Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le message de
news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je ne
peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message
de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.c2657d58c0e0d401.28949@teo.homeunix.net...
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je ne
peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message
de news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le message de
news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je ne
peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès avec
cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du
dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message
de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012
(-21468774422). La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le
message de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission délivre
le certificat (visible dans le dossier "Certificats délivrés" et
dans le magasin de l'ordinateur qui en a fait la demande.) mais,
quelques minutes plus tard, un élément s'ajout sur le serveur dans
le dosseir "Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
Philippe
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.c2657d58c0e0d401.28949@teo.homeunix.net...
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission délivre
le certificat (visible dans le dossier "Certificats délivrés" et
dans le magasin de l'ordinateur qui en a fait la demande.) mais,
quelques minutes plus tard, un élément s'ajout sur le serveur dans
le dosseir "Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le
message de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission délivre
le certificat (visible dans le dossier "Certificats délivrés" et
dans le magasin de l'ordinateur qui en a fait la demande.) mais,
quelques minutes plus tard, un élément s'ajout sur le serveur dans
le dosseir "Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous tes
paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et Windows
2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings for
PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien dans
ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant te
connecter à dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de controleur
de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le message
de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous tes
paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et Windows
2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings for
PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien dans
ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant te
connecter à \dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.c38f7d58e9e5c415.28949@teo.homeunix.net...
Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de controleur
de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
Philippe
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message
de news: mn.c2657d58c0e0d401.28949@teo.homeunix.net...
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous tes
paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et Windows
2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings for
PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien dans
ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant te
connecter à dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de controleur
de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte SYSTEM
(depuis la ligne de commande ouvert par la commande at) c'est bien juste
?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du dc
child, il faudrait que tu te rapproches de tes administrateurs réseau et
procéder à une trace réseau lors de l'accès au share avec le compte du dc
child.
Il doit y avoir un problème kerberos ou un problème de filtrage ( routeur/
firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le message
de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais je
ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès au
gestionnaire de disque (Accès refusé), j'ai fais le teste sur d'accès
avec cette console sur l'autres DC avec toujours le même résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share sont
"Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il
faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance
du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au
dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et
pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat
(visible dans le dossier "Certificats délivrés" et dans le magasin
de l'ordinateur qui en a fait la demande.) mais, quelques minutes
plus tard, un élément s'ajout sur le serveur dans le dosseir
"Demandes avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bien alors voila
Je pense qu'une des précédente modifications a du faire effet car
mainteannt mon DC du domaine enfant à son certificat :D
Je vais checker quel était la modification qui à fonctionner
En tout cas, MERCI BEACUOUP pour tes conseils.
Salutations
Philippe
pour info,
les VPN ne sont pas géré par Windows, c'est les firewall qui s'en charge,
le MTU à déjà été touché car il y avais des problèmes de connexion
typique, mais ceci est "sensé" être réglé maintenant.
Maintenant pour l'histoire du sysvol, avec le compte administrateur du
domain enfant, je me connecte sans problème sur SYSVOL du domaine parent.
Avec le compte SYSTEM, l'acces au SYSVOL du domaine parent fonctionne
aussi.
Emmanuel Dreux [MS] a exprimé avec précision :Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous
tes paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et
Windows 2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L
taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings
for PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien
dans ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant
te connecter à dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte
SYSTEM (depuis la ligne de commande ouvert par la commande at) c'est
bien juste ?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du
dc child, il faudrait que tu te rapproches de tes administrateurs
réseau et procéder à une trace réseau lors de l'accès au share avec le
compte du dc child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le
message de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais
je ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès
au gestionnaire de disque (Accès refusé), j'ai fais le teste sur
d'accès avec cette console sur l'autres DC avec toujours le même
résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers.
Il faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier
l'appartenance du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à
certains firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access
this computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur
l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont
des workstation du domaine parent, alors pourquoi toutes ces
erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs
et pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans
le message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission
délivre le certificat (visible dans le dossier "Certificats
délivrés" et dans le magasin de l'ordinateur qui en a fait la
demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien alors voila
Je pense qu'une des précédente modifications a du faire effet car
mainteannt mon DC du domaine enfant à son certificat :D
Je vais checker quel était la modification qui à fonctionner
En tout cas, MERCI BEACUOUP pour tes conseils.
Salutations
Philippe
pour info,
les VPN ne sont pas géré par Windows, c'est les firewall qui s'en charge,
le MTU à déjà été touché car il y avais des problèmes de connexion
typique, mais ceci est "sensé" être réglé maintenant.
Maintenant pour l'histoire du sysvol, avec le compte administrateur du
domain enfant, je me connecte sans problème sur SYSVOL du domaine parent.
Avec le compte SYSTEM, l'acces au SYSVOL du domaine parent fonctionne
aussi.
Emmanuel Dreux [MS] a exprimé avec précision :
Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous
tes paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et
Windows 2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L
taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings
for PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien
dans ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant
te connecter à \dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.c38f7d58e9e5c415.28949@teo.homeunix.net...
Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte
SYSTEM (depuis la ligne de commande ouvert par la commande at) c'est
bien juste ?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
Philippe
Bonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du
dc child, il faudrait que tu te rapproches de tes administrateurs
réseau et procéder à une trace réseau lors de l'accès au share avec le
compte du dc child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.c2657d58c0e0d401.28949@teo.homeunix.net...
Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais
je ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès
au gestionnaire de disque (Accès refusé), j'ai fais le teste sur
d'accès avec cette console sur l'autres DC avec toujours le même
résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers.
Il faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier
l'appartenance du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à
certains firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access
this computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur
l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont
des workstation du domaine parent, alors pourquoi toutes ces
erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs
et pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans
le message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission
délivre le certificat (visible dans le dossier "Certificats
délivrés" et dans le magasin de l'ordinateur qui en a fait la
demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien alors voila
Je pense qu'une des précédente modifications a du faire effet car
mainteannt mon DC du domaine enfant à son certificat :D
Je vais checker quel était la modification qui à fonctionner
En tout cas, MERCI BEACUOUP pour tes conseils.
Salutations
Philippe
pour info,
les VPN ne sont pas géré par Windows, c'est les firewall qui s'en charge,
le MTU à déjà été touché car il y avais des problèmes de connexion
typique, mais ceci est "sensé" être réglé maintenant.
Maintenant pour l'histoire du sysvol, avec le compte administrateur du
domain enfant, je me connecte sans problème sur SYSVOL du domaine parent.
Avec le compte SYSTEM, l'acces au SYSVOL du domaine parent fonctionne
aussi.
Emmanuel Dreux [MS] a exprimé avec précision :Hmm, tu ne pourras pas faire de trace réseau dans ta connection vpn, tous
tes paquets seront encryptés et tu ne verras rien.
Cependant, ça ressemble au problème de MTU introduit par MS05-019 et
Windows 2003 SP1.
http://support.microsoft.com/default.aspx?scid=kb;en-us;898060
Hotfix:
http://www.microsoft.com/downloads/details.aspx?familyid 245532-0ACE-4B85-85BF-758E936173DF&displaylang=en
Moyen de contournement:
Diminue la MTU.
Détermine la MTU de ton réseau par dichotomie au moyen de ping -L
taille -f
ex:
ping -l 1500 -f ip
ping -l 1450 -f ip
ping -l 1475 -f ip
ping -f 1476 -f ip
Met à jour la base de registre pour forcer la MTU.
HOW TO: Change the Default Maximum Transmission Unit (MTU) Size Settings
for PPP Connections or for VPN Connections
http://support.microsoft.com/default.aspx?scid=kb;en-us;826159
Je n'ai aucun élément technique me permettant d'affirmer que tu es bien
dans ce cas de figure.
C'est juste "une sensation"...
Essaie d'adapter la mtu et vois si depuis ton dc child tu peux maintenant
te connecter à dcparentsysvol par exemple.
Lorsque tu y parviendras, tu devrais pouvoir récuperer un certificat dc.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien
alors c'est assez simple, je suis le seul administrateur de tout ca.
Les 2 sites sont relié par des VPN Sonicwall depuis 4 ans.
Avec l'ancienne CA, les serveurs avaient obtenu un certificat de
controleur de domaine en ordre.
Je penche donc pas pour un problème de ce coté la.
Donc histoire d'être OK, j'ai lancé l'accès au share avec le compte
SYSTEM (depuis la ligne de commande ouvert par la commande at) c'est
bien juste ?!??
Pour le trace, as-tu un outils a me conseiller pour le faire ?
Salutations
PhilippeBonjour Philippe,
Puisque tu n'arrives pas à accéder au share avec le compte machine du
dc child, il faudrait que tu te rapproches de tes administrateurs
réseau et procéder à une trace réseau lors de l'accès au share avec le
compte du dc child.
Il doit y avoir un problème kerberos ou un problème de filtrage (
routeur/ firewall) entre tes 2 domaines.
As tu un firewall entre tes 2 dc, quelle marque?
"Philippe Bonatti" a écrit dans le
message de news:Alors voici ce que j'ai :
1. Permission sur le template :
Dans sites et services, le certificat "Controleurs de domaine" à les
permissions suivantes :
Administrateurs de l'entreprise : Lire,Ecrire,Inscrire.
ADminis du domaine (parentadmins du domaine) : Lire,Ecrire,Inscrire
Contrôleurs de doamine (ParentControleur de domaine) : Inscrire
Contrôleurs de doamine (EnfantControleur de domaine) : Lire,Inscrire
ENTERPRISE DOMAIN CONTROLLERS : Inscrire
SYSTEM : Lire,Inscrire
Utilisateurs authentifiés : Lire
Les contrôleurs de domaine du domaine enfant sont bien dans le groupe
"EnfantControleur de domaine"
Il sont sensé être dans le groupe "ENTERPRISE DOMAIN CONTROLLER" mais
je ne peux pas le vérifier.
2. Connectivité.
Depuis la console MMC lancée avec le compte system, je n'ai pas accès
au gestionnaire de disque (Accès refusé), j'ai fais le teste sur
d'accès avec cette console sur l'autres DC avec toujours le même
résultat.
L'accès au share me donne également un accès refusé.
Ce qui donne effectivement un blème puisque les droits NTFS et Share
sont "Contrôl Total pour le DC du domaine enfant.
J'attends la suite des tests,
Merci de votre aide
Salutations
Philippe
Emmanuel Dreux [MS] a exprimé avec précision :Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers.
Il faut read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier
l'appartenance du dc à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à
certains firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access
this computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at
18:00 /interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement
au dc du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au
CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le
message de news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du
domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine),
ENTERPRISE DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas
l'utilisateur actuel à s'inscrire pour ce type de certificat.
0x80094012 (-21468774422). La demande était pour
domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert
Publisher (Editeurs de certificat) en Groupe Universelle puis Groupe
Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur
l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine
parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont
des workstation du domaine parent, alors pourquoi toutes ces
erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs
et pas trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait
d'une hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans
le message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par
l'autoinscription), l'autorité de certification d'emission
délivre le certificat (visible dans le dossier "Certificats
délivrés" et dans le magasin de l'ordinateur qui en a fait la
demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
