none
Восстановление ЦС RRS feed

  • Вопрос

  • Доброго времени суток Всем !

    Столкнулся с проблемой при восстановлении ЦС на новом сервере. Перед миграцией , сделал бэкап ЦС и экспорт ветки реестра certsrv. При установке нового ЦС, указал закрытый ключ, восстановил из бэкапа. Но при попытке запуска службы ЦС получил ошибку

    В событиях при этом регистрируются ошибки :

    Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID 
    {D99E6E73-FC88-11D0-B498-00A0C90312F3}
     и APPID 
    {D99E6E74-FC88-11D0-B498-00A0C90312F3}
     пользователю T....\..... с ИД безопасности (S-1-5-21-2079155405-546501826-771588951-1174) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.

    Службы сертификации Active Directory не запущены: Не удается загрузить или проверить текущий сертификат ЦС. T.............-CA Не удается найти указанный файл. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND).

    Подскажите пожалуйста куда копать ?

    8 апреля 2017 г. 16:32

Ответы

  • Блин, чет туплю. Глянуть то по выданым проще простого ).. В общем после удаления, лишнего хэша в CACertHash в реестре, вроде нормально запускается. Погляжу, как будут выдаваться сертификаты и списки отзыва, некоторое время.
    9 апреля 2017 г. 14:10

Все ответы

  • Служба запускается от локальной системы. Вот какой момент обнаружил. Удалил ЦС, поставил заново, восстановил бэкап, служба запустилась, но. Я не импортировал ветку реестра еще, а вот после импорта опять сыпятся ошибки и служба не запускается. Попробую по рекомендациям сравнить ветки перед импоротм.
    8 апреля 2017 г. 19:29
  • Мда, разобраться, что не так в рег файле, не так-то просто. Может кто знает, на что в первую очередь обратить внимание. Понятное дело смотреть на точки распространения, но может тогда проще перенастроить ЦС,  указав точки CRL AIA ?!
    9 апреля 2017 г. 13:38
  • Кажется, проблема найдена. Исходному ЦС было выдано два сертификата от корневого, один из которых в последствии отозван. Если посмотреть рег-файлы, то видно, что в иходном ЦС в параметре CACertHash, указаны хэши обоих сертификатов. А вот в новый ЦС восстановился один, причем в исходном шел хэш сертификата, которого на новом серваке нет. Не могу проследить, который из них был отозван, корневой ЦС лежит в офф на гиперВ, до которого щас не добраться. А в списках отзыва корневого совпадающих серийников нет (
    9 апреля 2017 г. 13:56
  • Блин, чет туплю. Глянуть то по выданым проще простого ).. В общем после удаления, лишнего хэша в CACertHash в реестре, вроде нормально запускается. Погляжу, как будут выдаваться сертификаты и списки отзыва, некоторое время.
    9 апреля 2017 г. 14:10