Проблема с основным центром сертификации
Проблема:
Имеется домен Windows 2003 Server Standart Russian SP2. Установлены два контроллера домена. На каждом из них установлен центр сертификации. На одном основной, на втором - вспомогательный.
При запросе сертификата компьютера с любого другого сервера, кроме сервера 1 получаем ошибку
"у вас нет разрешения на запрос сертификатов с доступных цс"
Причем, ошибка возникает только тогда, когда запрашиваем сертификат у основного ЦС. Если запрашивать сертификат у вспомогательного ЦС - выдается без проблем.
Так же не замечено проблем с выдачей сертификата пользователя с любого ЦС.
Веб-интерфейс на обоих ЦС работает нормально, службы запущены.
Решение:
-
В Active Directory в группу CERTSVC_DCOM_ACCESS добавить всех необходимых пользователей и компьютеры. По-умолчанию, серверы домена в эту группу не входят, поэтому их нужно добавлять вручную.
-
Выполнить следующий код на серверах ЦС:
Код: Выделить всё
certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG NET stop certsvc NET start certsvc
-
Проверить права на объект "CERTSVC" в оснастке "Службы компонентов" - "DCOM"