none
Déploiement agent DPM sur hyper-v en WORKGROUP - Erreur de certificat RRS feed

  • Discussion générale

  • Bonjour,

    Je souhaite déployer des agents DPM sur des serveurs HYPER-V en WORKGROUP.
    Malheureusement, j'obtiens une erreur et bien que la question revienne souvent sur les forums, je n'ai pas trouvé de solution.
    En suivant les procédures et notamment une doc Microsoft (https://docs.microsoft.com/fr-fr/system-center/dpm/back-up-machines-in-workgroups-and-untrusted-domains?view=sc-dpm-2019), la commande située 8) de la partie 4.6 Configure the Certificate on the Protected Computer :

    2. Run Setdpmserver as follows run the following command:
    1. SetDpmServer.exe -DPMCredentials CertificateConfiguration_DPM01.TRUSTED.local.bin  –OutputFilePath C:\DPMCERT –Thumbprint <D9DKEE9E8KE8KDUUK… >

    me renvoi l'erreur :

    Error(Id= 33234), Details : Le certificat fourni dot├® de l'empreinte num├®rique [EMPREINTE_NUMERIQUE_DU_SERVEUR] sur le magasin personnel de l'ordinateur [NOM_DU_SERVEUR] ne correspond pas aux crit├¿res de DPM.
    Les critères suivants ne sont pas remplis pour le certificat.
    Le certificat n'est pas approuv├® sur l'ordinateur local.

    Veuillez v├®rifier que le certificat remplit les crit├¿res suivants :
    1)  Le certificat est approuv├® sur l'ordinateur local et n'a pas expir├®.
    2) Les serveurs de r├®vocation des autorit├®s de certification associ├®es sont en ligne.
    3) Le certificat poss├¿de une cl├® priv├®e associ├®e ├á un algorithme valide d'├®change.
    4) La longueur de la cl├® publique du certificat est sup├®rieure ou ├®gale ├á 1 024 bits.
    5) Le certificat doit poss├®der l'authentification du serveur et l'authentification du client si l'utilisation avanc├®e de la cl├® est activ├®e.
    6) Le sujet du certificat et son autorit├® de certification racine ne doivent pas ├¬tre vides.
    7) DPM ne prend pas en charge les certificats disposant de cl├®s CNG (Cryptography API Next Generation).
    Pour plus d'informations, consultez l'Aide.
    SetDpmServer failed with errorcode =0x809909b4, error says: (null)
    To further troubleshoot failures with SetDpmServer, go to  http://go.microsoft.com/fwlink/?LinkId=169142

    L'erreur est bien "Le certificat n'est pas approuvé sur l'ordinateur local." Pour régler ce problème (a priori) il suffit simplement d'installer le certificat du CA dans le magasin de l'ordinateur local "Autorités de certification racines de confiance". Or, même après ça, l'erreur persiste.

    Sur toutes les procédures, tutos, livres que j'ai pu consulter aucun d'entre eux ne mentionnent une erreur de ce type et bien entendu suivre le lien de troubleshoot microsoft n'aiguille pas.

    Je fais appel à vous, pour savoir si vous avez déjà rencontré ce cas, si vous avez des idées... j'ai le nez dedans depuis une semaine déjà...

    Merci à vous !

    lundi 15 juillet 2019 16:02

Toutes les réponses

  • Je viens de résoudre le problème.

    Le serveur était incapable de vérifier l'accès à les listes de révocations. En re-publiant de nouvelles CRL, qui régénère la Base et le Delta, ils sont apparus dans le résultat de la commande : certutil -verify -urlfetch "[CERTIFICAT_SERVEUR].cer".

    Ne pas oublier, le double échappement dans la configuration IIS (la liste Delta utilise le "+"). Comme il y a une publication http dans le CDP...

    Merci !

    mardi 16 juillet 2019 07:45
  • Problème suivant :

    Maintenant que les certificats sont validés, une fois l'agent attaché via la commande Attach-ProductionServerWithCetificate.ps1, l'agent remonte en erreur côté serveur DPM.

    ID d'erreur Data protection manager : 316
    L'opération d'agent a échoué sur [NOM_DU_SERVEUR] car le service n'a pas répondu.

    Le service DPM CPWrapper est bien démarré sur le serveur protégé mais d'après les logs DPMRA.exe "crash".

    DPMRA.exe
    10.19.58.0
    5c6aea0b
    KERNELBASE.dll
    10.0.17763.615
    b6cb145b
    80070057
    0000000000039129
    2930
    01d53bbbe088f713
    c:\Program Files\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe
    C:\Windows\System32\KERNELBASE.dll
    25038604-780a-4990-8699-403ebe5ef193

    L'agent a été réinstallé sur le serveur protégé, même erreur.

    mardi 16 juillet 2019 10:49