none
Active Directory Certificate Services сертификаты выдаются повторно постоянно! RRS feed

  • Вопрос

  • Дорого всем времени суток! 

    Проблема заключается в  том что Есть СА он же и рутовый, также здесь же сетевой ответчик регистрация через интернет, установлено все это на Виртуалке под управлением 2008 r2. Сертификаты выдаются удачно однако, после получения сертификата(валидность 1 год),  компьютеры и пользователи продолжают их запрашивать, а СА в свою очередь продолжает их раздавать, в итоге имеем среднем по 100 сертификатов на компьютер/пользователя(имеется ввиду в записи о розданных на СА), раздаются  сертификаты автоматом через ГП, и в условии стоит, что запрос должен происходить в случае невалидности или отсутствия сертификата, также в логах сервера имеем варнинг id 80:  "Службы сертификации Active Directory не смогли опубликовать сертификат для запроса 721491 в следующем месте на сервере bla.bla.bla: CN=bla,OU=bla,OU=bla,DC=bla,DC=bla.  Пределы администрирования для этого запроса были превышены. 0x80072024 (WIN32: 8228).ldap: 0xb: 00002024: SvcErr: DSID-020508DC, problem 5008 (ADMIN_LIMIT_EXCEEDED), data -1026" конечно по поводу варнинга шуршали стандартные варианты которые майкрософт предлагает не помогаю или не могут быть применены.

     Если чего не упомянул спрашивайте, уточним.

    Очень надеюсь на вашу помощь коллеги!!

    29 августа 2012 г. 14:47

Ответы

Все ответы

  • Профили перемещаемые? Тогда это ожидаемое поведение. Проблему с какими именно сертификатами у вас наблюдается? EFS? Другие? Шаблоны проверьте повнимательней, на предмет  точного совпадения.
    30 августа 2012 г. 9:19
    Отвечающий
  • Перемещаемых профилей нет. Ситуация действительно такая же как в приведенной вами ссылки. Сертификаты выдаваемые по шаблонам производным от шаблонов User и Mashines, попробуем варианты решения по той ссылке, я отпишусь о результатах..


    30 августа 2012 г. 9:47
  • Используемые клиентские ОС и используемые CA алгоритмы?
    31 августа 2012 г. 10:42
  • ос 7/ХР/Vista, алгоритмы использовали по умолчанию, но к примеру алгоритм подписи на клиентских машинах RSASSA-PSS а СА использует sha1RSA, но какие еще алгоритмы вас интересуют?
    31 августа 2012 г. 12:45
  • Dmitriy Razbornov

    Пробовали то что было перечислено в приведенной вами ссылке, не получилось, единственное что не понятно, по поводу групповых политик которые там указаны, не могу понять они должны быть настроены или наоборот?

    4 сентября 2012 г. 8:07
  • Должна быть задействована политика autoenrollment. Но она уже у вас применяется, если пользователи их у вас получают. Проверьте, что за сертификат вы импортировали через эту политику к выдаче.

    4 сентября 2012 г. 8:31
    Отвечающий
  • "Проверьте, что за сертификат вы импортировали через эту политику к выдаче", не совсем понял, можно перефразировать поподробней?
    4 сентября 2012 г. 9:19
  • Computer configuration-Windows settings- Security settings-Public key policies-Trusted root cert Authorities

    пр кл м - Import.

    4 сентября 2012 г. 17:53
    Отвечающий
  • а если мы через эту политику сертификат не импортировали, у нас машинки обращають к центру сертификации и получают этот сертификат оттуда...???
    10 сентября 2012 г. 7:42
  • Нет, конечно- там же его нет. Это возможность раздать именно те сертификаты, которые нужно для клиентов. Я, кажется догадываюсь, в чем м.б. дело, отпишу в середине дня.
    10 сентября 2012 г. 7:45
    Отвечающий
  • жду....., но я имел ввиду правильно ли то как у нас происходит?
    10 сентября 2012 г. 7:52
  • Открываем шаблон, смотрим. 

    1) Обработка запроса (Request Handling) 

    Если флажок Удалять отозванные и просроченные сертификаты (Delete revoked or expired certificates) не установлен, процесс автоматической подачи заявок будет выполнять архивирование всех сертификатов с истекшим сроком действия и отозванных сертификатов в «Моем» хранилище пользователя. http://msdn.microsoft.com/en-us/library/bb643324.aspx

    2) General - Do not automatically reenroll if a duplicate certificate exist in Active Directory

    не запрашивать новые сертификаты на основе текущего шаблона, если действующий сертификат уже существует.

    Проверяйте ваши настройки.

    10 сентября 2012 г. 15:10
    Отвечающий
  • 2) Do not automatically reenroll if a duplicate certificate exist in Active Directory эта галочка у нас стоит.

    1) А в этом окне у нас выбран вариант подпись и шифрование... то есть нет возможности выбрать "Удалять отозванные и просроченные сертификаты"

    11 сентября 2012 г. 7:35
  • 2) Это хорошо.

    1) Если выбрать шифрование, то так и должно быть (т.е. недоступно)

    Перевыпустите для клиентов шаблон с  подкорректированными настройками.

    11 сентября 2012 г. 17:23
    Отвечающий
  • Дело в том, что шаблон уже был настроен таким образом я ничего не менял...
    12 сентября 2012 г. 8:28
  • Добрый вечер,

    Gvintik удалось решить проблему?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    6 октября 2012 г. 18:36
    Модератор
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    9 октября 2012 г. 4:33
    Модератор
  • Вот ссылка с моего обсуждения на буржуйском, там я в конце написал единственное что я изменил в настройке сервера что на сегодняшний день "тьфу тьфу тьфу" решило проблему.

    http://social.technet.microsoft.com/Forums/ru-RU/winserversecurity/thread/2c35adc0-f103-40ce-aa96-3a45dbc6830c

    • Помечено в качестве ответа Rotar MaksimModerator 11 октября 2012 г. 7:24
    9 октября 2012 г. 11:09