В среде было два центра сертификации Windows, которые публиковали сертификат компьютера через автоматическую регистрацию для проверки подлинности DirectAccess.
Центрам сертификации требовалось обновить операционную систему, поэтому были созданы два новых центра сертификации с тем же именем, что и у предыдущего центра сертификации, но с добавлением v2 к имени:
Предыдущие центры сертификации не были выведены из эксплуатации и остаются в сети.
Теперь, когда клиент подает заявку на сертификат автоматической регистрации, кажется, что он случайным образом получает сертификат от старого ЦС «ЦС клиента» или нового ЦС «ЦС клиента v2».
Аутентификация прямого доступа работает только в том случае, если сертификат получен из старого «ЦС клиента».
Проверка конфигурации удаленного доступа с прямым доступом позволяет увидеть, что он настроен на использование старого ЦС клиента, но, похоже, может выбрать только один сертификат.
Какими способами можно решить эту проблему?
Мои мысли о некоторых вариантах:
1) Есть ли способ обеспечить автоматическую регистрацию как из старого центра сертификации, так и из нового центра сертификации с помощью групповой политики или сценария?
2) Отключение ЦС клиента 1 и 2. Точка прямого доступа к сертификату ЦС клиента v2.
3) Разрешить прямой доступ к сертификатам от ЦС клиента или ЦС клиента v2, если это возможно. Не сразу видно, как этого можно было достичь.
4) Повторите процесс обновления таким образом, чтобы обеспечить доверие новому и старому сертификату для прямого доступа. Если возможно, не уверены, что может включать в себя этот процесс.
Примечание: я никоим образом не участвовал в процессе обновления CA, я смотрю на это постфактум.
Мое решение, которое я не уверен, было ли оно лучшим решением, заключалось в том, чтобы установить второй сервер прямого доступа и установить как старый, так и новый CA.
Это потребует некоторой работы во время начальной настройки и потребует создания новой группы компьютеров для нового центра сертификации. Я также создал новый шаблон сертификата для нового прямого доступа. С двумя центрами сертификации и серверами DirectAccess, а также с отдельными серверами прямого доступа, миграция происходила следующим образом.
Затем компьютер повторно подключится к новому серверу DirectAccess, используя новый сертификат / конфигурацию.