Вопросы Теги

Контроллер домена не регистрирует автоматически сертификат Kerberos из нового центра сертификации 2016

Я перенес Windows 2008 R2 DC и корпоративный корневой центр сертификации на новый контроллер домена и центр сертификации Windows 2016. Все выглядело стабильно, за исключением того, что у меня было несколько контроллеров домена только для чтения и контроллеров домена с возможностью записи, которые показывали " Сертификат KerberosAuthentication с идентификатором запроса 1052 от CAServer.domain.com \ domain-CAServer-CA (Сервер RPC недоступен. 0x800706ba (WIN32: 1722)).

Вместе с:

Идентификатор события: 6

Ошибка автоматической регистрации сертификата для локальной системы (0x800706ba) Сервер RPC недоступен.

Все остальные автоматические регистрации работают с этих контроллеров домена, и большинство контроллеров домена не демонстрируют такого поведения, регистрация отлично подходит для всех сертификатов, включая сертификат аутентификации Kerberos.

Причина этого определенные клиенты не смогут автоматически зарегистрировать только этот сертификат аутентификации Kerberos?

1
задан 6 June 2017 в 22:07
1 ответ

Изучив это и попробовав несколько команд CA certutil среди прочего, я сразу перейду к фактическому ответу, который сработал для меня:

В большинстве случаев что-то вроде "RPC-сервер недоступен "может быть связано с проблемами подключения к сети или правилами брандмауэра.

Однако в моем случае на контроллерах домена, на которых возникли проблемы, не был запущен брандмауэр Windows. НО оказывается, что это была проблема. Кто-то решил вместо того, чтобы отключить брандмауэр (кстати, это не лучшая практика, но я отвлекся) в Центре управления сетями и общим доступом, они вместо этого отключили саму службу брандмауэра Windows.

На самом деле это плохая идея, как обсуждается здесь: Как я могу сделать резервную копию моей рекомендации НЕ отключать службу брандмауэра Windows?

Ответ:

  1. Если проблемный контроллер домена не получает сертификат, запустите службу Брандмауэр Windows и установите для нее автоматический запуск.
  2. Если это требуется в вашей среде (вероятно, поскольку служба была кем-то остановлена), отключите брандмауэр Windows в Панель управления, Система и безопасность, Брандмауэр Windows для доменной сети и т. Д. По мере необходимости.
  3. Убедитесь, что вторичный DNS-сервер для этого контроллера домена указывает на себя через адрес обратной связи. В моем случае у меня было несколько из них, которых не было, и их основной в данный момент был недоступен через WAN.
  4. запустите certutil -pulse на проблемном DC
  5. Проверьте приложение журнал событий снова (должен показать, что регистрация в порядке)
1
ответ дан 3 December 2019 в 23:29

Теги

Похожие вопросы