none
Root CA после миграции не выдает сертификаты по шаблону Machine (0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)) RRS feed

  • Вопрос

  • Недели 2 назад проводили миграцию корневого CA с WinServ2003 на WinServ2012R2

    Центр сертификации после миграции не выдает сертификаты для учеток компов по шаблону Machine

    При этом без проблем выдает сертификаты на учетки пользователей по шаблону User, Administrator (и остальные пользовательские)

    Запросы делал через оснастки mmc. Autoenrollment также не работает с той же ошибкой

    Набор шаблонов используется стандартный.

    Миграция происходила по этой инструкции: http://habrahabr.ru/company/microsoft/blog/255169/

    (Данную миграцию делали в тестовой среде – в ней всё работает)

    На машине, пытающейся запросить сертификат для компьютера поставил Netmon и перехватывал пакеты при попытке запросить сертификат. И вот что отвечает сервер при вышеописанной ошибке:

    - DCOM: RemoteCreateInstance Response, ORPCFNULL - No additional information in this packet

      - HeaderResp: ORPCFNULL - No additional information in this packet

         Flags: ORPCFNULL - No additional information in this packet

         Ptr: 0 (0x0)

      - ActivationProperties: NULL

       - MInterfacePointerPtr: Pointer To NULL

          ReferentID: 0x00000000

        Pad: 0 Bytes

      - ReturnValue: ERROR_ACCESS_DENIED

         Code:      (................0000000000000101) 0x00000005 - ERROR_ACCESS_DENIED - Access is denied.

         Facility:  (.....00000000111................) WIN32

    Судя по всему кому-то\чему-то не хватает прав для заявки. Перерыл все форумы. Практически везде идёт речь о группе CERTSVC_DCOM_ACCESS. Добавил саму группу в AD (хотя в тестовой среде всё работает и без этой группы), в неё добавил Domain Users, Domain Computers, Domain Controllers - ничего не поменялось. Во вкладке "безопасность" центра сертификации все галочки по умолчанию стоят - давал всем права на всё - никаких результатов не дало. В шаблонах Machine, user и прочих везде есть права на заявку.

    135 порт открыт, Pkiview.msc везде показывает ОК, оснастка центра сертификации тоже показывает, что всё ОК. 

    Командная строка под администратором: certutil -pulse  - тоже всё ок, certutil -ping <RootCA> - тоже всё ОК.

    Подскажите где копать? 


    • Изменено Evgeny P 23 апреля 2015 г. 8:01
    23 апреля 2015 г. 6:54

Ответы

  • проблему удалось исправить добавлением в группу Builtin\Users группы Domain Computers и Domain Controllers. Теперь сертификаты выдаются штатно.

    Использовалась рекомендация из этого кейса.



    • Изменено Evgeny P 21 мая 2015 г. 8:56
    • Помечено в качестве ответа Evgeny P 21 мая 2015 г. 8:57