none
Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен. RRS feed

  • Общие обсуждения

  • Здравствуйте.

    Есть 1000 ПК, операционки разные; развернут внутрений центр сертификации; сертификаты успешно выдаются на 700 машинах.

    На остальных 300 (в основном это XP Pro) сертификаты не получаются.

    При попытке запросить на проблемном ПК сертификат выдает ошибку "Неудача при выполнении запроса сертификата. Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен", хотя при тех же действиях не на проблемных ПК сертификат без проблем выдается, сервер центра сертификации работает, в списках "неудачных запросов" сертификатов эти компьютеры даже не светятся, то есть они туда даже не пытаются ломиться. По URL к CRL проходит и файлик загружается

    В логах на этих машинах стабильно вылазиет ошибка

    "Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Сертификат клиента ConfigMgr (0x80092013).  Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .
    "

    "Автоматическая подача заявки на сертификат Локальная система: не удалось подать заявку на один сертификат Autheticated Computer (0x80092013).  Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен ."

    Я уже не знаю куда копать. Пытался выявить какие то проблемы с сетью, обновления какие нибудь которые не стоят, сбрасывал шаблоны безопасности, копировал ветки реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography с рабочих ПК на проблемные.

    12 марта 2013 г. 8:17

Все ответы

  • Добрый день.

    1) Когда публиковали в последний раз CRL ?

    2) Машинки с ХП точно входят в группу с разрешениями на заявку- проверьте на шаблоне для верности...

    3) Нет ли поля SAN в сертификате?

    12 марта 2013 г. 15:56
  • 1. публикуется раз в несколько дней

    2. Машины не только с ХП но их основная часть. Разрешения стоят на "Прошедшие проверку" и "Domain computers" права "заявка" и "автоматическая подача"

    3. Имя субъекта: "Строится на основе данных AD" "Формат имени субъекта"="Обычное имя", "Включить эту информацию в альтернативное имя субъекта"="DNS-имя"

    13 марта 2013 г. 6:41
  • А вручную с такого проблемного клиента если запрос попытаться сделать, получается?
    Если не только с ХП, то проверяйте сеть, разумеется. DNS, файерволлы, Vlan  и т.д.
    13 марта 2013 г. 7:03
  • При попытке запросить на проблемном ПК сертификат выдает ошибку "Неудача при выполнении запроса сертификата. Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен"

    Так самое интересное, два компьютера в одной сети, на одном свитче, IP соседние, на обоих ХП, но на одном получает а на другом нет. И так на всех проблемных ПК.

    Кстати переустановка ОС на ПК устраняет проблему, с последующим вводом в домен с тем же именем, причем не переустанавливая учетную запись в AD.

    ---------------------------------------------------

    Другой вопрос, можно ли с помощью certutil запросить сертификат без проверки отзывов?

    13 марта 2013 г. 7:20
  • А вручную с такого проблемного клиента если запрос попытаться сделать, получается?
    Если не только с ХП, то проверяйте сеть, разумеется. DNS, файерволлы, Vlan  и т.д.

    Нет, об этом я писал в первом посте.

    После 2 дней мучений проверил, только на ХП возникает данная проблема, на других системах другие ошибки.

    DNS, файерволлы, доступы к сетям проверены. дело в том что все работало и 2 месяца назад "бац" и перестало работать.


    17 марта 2013 г. 9:41
  • После 2 дней мучений проверил, только на ХП возникает данная проблема.

    Может быть, это Знак?

    :))

    17 марта 2013 г. 9:45
  • После 2 дней мучений проверил, только на ХП возникает данная проблема.

    Может быть, это Знак?

    :))

    Я конечно согласен :), что пора закапывать ХР, но все же почему на 200 ХР все нормально, и тестовой(проблемной) машине помогла переустановка системы?

    Ладно буду дальше мучить свой мозг.

    18 марта 2013 г. 4:50
  • Дополнительно, откройте Internet Explorer на проблемном компьютере и введите адрес к списку СОС, покопайте ещё в этом направлении. При успешном доступе, браузер должен предложить сохранить список СОС.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    18 марта 2013 г. 14:49
    Модератор
  • Дополнительно, откройте Internet Explorer на проблемном компьютере и введите адрес к списку СОС, покопайте ещё в этом направлении. При успешном доступе, браузер должен предложить сохранить список СОС.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    как я писал в 1 посте, по ссылкам ходит.
    19 марта 2013 г. 5:43
  • Не выделено, вот и не увидел :))

    Покопайте дополнительно статью http://technet.microsoft.com/ru-ru/library/bb124817(v=exchg.80).aspx


    Да, я Жук, три пары лапок и фасеточные глаза :))


    19 марта 2013 г. 9:41
    Модератор
  • Дело не в этом, конкретно проблема с машинами, как писал выше, помогает переустановка системы, на 700 машинах сертификаты успешно выдаются, возможно не работают груп. политики.
    20 марта 2013 г. 5:46
  • А разве переустановка системы, настраивает Групповые политики? Возможно сравнение настроек на проблемном компьютере с настройками компьютера где этой проблемы нет, поможет найти причину.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    20 марта 2013 г. 7:17
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    25 марта 2013 г. 9:31
    Модератор
  • Не хочу плодить темы, поэтому задам вопрос здесь. Есть Терминальные сервера в домене, СА (отдельно стоящий). Пользователи со своих машин авторизуются на терминальных серверах через токен. Периодически вылетает ошибка при попытке авторизоваться на терминальном сервере: "вход в систему невозможен. Статус отзыва сертификата контроллера домена используемого для проверки подлинности смарт-карты не определен".

    Доступ к crl есть (с клиентских и с серверных ОС), сертификат на контроллерах есть. Шайтан аднака :)

    Лечится gpupdate-ом на терминалках (что непонятно). Журнал применения GPO ошибок не имеет. Журнал системы пишет (во время попытки авторизации): "Клиенту не удалось проверить сертификат контроллера домена для dc3. Процессом проверки сертификата была возвращена следующая ошибка: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен ."


    • Изменено CJIABuK 17 декабря 2013 г. 9:05
    17 декабря 2013 г. 9:04