none
Windows Server 2012 AD CS Web Enrollment - Ошибка "404 - файл или каталог не найден" RRS feed

  • Вопрос

  • Здравствуйте! 

    Прошу помощи по следующей проблеме.

    Я настраиваю VPN на базе RRAS в Windows Server 2012 с использованием IKEv2. Поскольку для этого требуется как минимум сертификат для сервера удаленного доступа, я развернул на отдельном сервере AD CS со службой роли "Центр сертификации". Далее, в плане тестирования, я настроил автоматическую выдачу сертификатов определенным клиентам, и все прекрасно отработало - сертификаты распространились должным образом. После этого я начал устанавливать веб-службу регистрации сертификатов, для того чтобы в запросе сертификата для сервера удаленного доступа указать в качестве имени субъекта внешний белый IP-адрес сервера (сервер находиться за NAT'ом). Вот здесь и возникла обозначенная проблема. При попытке доступа по адресу https://<адрес сервера AD CS>/certsrv, браузер выдает ошибку 404 (файл или каталог не найден). При этом в "Диспетчере служб IIS" в списке сайтов присутствует только "Default Web Site", ссылающийся на стандартную стартовую страничку IIS'са. 
    Поиск по форумам навел меня на несколько тем с похожей проблемой. В качестве ее возможного решения там советовали:
    1) выполнить команду certutil -vroot
    2) проверить, существует ли веб-содержимое по пути c:\windows\system32\certsrv\
    3) переустановить в различных последовательностях необходимые компоненты (IIS, центр сертификации, веб-службы)
    К сожалению, все это ни к чему не привело. Точнее, CertUtil выполнилась с ошибками "CertUtil: -vroot команда НЕ ВЫПОЛНЕНА: 0x80070002 (WIN32: 2)" и "CertUtil: Не удается найти указанный файл". По пути "c:\system32\certsrv" была только папка CertEnroll, в которой находилось несколько сертификатов, а какое-либо веб-содержимое отсутствовало. Переустановка в различных последовательностях тоже не помогла. Более того, не помогла не только переустановка в различном порядке, но и установка веб-служб на отдельном сервере. 
    На всех серверах установлена Windows Server 2012 и все имеющиеся на сегодняшний день обновления.

    Подскажите, пожалуйста, как можно решить данную проблему?
    12 июня 2013 г. 11:22

Ответы

  • Проблема решена. Все оказалось очень просто: я устанавливал не ту службу роли, а именно, "Веб-службу регистрации сертификатов" ("Certificate Enrollment Web Service") вместо "Службы регистрации в центре сертификации через Интернет" ("Certification Authority Web Enrollment"). Я установил нужную службу роли, и все заработало как надо :)

    Спасибо большое за помощь!
    2 июля 2013 г. 18:48

Все ответы

  • Здравствуйте Александр,

    Посмотрите обсуждение про ошибку CertUtil 0x80070002. Возможно номер сертификата указан неправильно:

    How to remove Trusted Publisher with certutil.exe


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    13 июня 2013 г. 11:57
    Модератор
  • Вопрос с ошибкой certutil решился установкой "с нуля" ролей AD DS и AD CS с центром сертификации и веб-службой регистрации сертификатов на "чистой" системе с Windows Server 2012 . Точнее, в результате выполнения команды "certutil -vroot" на IIS был создан виртуальный каталог, ссылающийся на папку "c:\windows\system32\certsrv\certenroll", что опять же ни к чему не привело (т.к. по этому пути находяться только 1 сертификат и 2 списка отзыва) - как "https://<адрес сервера AD CS>/certsrv/", так и  "http://<адрес сервера AD CS>/certsrv/" по-прежнему вызывают ошибку 404.

     

    16 июня 2013 г. 15:13
  • Посмотрите статью ниже,она про сервер 2008 Р2 ,но должна навести Вас на идей об исправлении ошибки:

    Quick Check on ADCS Health Using Enterprise PKI Tool

    In general, this error can be attributed either to:

    1.A missing file (in my case above, it was the certificate file of the issuing CA). Copy the file to the distribution point and refresh Enterprise PKI.

    2.The HTTP URL is accessible through a Proxy. You should consider removing the proxy requirment for the computer security context

    3.There may be an access control list (ACL) blocking access to the file

    4.When dealing with Delta CRLs, the web site might block the download of the file due to double escaping. This issue can easily be solved by following the steps in How to avoid Delta CRL download errors on Windows Server 2008 with IIS7


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    20 июня 2013 г. 10:27
    Модератор
  • ОК. Спасибо за ссылку. Попробуем разобраться
    22 июня 2013 г. 4:10
  • Александр,

    как успехи?


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Проблема решена. Все оказалось очень просто: я устанавливал не ту службу роли, а именно, "Веб-службу регистрации сертификатов" ("Certificate Enrollment Web Service") вместо "Службы регистрации в центре сертификации через Интернет" ("Certification Authority Web Enrollment"). Я установил нужную службу роли, и все заработало как надо :)

    Спасибо большое за помощь!
    2 июля 2013 г. 18:48
  • Александр,

    Спасибо,за то,что предоставили решение Вашей проблемы


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор