locked
Проблема с ролью Центр сертификации Active Directory RRS feed

  • Вопрос

  • Исходные условия:

    1. Физический сервер
    2. На данном сервере установлена ОС Windows Server 2008 Enterprise 32-битная
    3. Сервер является рядовым сервером в домене, т.е. сервер "загнан" в домен.
    4. Установлены все исправления и обновления для данной операционной системы.

    Проблема: при установке роли Центр сертификации Active Directory в пункте установки Вариант установки не доступен пункт Предприятие, доступен только Автономный ЦС.

    Пробовал ставить данную роль под администратором домена и под локальным администратором, т.е. заходил в сервак и через доменную учётную запись администратора и через локальную учётную запись администратора.

    В чём прикол такой?

    • Перемещено Yubo. Zhang 21 апреля 2012 г. 17:51 merge forums (От:Windows Server 2008)
    4 ноября 2010 г. 6:05

Ответы

  • Попробуйте создать новую отдельную учетку, сделать ее членом ТОЛЬКО группы Enterprise Admins, зайти под ней на сервер и попробовать еще раз установить роль СА.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    12 ноября 2010 г. 8:28
    Модератор

Все ответы

  • Пользователь, должен быть членом группы Enterpise Admins
    4 ноября 2010 г. 6:17
    Отвечающий
  • Это первое что было проверено. Я входил под учётной записью Администратор (встроенная учётная запись администратора компьютера/домена), а данная учётная запись изначально является членом группы Администратор предприятия. Данной учётной записью администратора мы не пользуемся.

    Более того входил входил под другой учётной записью администратор у которой сделали основную группу Администраторы предприятия.

    4 ноября 2010 г. 6:39
  • Если так, то проверяйте "связь с доменом". Я бы начал с проверки IP-связности, разрешения имен (конфигурации клиента DNS) и "прохождения" RPC (конфигурация брандмауэра). В журнале сервера есть жалобы от nelogon?..
    4 ноября 2010 г. 7:22
    Отвечающий
  • Если так, то проверяйте "связь с доменом". Я бы начал с проверки IP-связности, разрешения имен (конфигурации клиента DNS) и "прохождения" RPC (конфигурация брандмауэра). В журнале сервера есть жалобы от nelogon?..
    1. Сетевая карта данного сервера получаетя настройки от DHCP-сервера. Для данной карты (сервера) у DHCP-сервера зарегестрирован IP-адрес.
    2. А вот с "прохождением" RPC оказывается вроде как есть проблемы. Сейчас попробовал удалённо просмотреть журнал событий с проблемного сервера и не смог выполнить подключения. Сейчас на проблемном сервере в брандмауэре "дал" возможность удалённого просмотра журнала событий.
    3. Сейчас в журнале событий Безопасноть проблемного сервера есть только одна запись Сбой аудита:

      Брандмауэру Windows не удалось уведомить пользователя о том, что прием входящих сетевых подключений для приложения заблокирован.

    Но это попытка просмотра журнала событий. Что ещё можно посмотреть?

     

    4 ноября 2010 г. 7:52
  • 1. Серверу желательно назначить IP-конфигурацию и конфигурацию клиента DNS вручную.
    2. Ппроверить разрешение имен и IP-связность с контроллреами (ping)
    3. Обеспечить подключения со стороны сервера к EPM (TCP 135) и вторичным динамически открываемым портам RPC на контроллерах домена. Брандмауэр сервера может быть настроен "по умолчанию".
    4. Отключить "требования" IPSec, если таковые задействуются.

    Я еще обычно проверяю LDAP-binding к каталогу DS. Если Вы консоль ADUC, например, установите на сервер, то к каталогу домена, в котором локализован сервер, подключиться удается?..

    4 ноября 2010 г. 8:14
    Отвечающий
    1. У данного сервера IP-адрес всегда неизменен. Т.е. у DHCP-сервера для него адрес зарезервирован.
    2. Проблемный сервер контролер домена (основной и дополнительный) по имени сервера замечательно пингует. Это я проверял.
    3. Брандмауэр действительно стоит "по умолчанию". Сейчас (указывал ранее) включил в исключениях Удалённое управление журналом событий. Ставить в исключения Служба входа в сеть? Может эта служба так влиять на мой прикол? Исключения EPM (TCP 135)  руками создать или это как определённая служба уже значится в брандмауэре?
    4. С IPSec ничего не делал - всё стоит как есть с момента установки домена.
    4 ноября 2010 г. 8:38
  • 3. Обеспечить подключения со стороны сервера к EPM (TCP 135) и вторичным динамически открываемым портам RPC на контроллерах домена.

    Поподробнее о вторичных динамечски открываемых портах RPC если не затруднит?
    4 ноября 2010 г. 8:39
  • Дал доступ к порту 135 (TCP) на брандмауэре на контролере домена для входящих подключений. Результат по прежнему нулевой. Где и что ещё копать?
    4 ноября 2010 г. 9:13
  • Есть у вас в AD этот контейнер CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=ru с содержимым? И какие на него установлены разрешения?
    4 ноября 2010 г. 10:49
    Отвечающий
  • У меня домен третьего уровня. У меня есть: CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=domain,DC=local

    Имеются три группы пользователей:

    1. Прошедшие проверку - Чтение, Особые разрешения
    2. Система - Отмечены все, кроме особых разрешений
    3. Администраторы домена - Отмечены все, кроме Полный доступ и Удалить дочерние объекты
    4. Администраторы предприятия - Отмечены все

     

    5 ноября 2010 г. 6:37
    1. Проблемный сервер контролер домена (основной и дополнительный) по имени сервера замечательно пингует. Это я проверял.

    Пинг до КД еще ничего не означает. Просто один сервер видит другой в сети, но может не знать, что второй является КД. Поэтому:

    1) Проверьте nslookup-ом отзыв SRV-записи КД

    2) У Вас случайно этот сервер не был введен  в домен под именем какого-то ранее существовавшего сервера?


    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    10 ноября 2010 г. 13:23
    Модератор
  • 1) Проверьте nslookup-ом отзыв SRV-записи КД

    2) У Вас случайно этот сервер не был введен  в домен под именем какого-то ранее существовавшего сервера

    1) Как я понимаю это надо делать на проблемном сервере? Если не затруднит, то дайте пожалуйста перечень параметров для nslookup. Просто я не настолько силён в данных тонкостях.

    2) Я несколько раз переустанвливал этот сервер, на разных сборках. В дополнение создал новый сервер под овым именем, которого раньше не существовало в домене, и результат по прежнему нулевой.

    10 ноября 2010 г. 13:39
  • 1) Проверьте nslookup-ом отзыв SRV-записи КД

    2) У Вас случайно этот сервер не был введен  в домен под именем какого-то ранее существовавшего сервера

    1) Как я понимаю это надо делать на проблемном сервере? Если не затруднит, то дайте пожалуйста перечень параметров для nslookup. Просто я не настолько силён в данных тонкостях.

    Подробно о проверке написано вот тут. Вы правильно поняли, что ее нужно проводить на проблемном сервере. А еще выполните на нем команду nltest /dsgetdc:<имя_домена> эта команда должна вернуть полные данные КД.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    11 ноября 2010 г. 9:33
    Модератор
  • А еще выполните на нем команду nltest /dsgetdc:<имя_домена> эта команда должна вернуть полные данные КД.

    Вот результат данной команды:

    C:\Users\Pavlov>nltest /dsgetdc:financial
               Контроллер домена: \\SERVER-1
          Адрес: \\192.168.2.1
         GUID DOM: 04364df4-eec1-4232-a3b9-f83cc1337310
         Имя DOM: FINANCIAL
      Имя леса: financial.vyazma.local
     Имя сайта контроллера домена: Default-First-Site-Name
    Имя нашего сайта: Default-First-Site-Name
            Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_FOREST CLOSE_SITE FULL_SECRET WS
    Команда выполнена успешно.

    Насколько я понимаю всё нормально. Или я не прав?

    11 ноября 2010 г. 10:16
  • Подробно о проверке написано вот тут. Вы правильно поняли, что ее нужно проводить на проблемном сервере.

    Предварительные шаги согласной инструкции по указанной ссылке:

    C:\Users\Pavlov>nslookup
    DNS request timed out.
        timeout was 2 seconds.
    TхЁтхЁ яю єьюыўрэш¦:  UnKnown
    Address:  192.168.2.1

    > set q=srv

    Вот результат по "неполному" доменному имени:

    > _ldap.tcp.dc._msdcs.financial
    TхЁтхЁ:  UnKnown
    Address:  192.168.2.1

    DNS request timed out.
        timeout was 2 seconds.
    *** Превышено время ожидания запроса UnKnown
    >

    А вот результат по полному доменному имени:

    > _ldap.tcp.dc._msdcs.financial.vyazma.local
    TхЁтхЁ:  UnKnown
    Address:  192.168.2.1

    DNS request timed out.
        timeout was 2 seconds.
    *** UnKnown не удалось найти _ldap.tcp.dc._msdcs.financial.vyazma.local: Non-existent domain
    >

    Какие мои следующие действия?

    11 ноября 2010 г. 10:56
  • Содержимое файла netlogon.dns с сервера выполняющего функции контролера домена:

    _ldap._tcp.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.Default-First-Site-Name._sites.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.pdc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.gc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 3268 Server-1.financial.vyazma.local.
    _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 3268 Server-1.financial.vyazma.local.
    _ldap._tcp.04364df4-eec1-4232-a3b9-f83cc1337310.domains._msdcs.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    16b7f663-8de3-414c-aa3a-abe816b75e59._msdcs.financial.vyazma.local. 600 IN CNAME Server-1.financial.vyazma.local.
    _kerberos._tcp.dc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 88 Server-1.financial.vyazma.local.
    _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 88 Server-1.financial.vyazma.local.
    _ldap._tcp.dc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _kerberos._tcp.financial.vyazma.local. 600 IN SRV 0 100 88 Server-1.financial.vyazma.local.
    _kerberos._tcp.Default-First-Site-Name._sites.financial.vyazma.local. 600 IN SRV 0 100 88 Server-1.financial.vyazma.local.
    _gc._tcp.financial.vyazma.local. 600 IN SRV 0 100 3268 Server-1.financial.vyazma.local.
    _gc._tcp.Default-First-Site-Name._sites.financial.vyazma.local. 600 IN SRV 0 100 3268 Server-1.financial.vyazma.local.
    _kerberos._udp.financial.vyazma.local. 600 IN SRV 0 100 88 Server-1.financial.vyazma.local.
    _kpasswd._tcp.financial.vyazma.local. 600 IN SRV 0 100 464 Server-1.financial.vyazma.local.
    _kpasswd._udp.financial.vyazma.local. 600 IN SRV 0 100 464 Server-1.financial.vyazma.local.
    _ldap._tcp.DomainDnsZones.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.ForestDnsZones.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.financial.vyazma.local. 600 IN SRV 0 100 389 Server-1.financial.vyazma.local.
    ForestDnsZones.financial.vyazma.local. 600 IN A 192.168.2.1
    financial.vyazma.local. 600 IN A 192.168.2.1
    gc._msdcs.financial.vyazma.local. 600 IN A 192.168.2.1
    DomainDnsZones.financial.vyazma.local. 600 IN A 192.168.2.1

    11 ноября 2010 г. 11:04
  • Попробуйте создать новую отдельную учетку, сделать ее членом ТОЛЬКО группы Enterprise Admins, зайти под ней на сервер и попробовать еще раз установить роль СА.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.
    12 ноября 2010 г. 8:28
    Модератор
  • Попробуйте создать новую отдельную учетку, сделать ее членом ТОЛЬКО группы Enterprise Admins, зайти под ней на сервер и попробовать еще раз установить роль СА.
    Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется "как есть" без официальной ответственности компании Microsoft.

    Прикольно, но помогло! Создал новую доменную учётную запись. Добавил в группу Администраторы предприятия. Сделал её основной. Удалили у этой учётной записи группу Пользователи домена. И результат: появился доступ к созданию ЦС Предприятия. Спасибо ОГРОМНОЕ за помощь. Буду делать дальше.
    15 ноября 2010 г. 13:41