Рейтинг:0

Как настроить службы сертификации AD, чтобы обойти эту ошибку WS_E_ENDPOINT_ACCESS_DENIED?

флаг us

Я следовал инструкциям тестовой лаборатории Microsoft по настройке двухуровневой иерархии ЦС. У меня есть веб-служба политики регистрации сертификатов (CEP), установленная на том же компьютере, что и выдающий центр сертификации (CA). И веб-служба регистрации сертификатов (CES), установленная на отдельной машине. Все три из одного домена: a.local. У меня есть serverB1 в другом домене b.local, который получил сертификат сервера. В инструкциях мне было сказано имитировать обновление сертификата, выполнив следующие две команды: 1. certutil -f -policyserver * -policycache удалить. Вывод:

Каталог кэша: C:\ProgramData\Microsoft\Windows\X509Enrollment

Имя: Сертификаты сервера SSL-TLS (по умолчанию)
Идентификатор: {B85DA5F6-850F-4C44-A80C-F60747D4DD77}
URL: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
  Кэш-файл существует: 48b23e1bb48a2bf09ce15b2526ef67eb32fe1251
    1662 (5730) байт
    URL: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
    Последнее обновление 18.02.2022 16:36
    Удаление записи кэша!

Потерянный файл кэша:
  Файл кеша существует: 83b7376cb9815a475c54a66bd64eb8bfd31d6005
    1662 (5730) байт
    URL: https://IssuingCA.a.local/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
    Последнее обновление 18.02.2022 13:38
    Удаление записи кэша!

CertUtil: команда -PolicyCache выполнена успешно.
  1. certreq -machine -q -enroll -cert <thumbprint> обновить конечно, с заменой правильного отпечатка пальца. Вывод:
https://ces1.a.local/IssuingCA_CES_Certificate/service.svc/CES
    Запрос сертификата не может быть отправлен в центр сертификации.
    Доступ был отклонен удаленной конечной точкой. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
Процессор запроса сертификата: удаленная конечная точка отказала в доступе. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)

Пул приложений на CES делегирован пользователю a\ces. CEP просто использовал идентификатор пула приложений по умолчанию. Я также попытался изменить это на a\ces (и создать соответствующий SPN), но это не имело никакого значения. Я меняю это обратно. Любые идеи, что здесь происходит не так? Я очень новичок во всем этом. Просто следуя инструкциям.

флаг cn
Вы настроили делегирование учетных данных для идентификатора пула приложений CES?
Roman avatar
флаг us
Как я уже сказал, да, пул приложений на CES делегирован учетной записи пользователя домена.
флаг cn
мой вопрос был другим: доверена ли ваша учетная запись пользователя домена для делегирования учетных данных?
Roman avatar
флаг us
Да, свойства учетной записи домена (CES) были изменены на «доверять этому пользователю делегирование», «использовать любой протокол аутентификации» и для машины IssuingCA (которая также является сервером CES): HOST, rpcss. Спасибо.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.