Регистрация Войти
Рейтинг:0
Roman avatar Server

Как настроить службы сертификации AD, чтобы обойти эту ошибку WS_E_ENDPOINT_ACCESS_DENIED?

флаг us
Roman

Я следовал инструкциям тестовой лаборатории Microsoft по настройке двухуровневой иерархии ЦС. У меня есть веб-служба политики регистрации сертификатов (CEP), установленная на том же компьютере, что и выдающий центр сертификации (CA). И веб-служба регистрации сертификатов (CES), установленная на отдельной машине. Все три из одного домена: a.local. У меня есть serverB1 в другом домене b.local, который получил сертификат сервера. В инструкциях мне было сказано имитировать обновление сертификата, выполнив следующие две команды: 1. certutil -f -policyserver * -policycache удалить. Вывод:

Каталог кэша: C:\ProgramData\Microsoft\Windows\X509Enrollment

Имя: Сертификаты сервера SSL-TLS (по умолчанию)
Идентификатор: {B85DA5F6-850F-4C44-A80C-F60747D4DD77}
URL: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
  Кэш-файл существует: 48b23e1bb48a2bf09ce15b2526ef67eb32fe1251
    1662 (5730) байт
    URL: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
    Последнее обновление 18.02.2022 16:36
    Удаление записи кэша!

Потерянный файл кэша:
  Файл кеша существует: 83b7376cb9815a475c54a66bd64eb8bfd31d6005
    1662 (5730) байт
    URL: https://IssuingCA.a.local/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
    Последнее обновление 18.02.2022 13:38
    Удаление записи кэша!

CertUtil: команда -PolicyCache выполнена успешно.
  1. certreq -machine -q -enroll -cert <thumbprint> обновить конечно, с заменой правильного отпечатка пальца. Вывод:
https://ces1.a.local/IssuingCA_CES_Certificate/service.svc/CES
    Запрос сертификата не может быть отправлен в центр сертификации.
    Доступ был отклонен удаленной конечной точкой. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
Процессор запроса сертификата: удаленная конечная точка отказала в доступе. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)

Пул приложений на CES делегирован пользователю a\ces. CEP просто использовал идентификатор пула приложений по умолчанию. Я также попытался изменить это на a\ces (и создать соответствующий SPN), но это не имело никакого значения. Я меняю это обратно. Любые идеи, что здесь происходит не так? Я очень новичок во всем этом. Просто следуя инструкциям.

240
0 + 0
iis
флаг cn
Crypt32
Вы настроили делегирование учетных данных для идентификатора пула приложений CES?
0
Ответить
Roman avatar
флаг us
Roman
Как я уже сказал, да, пул приложений на CES делегирован учетной записи пользователя домена.
0
Ответить
флаг cn
Crypt32
мой вопрос был другим: доверена ли ваша учетная запись пользователя домена для делегирования учетных данных?
0
Ответить
Roman avatar
флаг us
Roman
Да, свойства учетной записи домена (CES) были изменены на «доверять этому пользователю делегирование», «использовать любой протокол аутентификации» и для машины IssuingCA (которая также является сервером CES): HOST, rpcss. Спасибо.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.