Клиенты DirectAccess возобновят удаленные сертификаты рабочей станции?
Я устанавливаю MS DirectAccess почти год назад, который потребовал компьютерного автоприема сертификата конфигурирования. Первый компьютерный сертификат собирается истечь приблизительно через месяц, и теперь я задаюсь вопросом, как это собирается работать на машины, которые локально никогда не подключаются к домену.
Политика автоприема включает автоматическое обновление. Таким образом, мой вопрос, когда обновление происходит? Если сертификат истекает, то мне кажется, что соединение DA прекратит работать, и обновление не сможет произойти.
Я приношу извинения, мое знание сертификатов в Windows (или где угодно) чрезвычайно ограничено.Спасибо
Машины DA по определению подключены к домену. Они получают свои объекты групповой политики и все остальное точно так же, как если бы они были на месте.
Если у вас есть автоматическое продление с процентным периодом, достаточным для того, чтобы люди не были заблокированы (дольше, чем выходные или запланированный простой компании) ), у вас должно быть хорошо. Вот снимок экрана с соответствующей настройкой GPO:
http://1.bp.blogspot.com/-IpzPPsHHQ14/UfLwHEeJE_I/AAAAAAAAASg/qUYAP3GRxtA/s1600/Auto+Enrollment.png
/ Edit - Aha. PKI, на которую я смотрел, этого не показывала, но я нашел ее в Интернете. Вот часть шаблона сертификата, которая также должна быть установлена: период продления на вкладке «Общие». Скорее всего, указанный выше параметр GPO не имеет отношения к целям автоматической регистрации и продления.
Если ваши текущие сертификаты построены на основе шаблона без желаемого значения для этого параметра, вам нужно будет отредактировать или создать новый шаблон и повторно выпустить сертификаты, но значения по умолчанию для сертификатов DA должны быть достаточно разумными.
1) обновление сертификата будет запущено в период времени, указанный в шаблоне сертификата, до истечения срока действия сертификата. В случае неудачи клиент с автоматической регистрацией будет пытаться периодически обновлять сертификат.
в данном примере автоматическая подача заявки будет делать первую попытку продлить сертификат за 6 недель до истечения срока действия сертификата.
2) Чтобы обновить сертификат, клиент должен иметь возможность для подключения контроллеров домена и серверов CA через RPC / DCOM.
3) убедитесь, что у клиентов есть разрешения на чтение, регистрацию и автоматическую регистрацию для целевого шаблона сертификата.
Итак, ваши настройки верны. Но с помощью какого триггера ваш клиент проверяет, находится ли сертификат в течение периода его продления (менее 6 недель с момента истечения срока действия, как показано выше)? Это запланированная задача, которая запускается после входа в систему и каждые восемь часов после этого. См. Планировщик задач Microsoft \ Windows \ CertificateServicesClient \ UserTask . В разделе «Действие» вы увидите Custom Handler, из которого вы не сможете получить более подробную информацию. Это выполняется dimsjob.dll , как видно из вывода schtasks / query / XML / TN "\ Microsoft \ Windows \ CertificateServicesClient \ UserTask"