Os clientes do DirectAccess renovarão os certificados de estação de trabalho fora do local?

Navegue suas respostas
2

Eu configurei o MS DirectAccess há quase um ano, o que exigia a configuração do registro automático do certificado de computador. O primeiro certificado de computador expirará em cerca de um mês, e agora estou pensando como isso funcionará para máquinas que nunca estão conectadas localmente ao domínio.

A política de inscrição automática inclui renovação automática. Então minha pergunta é: quando a renovação acontece? Se um certificado expirar, então parece-me que a conexão DA parará de funcionar e a renovação não poderá ocorrer.

Peço desculpas, meu conhecimento de certificados no Windows (ou em qualquer lugar) é extremamente limitado. Obrigado

    
por Boden 05.01.2015 / 18:46

3 respostas

2

Máquinas DA, por definição, estão conectadas ao domínio. Eles recebem seus GPOs e todas as outras coisas exatamente como se estivessem no site.

Contanto que você tenha renovação automática com um período de tempo suficiente para que as pessoas não sejam bloqueadas (mais do que um fim de semana ou tempo de inatividade planejado da empresa), você deve ser bom. Aqui está uma captura de tela da configuração relevante do GPO.

link

/ Editar - Aha. O PKI que eu estava olhando não estava mostrando isso, mas eu achei online. Aqui está a parte do Modelo de Certificação que também deve ser definida: Período de Renovação, na guia Geral. É provável que a configuração do GPO acima seja irrelevante para fins de registro automático e renovação.

Se seus certificados atuais forem criados a partir de um modelo sem o valor desejado para essa configuração, você precisará editar ou criar um novo modelo e reeditar os certificados, mas os padrões de DA certs devem ser razoavelmente sensatos.

link

    
por 05.01.2015 / 19:24
3

1) a renovação do certificado será acionada no intervalo de tempo especificado no modelo de certificado antes da expiração do certificado. Se falhar, o cliente de inscrição automática tentará renovar o certificado periodicamente.

em um determinado exemplo, o registro automático fará a primeira tentativa de renovação do certificado seis semanas antes da expiração do certificado.

2) Para renovar o certificado, o cliente deve conseguir conectar controladores de domínio e servidores CA por meio de RPC / DCOM.

3) Verifique se os clientes têm permissões de leitura, registro e registro automático no modelo de certificado de destino.

    
por 05.01.2015 / 19:23
0

Então, você tem suas configurações corretas. Mas por qual acionador o seu cliente está verificando se o certificado está dentro do período de renovação (menos de 6 semanas após o vencimento, conforme mostrado acima)? Esta é uma tarefa agendada que é executada após o logon e a cada oito horas depois disso. Veja o agendador de tarefas, Microsoft\Windows\CertificateServicesClient\UserTask . Em ação, você verá o manipulador personalizado do qual você não pode obter muito mais detalhes. O que você faz é executar dimsjob.dll , como pode ser visto na saída de schtasks /query /XML /TN "\Microsoft\Windows\CertificateServicesClient\UserTask"

    
por 20.04.2016 / 13:00

Tags

ACEITAR declarações na política DROP Existe uma maneira de alterar o sinalizador Exigir Destino Explicito em uma lista a partir da linha de comando, com o Mailman?