DirectAccess客户会将工作站证书更新到现场吗?
我在一年前设置了MS DirectAccess,它需要configuration计算机证书自动注册。 第一个计算机证书将在一个月左右到期,现在我想知道如何将这些机器从未本地连接到域。
自动注册策略包括自动更新。 所以我的问题是,更新何时发生? 如果证书过期,那么在我看来,DA连接将停止工作,并且更新将无法进行。
我很抱歉,我在Windows(或任何地方)的证书知识是非常有限的。 谢谢
根据定义,DA机器连接到域。 他们把他们的GPO和所有其他东西都拿到现场。
只要您自动续约的时间足够长,以避免人员被locking(超过周末或计划中的公司停机时间),那么您应该是很好的。 以下是相关GPO设置的屏幕截图。
http://1.bp.blogspot.com/-IpzPPsHHQ14/UfLwHEeJE_I/AAAAAAAAASg/qUYAP3GRxtA/s1600/Auto+Enrollment.png
/编辑 – 啊哈。 我在看的PKI没有显示,但是我在网上find了。 以下是必须在“常规”选项卡上设置“证书模板”的部分:续订期。 上面的GPO设置很可能与自动注册和更新的目的无关。
如果您的当前证书是从模板构build而没有此设置的期望值,则需要编辑或创build新模板并重新颁发证书,但DA证书的默认值应该是相当明智的。
1)在证书到期之前,在证书模板中指定的时间范围内将触发证书更新。 如果失败,自动注册客户端将尝试定期更新证书。
在给定的例子中,自动注册将在证书到期之前的6周首先尝试续签证书。
2)为了更新证书,客户端必须能够通过RPC / DCOM连接域控制器和CA服务器。
3)确保客户端是否具有目标证书模板上的读取,注册和自动注册权限。
所以,你的设置是正确的。 但是,您的客户通过什么触发器来validation证书是否处于续订期限内(距离上述date不到6周)? 这是login后运行的计划任务,以后每隔8小时执行一次。 请参阅任务计划程序Microsoft\Windows\CertificateServicesClient\UserTask 。 在“操作”下,您将看到“自定义处理程序”,从中无法获取更多细节。 什么是运行dimsjob.dll可以从schtasks /query /XML /TN "\Microsoft\Windows\CertificateServicesClient\UserTask"的输出中看到