У меня есть большое количество отдельных доменов Active Directory (~ 150), состоящих из 2 кластеров серверов, которые мне нужно настроить для входа со смарт-картой. Для этого мне придется вручную запросить ~ 300 сертификатов контроллера домена из-за моей среды. Излишне говорить, что это огромный объем ручных усилий, и я хочу написать сценарий.
Чтобы запросить сертификат контроллера домена, вам понадобятся три части информации: запрос сертификата, имя домена и GUID. Я могу сгенерировать всю эту информацию автоматически, но я не могу понять, как изменить GUID каждого контроллера домена в соответствии с сертификатом, за исключением прямого изменения ldap. Кто-нибудь знает, сработает ли это или я сломаю домен?
Нет, никогда не делай этого. GUID - это средство AD для поиска / идентификации контроллера домена для репликации. Важно, чтобы он оставался неизменным (а главное, уникальным для каждого DC).
Не могли бы вы настроить машины так, чтобы они доверяли центральному центру сертификации и автоматически выдавали сертификаты компьютеров?