înregistrare Logare
Puncte:0
Roman avatar Server

Cum se configurează AD Certificate Services pentru a depăși această eroare WS_E_ENDPOINT_ACCESS_DENIED?

drapel us
Roman

Am urmat instrucțiunile laboratorului de testare Microsoft pentru configurarea unei ierarhii CA pe două niveluri. Am serviciul web pentru politica de înregistrare a certificatelor (CEP) instalat pe aceeași mașină ca și autoritatea de certificare (CA) emitentă. Și Serviciul Web de înregistrare a certificatelor (CES) instalat pe o mașină separată. Toate cele trei din același domeniu: a.local. Am serverB1 într-un alt domeniu b.local care a primit un certificat de server. Instrucțiunile mi-au spus să simulez o reînnoire a certificatului rulând următoarele două comenzi 1. certutil -f -policyserver * -policycache delete. Ieșire:

Directorul cache: C:\ProgramData\Microsoft\Windows\X509Enrollment

Nume: certificate de server SSL-TLS (implicit)
Id: {B85DA5F6-850F-4C44-A80C-F60747D4DD77}
Url: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
  Fișierul cache există: 48b23e1bb48a2bf09ce15b2526ef67eb32fe1251
    1662 (5730) octeți
    Url: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
    Ultima actualizare 18.02.2022 16:36
    Se șterge intrarea în cache!

Fișierul cache orfan:
  Fișierul cache există: 83b7376cb9815a475c54a66bd64eb8bfd31d6005
    1662 (5730) octeți
    Url: https://IssuingCA.a.local/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
    Ultima actualizare 18.02.2022 13:38
    Se șterge intrarea în cache!

CertUtil: Comanda -PolicyCache a fost finalizată cu succes.
  1. certreq -machine -q -enroll -cert <amprenta> reînnoiește bineînțeles, cu amprenta corectă înlocuită. Ieșire:
https://ces1.a.local/IssuingCA_CES_Certificate/service.svc/CES
    Cererea de certificat nu a putut fi transmisă autorității de certificare.
    Accesul a fost refuzat de punctul final la distanță. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
Procesor de solicitare de certificat: Accesul a fost refuzat de punctul final la distanță. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)

Pool-ul de aplicații de pe CES este delegat unui utilizator a\ces. CEP doar folosea identitatea implicită a pool-ului de aplicații. Am încercat să schimb asta în a\ces (și să creez SPN-ul corespunzător), dar asta nu a făcut nicio diferență. Îl schimb înapoi. Aveți idei despre ce nu merge bine aici? Sunt foarte nou în toate astea. Doar urmând instrucțiunile.

240
0 + 0
iis
drapel cn
Crypt32
ați configurat delegarea acreditărilor pe identitatea pool-ului de aplicații CES?
0
Răspunde
Roman avatar
drapel us
Roman
După cum am spus, da, pool-ul de aplicații de pe CES este delegat unui cont de utilizator de domeniu.
0
Răspunde
drapel cn
Crypt32
întrebarea mea a fost diferită: contul dvs. de utilizator al domeniului este de încredere pentru delegarea acreditărilor?
0
Răspunde
Roman avatar
drapel us
Roman
Da, proprietățile contului de domeniu (CES) au fost modificate pentru „încredere în acest utilizator pentru delegare”, „utilizați orice protocol de autentificare”, iar pentru mașina IssuingCA (care este și serverul CES): HOST, rpcss. Mulțumesc.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.