • Рекомендую не мучаться, а снести этот CA и установить новый (на том же или на другом сервере). Через некоторое время, порядка суток, его корневой сертификат приедет в хранилище корневых сертификатов (в физическое размещение Enterprise) всех членов домена и им можно будет начать пользоваться.


    Слава России!

    7 февраля 2020 г. 15:56
  • Возможно снести его здесь и поднять на втором контроллере домена будет более быстрым решением, но есть сомнения что он в таком виде корректно удалится из домена при удалении роли ЦС.

    Если ставить новый ЦС, то при установке выбираем Root CA? В домене могут быть одновременно два корневых ЦС?

    P.s. при удалении из домена DAG2 все выданные им сертификаты станут недействительными?

    7 февраля 2020 г. 16:12