在可信林场景中设置CES和CEP时出错
我有两个AD域和双向森林信任。我希望DomainB中的计算机帐户从DomainA中的两层Windows注册计算机客户端证书。为此,我在颁发CA中配置了证书证书模板,并授予DomainB中的计算机读取和注册权限。
我根据Microsoft在DomainA中为证书注册策略Web和证书注册Web服务配置了颁发CA。CEP和CES使用带有SPN的域服务帐户使用Kerberos身份验证,并为主机和RPCSS配置Kerberos委托。服务帐户是IISUsers组的成员,具有颁发CA的请求证书权限。
为了进行测试,我使用DomainB Win10计算机上的Cert Manager来使用Cert手动配置注册策略,但是得到了"<#>Access被远程端点
然后,如果我试图在DomainB中为计算机请求一个新的证书,我可以看到颁发的CA,但是它说即使计算机具有读取和注册权限,<#>Certificate类型仍然不可用。日志记录除了可以看到证书模板之外,什么也不告诉我。
知道我在这里做错什么了吗?这应该可以使用Kerberos auth,对吗?
回答 1
Server Fault用户
发布于 2023-02-25 21:53:19
我终于弄明白了。我在这里列出的解决方案是为了帮助未来的其他人。
工作的配置是使用应用池标识(而不是带有SPN和Kerberos委托的AD服务帐户)在CA上安装CES和CEP。这里不需要它,因为CES和CEP都安装在CA上。如果角色位于不同的服务器上的话,情况可能会是这样。CES和CEP都配置为使用Kerberos auth。此配置允许DomainB中的计算机验证和使用CEP。
配置好后,DomainB中的计算机可以连接到CEP并查看模板,但是得到了DS错误- 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)从服务器返回了一个引用。0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)。使用certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS在CA上启用LDAP推荐支持,然后重新启动CA服务并运行IISRESET。
https://serverfault.com/questions/1123756
复制相似问题
腾讯云开发者
