Promoção do controlador de domínio e registro automático de certificado

1

Eu tenho este domínio AD em que uma Autoridade de Certificação Raiz Corporativa do Windows Server 2003 SP2 está operacional e o registro automático de certificado está habilitado para usuários e computadores; tudo bem e bem, todos os computadores que fazem parte do domínio recebem automaticamente um certificado de computador emitido. Há também dois controladores de domínio do Windows Server 2003 SP2, que em vez disso receberam um certificado de controlador de domínio; tudo bem e bem, de novo.

Em seguida, obtive um servidor membro do Windows Server 2008 R2 SP1, que já inscreveu automaticamente um certificado de computador e o promoveu ao controlador de domínio. Ele não obteve nenhum novo após a promoção, e nenhum erro foi registrado em qualquer lugar: parece que simplesmente decidiu que, já tendo um certificado de trabalho, ele não precisava de um novo.

O que eu quero saber é:

  • Existe alguma diferença entre o modelo de certificado de computador e o de controlador de domínio?
  • Faz alguma diferença se um controlador de domínio tiver um dos formadores em vez de um dos latters?
  • Como posso forçar esse controlador de domínio a registrar automaticamente um novo certificado do tipo correto para sua função?

Editar:

Eu tentei revogar o certificado existente e reinicializar o novo DC; nada aconteceu. Em seguida, removi o certificado existente do repositório local do DC e o reiniciei novamente; nada aconteceu desta vez também.

Editar:

Liguei o registro de registro automático e descobri que há erros ... quando o novo controlador de domínio tenta registrar um certificado, ele registra vários erros:

  • ID do Evento 56: "A inscrição de certificado para o sistema local para o modelo DomainController não foi executada porque este modelo foi transferido."
  • ID de evento 46: "A inscrição de certificado para o sistema local não pôde inscrever-se em um certificado de máquina. O acesso de leitura ou inscrição não é permitido para este modelo".
  • ID do evento 47: "A inscrição de certificado para o sistema local não pôde inscrever-se em um certificado DirectoryEmailReplication. Não foi possível encontrar uma autoridade de certificação válida para emitir esse modelo."
  • ID do evento 47: "A inscrição de certificado para o sistema local não pôde inscrever-se em um certificado DomainControllerAuthentication. Não foi possível encontrar uma autoridade de certificação válida para emitir esse modelo."
  • ID do evento 47: "A inscrição de certificado para o sistema local não pôde inscrever-se em um certificado KerberosAuthentication. Não foi possível encontrar uma autoridade de certificação válida para emitir esse modelo."
por Massimo 21.07.2011 / 15:42

2 respostas

1

Tente certutil -pulse - isso deve verificar os modelos nos quais o sistema tem permissão e registrá-los. Não deverá ter problemas em obter o certificado, desde que não haja nada de louco nas configurações de permissões no modelo.

Você definitivamente desejará que seus DCs tenham um certificado no estilo Controlador de domínio ( Domain Controller é o antigo; Domain Controller Authentication , em seguida, Kerberos Authentication o substituem; se sua autoridade de certificação estiver executando a edição corporativa, considere mudar para o novo modelo Kerberos) - enquanto muitas das funções que ele satisfaz serão tratadas por um certificado de computador, algumas das coisas específicas do DC, como a autenticação de smart card, o ouvinte LDAP / SSL (acredito?), e com o mais recente O certificado Kerberos, validação strong do KDC, precisa do certificado especial.

    
por 21.07.2011 / 16:52
0

Você tentou remover o certificado do próprio servidor, em vez de simplesmente publicar a revogação na lista de revogação da CA? Em seguida, o servidor se inscrever (solicitar um certificado) novamente?

Veja algumas informações sobre os certificados: link

    
por 21.07.2011 / 16:25