O controlador de domínio não registra automaticamente o certificado Kerberos do novo CA 2016

Question

O controlador de domínio não registra automaticamente o certificado Kerberos do novo CA 2016

#1 resposta do (1 votos)

1

Eu migrei um CA do Windows 2008 R2 e a CA raiz corporativa para um novo DC e CA do Windows 2016. Tudo parecia estável, exceto que eu tinha alguns RODCs e DC graváveis que mostravam "Solicitações com falha" na autoridade de certificação para o registro automático do certificado de autenticação Kerberos.

O erro é:

Event ID: 13

Certificate enrollment for Local system failed to enroll for a KerberosAuthentication certificate with request ID 1052 from CAServer.domain.com\domain-CAServer-CA (The RPC server is unavailable. 0x800706ba (WIN32: 1722)).

Junto com:

Event ID: 6

Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is unavailable.

Todas as outras inscrições automáticas funcionam a partir desses CDs, e a maioria dos CDs não exibe esse comportamento, inscrevendo-se bem para todos os certificados, incluindo o Certificado de Autenticação Kerberos.

O que está fazendo com que esses clientes em particular não registrem automaticamente este certificado de autenticação Kerberos?

kerberos certificate certificate-authority windows-server-2016

por TheCleaner 06.06.2017 / 21:07

1 resposta

Tags kerberos certificate certificate-authority windows-server-2016

Configurando um novo provedor de hospedagem para o meu site Backup híbrido do Cloudberry

score 1 · Answer 1

Depois de pesquisar isso e tentar vários comandos do certutil da CA entre outras coisas, vou direto para a resposta que funcionou para mim:

Na maioria das vezes, algo como "o servidor RPC não está disponível" pode ser atribuído a problemas de conectividade de rede ou regras de firewall.

No entanto, no meu caso, os controladores de domínio com problemas não estavam executando o Firewall do Windows. Mas acontece que esse foi o problema. Alguém havia decidido, em vez de desligar o firewall (não é best-practices btw, mas eu divago) na Central de Rede e Compartilhamento, eles desativaram o serviço Firewall do Windows em si.

Esta é realmente uma má idéia, conforme discutido aqui:

Resposta:

No DC problemático, não obtendo o certificado, inicie o serviço Windows Firewall e configure-o para Inicialização automática.
Se necessário em seu ambiente (provavelmente desde que o serviço foi interrompido por alguém), desative o Firewall do Windows em Control Panel, System and Security, Windows Firewall para a rede do Domínio, etc., conforme necessário.
Verifique se o servidor DNS secundário para esse DC está apontado para si próprio por meio do endereço de loopback. No meu caso, eu tinha alguns desses que não eram e a primária deles não estava acessível na WAN no momento.
execute certutil -pulse no DC problemático
Verifique o log de eventos do aplicativo novamente (deve mostrar inscrição ok)