Недавно мы заметили, что следующие ошибки ежедневно происходят в наших журналах событий для серверов в нашей демилитаризованной зоне:
CertificateServicesClient-CertEnroll EventID 82
Certificate enrollment for Local system failed in authentication to all urls for enrollment
server associated with policy id: {00B9F3A7-...-50628BC5AE7E} (The RPC server is
unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Failed to enroll for
template: Machine
CertificateServicesClient-CertEnroll EventID 13
Certificate enrollment for Local system failed to enroll for a Machine certificate with
request ID N/A from NY-CA01.company.com\Company Internal Root CA (d0 7a ... f3 e4 70).
CertificateServicesClient-AutoEnrollment EventID 6
Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is
unavailable.
Я подозреваю, что это проблема брандмауэра, и попытался использовать certutil.exe инструмент для проверки подключения к центрам сертификации, но при запуске команды -TCAInfo я получил следующее сообщение об ошибке:
PS C:\windows\system32> certutil -tcainfo
================================================================
CA Name: Company Internal Root CA
Machine Name: NY-CA01.Company.com
DS Location: CN=Company Internal Root CA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=Company,DC=com
Cert DN: CN=CompanyInternal Root CA, DC=Company, DC=com
RegConnectRegistry/RegOpenKeyEx: The network path was not found. 0x80070035 (WIN32: 53 ERROR_BAD_NETPATH)
CA Registry Validity Period: ? ???
NotAfter: 10/11/2031 7:05 PM
Connecting to NY-CA01.Company.com\Company Internal Root CA ...
Server "Company Internal Root CA" ICertRequest2 interface is alive (47ms)
...
================================================================
NY-CA01.Company.com\Company Internal Root CA:
Enterprise Root CA
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800
b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Online
Похоже, что центр сертификации находится в сети и работает, но есть Сетевой путь не найден. ошибка и Срок действия реестра ЦС:? ??? неизвестно.
Я подтвердил это https://ny-ca01.company.com/certsrv/ доступен с серверов DMZ, поэтому какие еще порты необходимы для обновления сертификатов?
я нашел Эта статья что указывает на 53 ERROR_BAD_NETPATH сообщение об ошибке может иметь какое-то отношение к службе удаленного реестра. Я проверил, что служба запущена (нет ошибок от серверов, отличных от DMZ), но внутри DMZ вызывает Net Use \\RemoteMachine\Admin$ не удалось выполнить ту же ошибку «Сетевой путь не найден».
Проверяя правила брандмауэра Fortinet, мы уже разрешили HTTPS на порте 443, и DCE-RPC на портах 135, но мы не разрешили SMB для доступа CIFS / SAMBA через порт 445.
После добавления правила для доступа SMB из DMZ к нашим серверам CA вышеуказанные ошибки больше не возникают при запуске certutil -TCAInfo.