Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui
en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui
en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui
en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message de
news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui en
a fait la demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC du AC :
...
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui en
a fait la demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC du AC :
...
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message de
news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible dans
le dossier "Certificats délivrés" et dans le magasin de l'ordinateur qui en
a fait la demande.) mais, quelques minutes plus tard, un élément s'ajout
sur le serveur dans le dosseir "Demandes avant échoué" de la MMC du AC :
...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
--
Philippe Bonatti
-------------------------
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
--
Philippe Bonatti
-------------------------
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
--
Philippe Bonatti
-------------------------
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message de
news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de l'ordinateur
qui en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message
de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de l'ordinateur
qui en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message de
news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas entièrement,
car les Worstation qui demande des certificats sont des workstation du
domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de l'ordinateur
qui en a fait la demande.) mais, quelques minutes plus tard, un élément
s'ajout sur le serveur dans le dosseir "Demandes avant échoué" de la MMC
du AC :
...
-- Philippe Bonatti
-------------------------
Bien,
sur l'autorité :
----------------
...
Bien,
sur l'autorité :
----------------
...
Bien,
sur l'autorité :
----------------
...
ok,
je dis peut être une bêtise, mais si tu utilise les modèles de certificats et
non une copie, ceux-ci sont majoritairement non disponibles à l'auto
inscription (tu aurais des droits "inscrire automatiquement" sinon), as tu
essayé de faire une copie d'un certificat (exemple ordinateur), et
positionner dessus "Ordinateurs du domaine" parent et/ou enfant en inscrire
automatiquement comme défini ici (utilisateur dans l'exemple):
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/47f1c981-7c04-48b0-a697-56db5ba00a8e.mspx
ok,
je dis peut être une bêtise, mais si tu utilise les modèles de certificats et
non une copie, ceux-ci sont majoritairement non disponibles à l'auto
inscription (tu aurais des droits "inscrire automatiquement" sinon), as tu
essayé de faire une copie d'un certificat (exemple ordinateur), et
positionner dessus "Ordinateurs du domaine" parent et/ou enfant en inscrire
automatiquement comme défini ici (utilisateur dans l'exemple):
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/47f1c981-7c04-48b0-a697-56db5ba00a8e.mspx
ok,
je dis peut être une bêtise, mais si tu utilise les modèles de certificats et
non une copie, ceux-ci sont majoritairement non disponibles à l'auto
inscription (tu aurais des droits "inscrire automatiquement" sinon), as tu
essayé de faire une copie d'un certificat (exemple ordinateur), et
positionner dessus "Ordinateurs du domaine" parent et/ou enfant en inscrire
automatiquement comme défini ici (utilisateur dans l'exemple):
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/fr/library/ServerHelp/47f1c981-7c04-48b0-a697-56db5ba00a8e.mspx
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012 (-21468774422).
La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012 (-21468774422).
La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les
autorisations sur le modèle de certificat n'autorisent pas l'utilisateur
actuel à s'inscrire pour ce type de certificat. 0x80094012 (-21468774422).
La demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes
avant échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
--
Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
...
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
...
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain
controler.
...
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message
de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir \casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message de
news: mn.bb3d7d58f0019105.28949@teo.homeunix.net...
Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :
Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le message
de news: mn.bac67d58b77c8081.28949@teo.homeunix.net...
Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :
Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" <philippe@teo.home____unix.net> a écrit dans le
message de news: mn.ba8f7d580a1d70db.28949@teo.homeunix.net...
Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------
Bonjour Philippe, Bonjour Jonathan,
effectivement cette erreur indique un problème de permissions.
A priori, il y a 2 problèmes distincts qui peut-être ne font qu'un:
utilisation du template computer et utilisation du template domain controler.
1. Vérifiez les permissions sur le template.
Dans Active directory sites & services
-> "View"-->"show services Node".
-> services -> "Public Key Services"-->"Certificate templates"
-> vérification des permissions sur le template domain controllers. Il faut
read et enroll pour le DC.
Si la permission se fait au travers de groupe, vérifier l'appartenance du dc
à un de ces groupes.
2. Connectivité au CA.
Il se peut qu'il y ait une problème de connectivité RPC lié à certains
firewall et nouveautés SP1.
Il se peut qu'il y ait un problème de permissions du type "access this
computer from the network" sur le CA
Vérifiez que le dc peut se connecter au CA en RPC/ DCOM.
-> Sur le DC du domaine child, at hh:mm /interactice cmd.exe ( ex at 18:00
/interactive cmd.exe )
-> Dans cette fenêtre lancer mmc.exe
-> dans mmc ouvrir par exemple disk management et se connecter au CA.
Créez un share sur le CA, donner les permission de lecture uniquement au dc
du domaine child.
Dans la fenêtre système sur le dc child, dir casharename.
Ces tests devrait valider kerberos, la couche RPC DCOM et l'accès au CA.
J'attends votre retour avant de vous proposer d'autres manipulations.
Cordialement,
"Philippe Bonatti" a écrit dans le message de
news:Bien,
sur l'autorité :
----------------
Groupe administrateurs,administrateur de l'entreprise et Admins du domaine
"emettre et gérer des certificats" et "Gérer l'autorité"
Utilisateurs authentifiés
"Demander des certificats"
Modèle "Ordinateur" (Certificat d'orignine) :
---------------------------------------------
Administrateur de l'entreprise, Admins du domaine
"Lecture" "Ecriture" "Inscrire"
Ordinateurs du domaine
"Inscrire"
Utilisateurs authentifiés
"Lire"
Modèle "Controleur de domaine" (Certificat d'orignine) :
--------------------------------------------------------
Administrateur de l'entreprise, admins du domaine
"Lecture" "Ecriture" "Inscrire"
Controleurs de domaine (domaineparentcontroleur de domaine), ENTERPRISE
DOMAIN CONTROLLERS
"Inscrire"
SYSTEM
"Lecture" "Inscrire"
Utilisateurs authentifiés
"Lire"
Observateur d'énévements (Applications)
Source : CertSvc
ID : 53
Type : Avertissement
Les services de certificats ont refusé la demande 269 car les autorisations
sur le modèle de certificat n'autorisent pas l'utilisateur actuel à
s'inscrire pour ce type de certificat. 0x80094012 (-21468774422). La
demande était pour domaineparentworkstation$.
Informations supplémentaires : Refusé par le module de stratégie.
J'ai suivi la procédure (QB281271) et j'ai changé le groupe Cert Publisher
(Editeurs de certificat) en Groupe Universelle puis Groupe Domaine local.
Voila.
Merci
Salutations
Philippe
Jonathan Bismuth a exprimé avec précision :Mes excuses, je n'ai pas du voir un bout de ton texte ...
Quels sont les droits positionnés sur les modèles et sur l'autorité?
Quels sont les messages d'erreur de l'observateur d'événements?
As tu modifié le type du groupe Cert Publisher sur ton domaine parent?
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le message
de news:Bonjour Jonathan
je suis déjà tombé sur cette procédure qui ne me convient pas
entièrement, car les Worstation qui demande des certificats sont des
workstation du domaine parent, alors pourquoi toutes ces erreurs ?!?
En plus, la procédure parle de donner les droits aux utilisateurs et pas
trop au controleur de domaine il me semble...
Salutations
Philippe
Jonathan Bismuth a présenté l'énoncé suivant :Bonjour Philippe,
j'ai déjà croisé ce genre de problèmes, du généralement au fait d'une
hiérarchie de domaines sur N niveaux.
Voici un lien qui devrait solutionner ton problème :
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q281271
Cordialement,
--
Jonathan BISMUTH
MCSE 2000/ADSI-AutoIT Scripter
Transcript (ID: 691839, code: MCSE2000)
www.portail-mcse.net
pour me contacter http://cerbermail.com/?fCeVUi7Icd
"Philippe Bonatti" a écrit dans le
message de news:Bonjour,
j'ai un gros soucis avec notre nouvelle structure PKI
Les problèmes :
---------------
Lorsqu'un ordinateur demande un certificat (par l'autoinscription),
l'autorité de certification d'emission délivre le certificat (visible
dans le dossier "Certificats délivrés" et dans le magasin de
l'ordinateur qui en a fait la demande.) mais, quelques minutes plus
tard, un élément s'ajout sur le serveur dans le dosseir "Demandes avant
échoué" de la MMC du AC :
...
-- Philippe Bonatti
-------------------------
-- Philippe Bonatti
-------------------------