Будут ли клиенты DirectAccess обновлять сертификаты рабочих станций вне офиса?
Я установил MS DirectAccess почти год назад, что потребовало настройки автоматической регистрации сертификатов компьютера. Срок действия первого сертификата компьютера истекает примерно через месяц, и теперь мне интересно, как это будет работать для компьютеров, которые никогда не подключаются локально к домену.
Политика автоматической регистрации включает автоматическое продление. Итак, мой вопрос: когда состоится обновление? Если срок действия сертификата истечет, то мне кажется, что DA-соединение перестанет работать, и обновление не состоится.
Прошу прощения, мои знания о сертификатах на Windows (или где-либо еще) крайне ограничены. Спасибо
1) обновление сертификата будет инициировано в период времени, указанный в шаблоне сертификата, до истечения срока действия сертификата. В случае неудачи клиент с автоматической регистрацией будет периодически пытаться продлевать сертификат.
в данном примере при автоматической регистрации будет предпринята первая попытка продлить сертификат за 6 недель до истечения срока действия сертификата.
2) Чтобы обновить сертификат, клиент должен иметь возможность подключать контроллеры домена и сервер (ы) CA через RPC / DCOM.
3) убедитесь, что у клиентов есть разрешения на чтение, регистрацию и автоматическую регистрацию для целевого шаблона сертификата.
Машины DA по определению подключены к домену. Они получают свои GPO и все остальное точно так же, как если бы они были на месте.
Если у вас есть автоматическое продление с процентным периодом, достаточным для того, чтобы люди не были заблокированы (дольше, чем выходные или запланированный простой компании), у вас все должно быть хорошо. Вот снимок экрана с соответствующей настройкой GPO.
http://1.bp.blogspot.com/-IpzPPsHHQ14/UfLwHEeJE_I/AAAAAAAAASg/qUYAP3GRxtA/s1600/Auto+Enrollment.png
/ Edit - Ага. PKI, на которую я смотрел, этого не показывала, но я нашел ее в Интернете. Вот часть шаблона сертификата, которая также должна быть установлена: период продления на вкладке «Общие». Вероятно, что указанный выше параметр GPO не имеет значения для целей автоматической регистрации и продления.
Если ваши текущие сертификаты созданы на основе шаблона без желаемого значения для этого параметра, вам необходимо отредактировать или создать новый шаблон и повторно выпустить сертификаты, но значения по умолчанию для сертификатов DA должны быть достаточно разумными.
Итак, ваши настройки верны. Но с помощью какого триггера ваш клиент проверяет, находится ли сертификат в течение периода его продления (менее 6 недель с момента истечения срока действия, как показано выше)? Это запланированная задача, которая запускается после входа в систему и каждые восемь часов после этого. См. Планировщик задач, Microsoft\Windows\CertificateServicesClient\UserTask. В разделе «Действие» вы увидите пользовательский обработчик, из которого вы не сможете получить более подробную информацию. Что это работает dimsjob.dll как видно из вывода schtasks /query /XML /TN "\Microsoft\Windows\CertificateServicesClient\UserTask"