înregistrare Logare
Puncte:0
Daniel avatar Server

Înregistrare automată cu aprobarea managerului, dar aprobare automată pentru reînscriere

drapel in
Daniel

Am un șablon de certificat (înscris automat) care trebuie să necesite aprobarea managerului.

Pentru a realiza acest lucru, am verificat Aprobarea managerului de certificate CA caseta de selectare în Cerințe de emitere fila.

introduceți descrierea imaginii aici introduceți descrierea imaginii aici

Computerul se înregistrează automat și certificatul este plasat pe In asteptarea coada pe CA.

Dorința mea este ca odată ce certificatul în așteptare a fost aprobat manual, certificatele să fie reînnoite sau actualizate dacă versiunea majoră a șablonului crește, fără aprobarea managerului. Dar nu pot face asta să funcționeze.

Când incrementez versiunea majoră a certificatului, cererea nu este niciodată emisă automat, ci din nou introdusă în In asteptarea coadă pentru emiterea manuală.

Am încercat să schimb Aceleași criterii ca și pentru înscriere la Certificat existent valabil dar asta nu a schimbat nimic.

Pentru a-mi accelera depanarea, am folosit certutil -pulse pentru a începe procesul de auto-înscriere pe computerul solicitant.

Editați | ×:

Politica de înregistrare automată pe serverul afectat:

introduceți descrierea imaginii aici

100
0 + 0
pki
drapel br
garethTheRed
Ce este pe fila __Subiect__?
0
Răspunde
Daniel avatar
drapel in
Daniel
@garethTheRed Am adăugat fila subiect.
0
Răspunde
drapel br
garethTheRed
Și politica de grup PKI?
0
Răspunde
drapel cn
Crypt32
Sună ca o eroare în ADCS sau documentație MSFT incorectă. În acest moment, nu poți realiza ceea ce încerci să faci. Mă adresez Microsoft în acest sens pentru a obține explicații.
0
Răspunde
Daniel avatar
drapel in
Daniel
@garethTheRed Am adăugat politica de înscriere automată. Presupun că asta ai vrut să spui prin politica de grup PKI?
0
Răspunde
drapel br
garethTheRed
Sincer să fiu, arată identic cu setarea pe care l-am folosit în trecut. Cu toate acestea, nu am încercat să incrementez versiunea majoră a șablonului și am testat. În funcție de ceea ce ați văzut și de ceea ce a spus @Crypt32, este puțin probabil să reușesc!
0
Răspunde
drapel br
garethTheRed
Un gând - nu ați setat perioada de valabilitate la nimic ridicol de scurtă în scopul de a accelera testarea, nu-i așa? (re)înregistrarea automată eșuează atunci când emiteți certificate pentru mai puțin de 8 ore sau cam asa ceva - de obicei o setez la 24 de ore chiar și pentru testare.
0
Răspunde
Daniel avatar
drapel in
Daniel
Am setat la o oră. O voi seta la 24 de ore și voi aștepta o zi.
0
Răspunde
Daniel avatar
drapel in
Daniel
Astăzi verific CA și reînnoirile certificatelor sunt încă setate la starea de așteptare.
0
Răspunde
drapel cn
Crypt32
@Daniel, așa cum am spus, fie este o eroare de documentare, fie o eroare ADCS CA. Nu este vina ta (nu configurarea greșită). Documentele spun că „certificat valid existent” înlocuiește caseta de validare pentru aprobarea managerului CA. Am reușit să reproșez și comportamentul contrazice cu documentele și am deschis un caz de asistență cu MSFT.
1
Răspunde
Daniel avatar
drapel in
Daniel
Doar actualizez postarea. Apreciază efortul tău. Vă rog să-mi spuneți rezultatul. Mulțumiri!
0
Răspunde
Puncte:2
avatar Server
drapel cn
Crypt32

Am deschis un caz de asistență cu Microsoft în numele OP (TrackingID#2201120040008993) despre problemă. După cum am arătat în comentarii, configurația OP-ului este corectă și am putut să reproșez în mediul meu. Biletul de asistență este deschis conform protocolului [MS-WCCE], §3.2.1.4.2.1.4.2.2 specificație.

Asistența Microsoft a putut confirma problema. O investigație ulterioară a descoperit că Microsoft CA implementează [MS-WCCE] §3.2.2.6.2.1.4.5.7 cerința de a ignora CT_FLAG_PEND_ALL_REQUESTS steag când CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLMENT în mod corespunzător. Cu toate acestea, investigații suplimentare au constatat că Microsoft CA într-una dintre rutinele interne de procesare a cererilor eșuează Nume de reînnoire greșit care încearcă să lege numele UPN solicitantului de cel stocat în Active Directory. Cu toate acestea, deoarece este un șablon de computer, UPN-ul nu este disponibil (de unde eroarea) și procedurile de reînnoire sunt întrerupte și procedurile de solicitare inițială executate: cererea plasată în cererile în așteptare. Și această condiție obligatorie UPN nu este documentată nicăieri.

Am configurat același scenariu pentru șablonul de utilizator (care notează UPN-ul în certificat) și a funcționat bine: cererea inițială a fost plasată în cererile în așteptare, reînnoirea a fost reînnoită automat și a emis certificatul.

În starea actuală, opțiunea „certificat existent valid” funcționează numai pentru șabloanele de utilizator și nu funcționează pentru șabloanele de computer. Nu există o soluție disponibilă.

Continui conversațiile cu asistența Microsoft și voi actualiza acest răspuns când vor fi disponibile informații noi.

HTH

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.