UncleFather » 28 янв 2012 17:56, Сб
Проблема:
Имеется домен Windows 2003 Server Standart Russian SP2. Установлены два контроллера домена. На каждом из них установлен центр сертификации. На одном основной, на втором - вспомогательный.
При запросе сертификата компьютера с любого другого сервера, кроме сервера 1 получаем ошибку
"у вас нет разрешения на запрос сертификатов с доступных цс"
Причем, ошибка возникает только тогда, когда запрашиваем сертификат у основного ЦС. Если запрашивать сертификат у вспомогательного ЦС - выдается без проблем.
Так же не замечено проблем с выдачей сертификата пользователя с любого ЦС.
Веб-интерфейс на обоих ЦС работает нормально, службы запущены.
Решение:
-
В Active Directory в группу CERTSVC_DCOM_ACCESS добавить всех необходимых пользователей и компьютеры. По-умолчанию, серверы домена в эту группу не входят, поэтому их нужно добавлять вручную.
-
Выполнить следующий код на серверах ЦС:
Код: Выделить всё
certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
NET stop certsvc
NET start certsvc
-
Проверить права на объект "CERTSVC" в оснастке "Службы компонентов" - "DCOM"
http://support.microsoft.com/kb/903220
[b]Проблема:[/b]
Имеется домен Windows 2003 Server Standart Russian SP2. Установлены два контроллера домена. На каждом из них установлен центр сертификации. На одном основной, на втором - вспомогательный.
При запросе сертификата компьютера с любого другого сервера, кроме сервера 1 получаем ошибку [quote]"у вас нет разрешения на запрос сертификатов с доступных цс"[/quote]
Причем, ошибка возникает только тогда, когда запрашиваем сертификат у основного ЦС. Если запрашивать сертификат у вспомогательного ЦС - выдается без проблем.
Так же не замечено проблем с выдачей сертификата пользователя с любого ЦС.
Веб-интерфейс на обоих ЦС работает нормально, службы запущены.
[b]Решение:[/b]
[list=1]
[*] В Active Directory в группу [i][b]CERTSVC_DCOM_ACCESS [/b][/i] добавить всех необходимых пользователей и компьютеры. По-умолчанию, серверы домена в эту группу не входят, поэтому их нужно добавлять вручную.
[*] Выполнить следующий код на серверах ЦС:
[code]certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG
NET stop certsvc
NET start certsvc[/code]
[*] Проверить права на объект "CERTSVC" в оснастке "Службы компонентов" - "DCOM" [/list]
[url]http://support.microsoft.com/kb/903220[/url]