A solicitação de certificados falha no site diferente

1

Não sei bem por onde começar a procurar

Ao solicitar um certificado, um servidor sempre recebe a mensagem de erro "Você não pode solicitar um certificado neste momento porque nenhum tipo de certificado está disponível". Em seguida, para cada certificado, o erro é "As permissões no modelo de certificado não permitem que o usuário atual se inscreva nesse tipo de certificado".

Nosso servidor de autoridade de certificação reside em um site do AD e um servidor nesse site pode solicitar certificados da autoridade de certificação. Outro servidor em um site diferente (mesmo domínio) recebe o erro, embora outros servidores em sites diferentes funcionem bem

O mesmo usuário em uma máquina onde os certificados podem ser obtidos é também aquele que tem um problema na máquina problemática. Os administradores de domínio têm direitos totais em pelo menos um modelo, e meu usuário administrador é um administrador de domínio

Qualquer ideia seria muito apreciada para saber onde eu deveria olhar em seguida. Obrigado

    
por marcwenger 23.12.2011 / 01:04

2 respostas

2

Bem, a mensagem indica que são permissões de usuário, e não membros do site, causando um problema. Compare as permissões no modelo de certificado com a conta de usuário na qual você está tentando solicitar o certificado.

Se não tivesse sido uma mensagem sobre permissões, eu teria assumido que havia um ótimo firewall entre sites, causando falhas de conectividade RPC.

Um cliente pesquisa os certificados para os quais pode se inscrever (auto /) no nível da floresta, usa isso para encontrar modelos para os quais tem permissões Inscrever ou Registrar automaticamente e, em seguida, pergunta a uma autoridade de certificação se pode ter um desses certificados tipos.

Cada autoridade de certificação tem um subconjunto dessa lista de modelos que pode emitir e tem outro nível de permissões aplicado à própria autoridade de certificação, portanto, você precisa de permissões para o modelo e na CA Para concluir uma solicitação de assinatura de certificado. Se você tiver várias CAs, precisará verificar as permissões (e os certificados autorizados a serem emitidos) em cada uma delas.

Portanto, versão curta : saiba como as permissões do usuário do problema são diferentes das permissões do usuário de trabalho em termos de {modelo nas permissões do AD} e {permissões da CA}. Se eles não devem ser diferentes de alguma forma (ou seja, o mesmo usuário / duplicado não funciona no Site B), eu concordo com o Shane sobre um possível problema do Repl.

    
por 23.12.2011 / 02:25
1

A replicação está funcionando (e atual) entre os sites?

As informações atualizadas do modelo de certificado podem não ter chegado ao outro site ainda.

    
por 23.12.2011 / 02:06