Назад | Перейти на главную страницу

Повышение роли контроллера домена и автоматическая подача заявок на сертификат

У меня есть домен AD, в котором работает корпоративный корневой центр сертификации Windows Server 2003 SP2 и автоматическая подача сертификатов включена как для пользователей, так и для компьютеров; Все в порядке, каждый компьютер, присоединенный к домену, автоматически получает сертификат компьютера. Есть также два контроллера домена Windows Server 2003 SP2, которые вместо этого получили сертификат контроллера домена; все хорошо и снова.

Затем я получил рядовой сервер Windows Server 2008 R2 SP1, который уже автоматически зарегистрировал сертификат компьютера, и повысил его до контроллера домена. После акции не получил ни одного нового, и нигде не регистрируются ошибки: похоже, он просто решил, что, имея уже рабочий сертификат, новый ему не нужен.

Я хочу знать следующее:

Есть ли разница между шаблоном сертификата компьютера и шаблоном контроллера домена?
Имеет ли значение, если у контроллера домена один из первых вместо одного из последних?
Как я могу заставить этот контроллер домена автоматически регистрировать новый сертификат правильного типа для его роли?

Редактировать:

Я попытался отозвать существующий сертификат и перезагрузить новый DC; ничего не произошло. Затем я удалил существующий сертификат из локального хранилища DC и перезагрузил его снова; и на этот раз ничего не случилось.

Редактировать:

Я включил ведение журнала автоматической регистрации и обнаружил, что являются некоторые ошибки ... когда новый контроллер домена пытается зарегистрировать сертификат, он регистрирует множество ошибок:

Событие с кодом 56: «Регистрация сертификата для локальной системы для шаблона DomainController не была выполнена, так как этот шаблон был передан с помощью suerseded».
Событие с кодом 46: «При регистрации сертификата для локальной системы не удалось подать заявку на сертификат компьютера. Для этого шаблона запрещен доступ для чтения или регистрации».
Идентификатор события 47: «При подаче заявки на сертификат для локальной системы не удалось подать заявку на сертификат DirectoryEmailReplication. Не удалось найти действующий центр сертификации для выдачи этого шаблона».
Идентификатор события 47: «При подаче заявки на сертификат для локальной системы не удалось подать заявку на сертификат DomainControllerAuthentication. Не удалось найти действующий центр сертификации для выдачи этого шаблона».
Идентификатор события 47: «При регистрации сертификата для локальной системы не удалось подать заявку на сертификат KerberosAuthentication. Не удалось найти действующий центр сертификации для выдачи этого шаблона».

Пытаться certutil -pulse - это должно проверить наличие шаблонов, на которые система имеет разрешение, и зарегистрировать их. У него не должно возникнуть проблем с получением сертификата, если в настройках разрешений в шаблоне не происходит ничего сумасшедшего.

Вы обязательно захотите, чтобы у ваших контроллеров домена был сертификат в стиле контроллера домена (Domain Controller это старый; Domain Controller Authentication затем Kerberos Authentication заменить его; Если ваш ЦС работает под управлением корпоративной версии, рассмотрите возможность перехода на более новый шаблон Kerberos) - в то время как многие функции, которые он удовлетворяет, будут обрабатываться сертификатом компьютера, некоторые из специфических для DC вещей, таких как проверка подлинности смарт-карты, LDAP / Слушатель SSL (я полагаю?), И с новым сертификатом Kerberos, строгой проверкой KDC, нужен специальный сертификат.

Вы пытались удалить сертификат с самого сервера вместо того, чтобы просто опубликовать отзыв в списке отзыва в ЦС? Затем должен ли сервер снова зарегистрироваться (запросить сертификат)?

Вот некоторая информация о сертификатах: http://technet.microsoft.com/en-us/library/cc787009(WS.10).aspx