Inicialização lenta do controlador de domínio após a instalação da Autoridade de Certificação Corporativa no Windows 2008 R2

2

Como quero testar o SSL no domínio local, instalei o Enterprise Certificate Authority com o uso de este tutorial .

A instalação foi bem sucedida e após a instalação eu reiniciei o DC. Ao iniciar, leva muito tempo para passar pela tela de informações "Setting User Settings" e, quando olho no Gerenciador do Servidor após a inicialização, vejo vários tipos de avisos devido ao atraso e um erro na CA:

ID: 91 - Não foi possível conectar-se ao Active Directory. Os Serviços de Certificados do Active Directory tentam novamente quando o processamento exige acesso ao Active Directory.

Alguém entende o que eu poderia ter perdido o que está causando o atraso de start-up agora? Todas as dicas para solucionar isso são bem-vindas.

Mais informações: Acabei de seguir todas as dicas do artigo . Tudo estava bem, mas na parte "Confirmar permissões em recipientes e objetos essenciais do AD DS", faltam 2 pastas mencionadas no nó de serviços de chave pública:

  1. Objeto NTAuthCertificates
  2. Contêineres Computadores do Domínio e Usuários do Domínio.

Não tenho certeza se isso é um problema, apenas pensei em mencioná-lo.

Mais uma vez mais informações: Eu encontrei outro aviso: O serviço WinRM não conseguiu criar os seguintes SPNs

Eu consertei isso no ADSIEDIT.MSC dando ao Serviço de Rede os direitos corretos no CN. Depois disso, o servidor começou mais rápido. (tem que reiniciar mais e tentar corrigir mais avisos)

Outra edição: Fiz mais uma reinicialização e o atraso voltou, então a correção do SPN não corrigiu o problema de inicialização lenta

Outra edição: Começando o conselho para construir um servidor DC / DNS secundário para ver se isso ajuda na inicialização lenta. A boa notícia ajudará com certeza para muitas outras coisas!

Última edição! O conselho de Ryan foi SPOT! Adicionar o segundo servidor DC / DNS fez com que esse problema desaparecesse de uma vez!

    
por Joost Verdaasdonk 26.07.2012 / 00:35

1 resposta

4

Bem, dadas as informações que você postou, dá-me a dica de que o DC está tentando acessar o Active Directory durante a inicialização, mas não pode, porque é o único DC, então o Active Directory ainda não começou. Eu apostaria que os problemas desaparecem se você adicionar outro CD ao domínio.

O erro WinRM é apenas um efeito colateral ... novamente, não é possível registrar um SPN porque o Active Directory é necessário para registrar um SPN e o Active Directory ainda não está pronto.

    
por 26.07.2012 / 02:05