服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 域控制器不自动注册新的2016 CA的Kerberos证书
Intereting Posts
如何添加一个ftp客户端file upload选项到一个网站(build筑师或打印机) 从Windows Storage Server 2003升级到2008 R2 Standard非常缓慢 未能获得D-Bus连接:不允许操作 〜/ Maildir vs / var / mail用于电子邮件存储 如何设置scp_if_ssh = True为一个组? 网站分析软件 Linux硬盘修复工具 Oracle虚拟服务器OEL虚拟机无法启动 – 内核在CPU识别上发生混乱 跨机器完整备份解决scheme 阿帕奇只返回429机器人,为特定的url 无法在Windows 2008上使用dynamic和gpt部分扩展现有数据磁盘2TB Windows应用程序体验服务 Rsync失败,“文件太大” PCI Express以太网交换机:有什么意义? 如何擦除SSD来恢复Linux中的工厂性能?

域控制器不自动注册新的2016 CA的Kerberos证书

我将Windows 2008 R2 DC和企业根CA迁移到新的Windows 2016 DC和CA. 一切似乎都很稳定,除了我有几个RODC和可写入的DC在CA中显示“失败请求”以便自动注册Kerberos身份validation证书

错误是:

事件ID:13

本地系统的证书注册未能从CAServer.domain.com \ domain-CAServer-CA(RPC服务器不可用。0x800706ba(WIN32:1722))注册KerberosAuthentication证书,请求ID为1052。

随着:

事件ID:6

本地系统的自动证书注册失败(0x800706ba)RPC服务器不可用。

所有其他自动注册从这些DC工作,并且大多数DC不会出现这种行为,包括KerberosAuthentication证书在内的所有证书都可以正常注册。

什么是导致这些特定的客户端失败自动注册这个KerberosAuthentication证书?

在研究完这个并尝试了多个CA certutil命令之后,我将直接跳到为我工作的实际答案:

大多数情况下,像“RPC服务器不可用”可以归因于networking连接问题或防火墙规则。

但是,在我的情况下,有问题的数据中心没有运行Windows防火墙。 但事实certificate,这是非常重要的问题。 有人决定,而不是closures防火墙(不是最好的做法btw,但我离题)在networking和共享中心,而是禁用Windows防火墙服务本身。

这实际上是一个坏主意,在这里讨论: 我如何备份我的build议不禁用Windows防火墙服务?

回答:

  1. 在有问题的DC没有获得证书启动Windows Firewall服务并将其设置为自动启动。
  2. 如果在您的环境中需要(可能由于服务被某人阻止),请根据需要closures“ Control Panel, System and Security, Windows Firewall的“Windows防火墙” Control Panel, System and Security, Windows Firewall “域名networking的Control Panel, System and Security, Windows Firewall ”等。
  3. validation该DC的辅助DNS服务器是否通过环回地址指向自己。 在我的情况下,我有一些这些不是,他们的主要目前无法通过广域网访问。
  4. 在有问题的DC上运行certutil -pulse
  5. 再次检查应用程序事件日志(应显示注册成功)