L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre
foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose
probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne
pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et
ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé
d'installer une nouvelle AC et de distribuer manuellement les certificats
del a nouvelle AC aux machines qui en ont besoin.
un peu d'historique avant de vous exposer mon probleme :
J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de
certification etait installé sur CD1, j'ai ajouté 2 serveurs
fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait
installé l'Autorité de Certification) en W2K3 sp1 standard. pour me
débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard
edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis
depuis.
J'utilise l'autoenrollement pour distribuer mes certificats machines et
domaine controlleurs. cependant je ne sais pas pourquoi seules certaines
machines d'une meme OU ont récupéré automatiquement les certificats à partir
de GC1.
Qd j'essaye de récupérer des certificats IPsec a partir de la mmc
certificats d'ordinateurs d'un poste avec un compte user admin du domaine,
j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne
me propose que l'AC CD1 en cochant l'option "parametres avancés")
Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une
erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les
droits pour le faire.
Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat
domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu
focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des
machines et
des users fonctionnent toujours avec l'ancienne pour le moment.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel Dreux
A priori,
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
MERci Fadoul
A priori,
il y a 2 problèmes différents.
1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant
qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit
"intégré" à l'AD.
Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et
noter les messages d'erreur.
Cordialement
Emmanuel Dreux.
"fadhelbb" <fadhelbb@free.Fr> wrote in message
news:ec%23eUSALGHA.3276@TK2MSFTNGP09.phx.gbl...
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre
foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose
probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI.
Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme
machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai
decidé d'installer une nouvelle AC et de distribuer manuellement les
certificats del a nouvelle AC aux machines qui en ont besoin.
un peu d'historique avant de vous exposer mon probleme :
J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de
certification etait installé sur CD1, j'ai ajouté 2 serveurs
fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait
installé l'Autorité de Certification) en W2K3 sp1 standard. pour me
débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard
edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis
depuis.
J'utilise l'autoenrollement pour distribuer mes certificats machines et
domaine controlleurs. cependant je ne sais pas pourquoi seules certaines
machines d'une meme OU ont récupéré automatiquement les certificats à
partir de GC1.
Qd j'essaye de récupérer des certificats IPsec a partir de la mmc
certificats d'ordinateurs d'un poste avec un compte user admin du domaine,
j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il
ne me propose que l'AC CD1 en cochant l'option "parametres avancés")
Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai
une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas
les droits pour le faire.
Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat
domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA
qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth
des machines et
des users fonctionnent toujours avec l'ancienne pour le moment.
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
MERci Fadoul
fadoul
merci pour ta réponse Emmanuel,
jeme suis enervé et j'ai supprimé les 2 CAs.. résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat Ordinateur sur toutes les machines. CErtaines machines la recupèrent, d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un certificat "domain controller" et "computer". Pour mon autre DC, impossible de les récupérer en autoenrollement ou en passant par la mmc certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user connecté au domaine, le nom du certificat porte le nom de l'utilisateur web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai plus de sso et lorsque les users se connectent avec leur compte AD, ils recuperent bien un certificat utilisateur à leur nom. Est ce la bonne méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
MERci Fadoul
merci pour ta réponse Emmanuel,
jeme suis enervé et j'ai supprimé les 2 CAs..
résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat
Ordinateur sur toutes les machines. CErtaines machines la recupèrent,
d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un
certificat "domain controller" et "computer". Pour mon autre DC,
impossible de les récupérer en autoenrollement ou en passant par la mmc
certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user
connecté au domaine, le nom du certificat porte le nom de l'utilisateur
web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui
demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai
plus de sso et lorsque les users se connectent avec leur compte AD, ils
recuperent bien un certificat utilisateur à leur nom. Est ce la bonne
méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents.
1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant
qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit
"intégré" à l'AD.
Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et
noter les messages d'erreur.
Cordialement
Emmanuel Dreux.
"fadhelbb" <fadhelbb@free.Fr> wrote in message
news:ec%23eUSALGHA.3276@TK2MSFTNGP09.phx.gbl...
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre
foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose
probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI.
Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme
machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai
decidé d'installer une nouvelle AC et de distribuer manuellement les
certificats del a nouvelle AC aux machines qui en ont besoin.
un peu d'historique avant de vous exposer mon probleme :
J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de
certification etait installé sur CD1, j'ai ajouté 2 serveurs
fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait
installé l'Autorité de Certification) en W2K3 sp1 standard. pour me
débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard
edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis
depuis.
J'utilise l'autoenrollement pour distribuer mes certificats machines et
domaine controlleurs. cependant je ne sais pas pourquoi seules certaines
machines d'une meme OU ont récupéré automatiquement les certificats à
partir de GC1.
Qd j'essaye de récupérer des certificats IPsec a partir de la mmc
certificats d'ordinateurs d'un poste avec un compte user admin du domaine,
j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il
ne me propose que l'AC CD1 en cochant l'option "parametres avancés")
Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai
une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas
les droits pour le faire.
Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat
domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA
qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth
des machines et
des users fonctionnent toujours avec l'ancienne pour le moment.
jeme suis enervé et j'ai supprimé les 2 CAs.. résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat Ordinateur sur toutes les machines. CErtaines machines la recupèrent, d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un certificat "domain controller" et "computer". Pour mon autre DC, impossible de les récupérer en autoenrollement ou en passant par la mmc certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user connecté au domaine, le nom du certificat porte le nom de l'utilisateur web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai plus de sso et lorsque les users se connectent avec leur compte AD, ils recuperent bien un certificat utilisateur à leur nom. Est ce la bonne méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
MERci Fadoul
fadoul
J'ai resolu mes problemes sur les DCs grace à :
I've ensured that the C:Documents and SettingsAll UsersApplication DataMicrosoftCryptoRSAMachineKeys directory has full access to Administrators
j'ai du rebooter un de mes DCs pour que la modif soit prise en compte
merci pour ta réponse Emmanuel,
jeme suis enervé et j'ai supprimé les 2 CAs.. résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat Ordinateur sur toutes les machines. CErtaines machines la recupèrent, d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un certificat "domain controller" et "computer". Pour mon autre DC, impossible de les récupérer en autoenrollement ou en passant par la mmc certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user connecté au domaine, le nom du certificat porte le nom de l'utilisateur web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai plus de sso et lorsque les users se connectent avec leur compte AD, ils recuperent bien un certificat utilisateur à leur nom. Est ce la bonne méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
MERci Fadoul
J'ai resolu mes problemes sur les DCs grace à :
I've ensured that the C:Documents and SettingsAll UsersApplication
DataMicrosoftCryptoRSAMachineKeys directory has full access to
Administrators
j'ai du rebooter un de mes DCs pour que la modif soit prise en compte
merci pour ta réponse Emmanuel,
jeme suis enervé et j'ai supprimé les 2 CAs..
résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat
Ordinateur sur toutes les machines. CErtaines machines la recupèrent,
d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un
certificat "domain controller" et "computer". Pour mon autre DC,
impossible de les récupérer en autoenrollement ou en passant par la mmc
certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user
connecté au domaine, le nom du certificat porte le nom de l'utilisateur
web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui
demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai
plus de sso et lorsque les users se connectent avec leur compte AD, ils
recuperent bien un certificat utilisateur à leur nom. Est ce la bonne
méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents.
1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant
qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit
"intégré" à l'AD.
Pour le premier qui ne démarre pas, il faudrait essayer de le
redémarrer et noter les messages d'erreur.
Cordialement
Emmanuel Dreux.
"fadhelbb" <fadhelbb@free.Fr> wrote in message
news:ec%23eUSALGHA.3276@TK2MSFTNGP09.phx.gbl...
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds
notre foret, j'ai trouvé un post sur internet disant q c'est le sp1
qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls
pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC
sur la meme machine et ne voulant pas reinstaller le serveur qui
heberge l'AC, j'ai decidé d'installer une nouvelle AC et de
distribuer manuellement les certificats del a nouvelle AC aux
machines qui en ont besoin.
un peu d'historique avant de vous exposer mon probleme :
J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité
de certification etait installé sur CD1, j'ai ajouté 2 serveurs
fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel
etait installé l'Autorité de Certification) en W2K3 sp1 standard.
pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1
(W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai
de nombreux soucis depuis.
J'utilise l'autoenrollement pour distribuer mes certificats machines
et domaine controlleurs. cependant je ne sais pas pourquoi seules
certaines machines d'une meme OU ont récupéré automatiquement les
certificats à partir de GC1.
Qd j'essaye de récupérer des certificats IPsec a partir de la mmc
certificats d'ordinateurs d'un poste avec un compte user admin du
domaine, j'ai la possibilité de récupérer un certificat de CD1 mais
pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option
"parametres avancés")
Quand j'essaye de récupérer un certificat machine ou ipsec sur
CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou
que je n'ai pas les droits pour le faire.
Mes domaines controlleurs n'ont pas récupérés automatiqument de
certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une
CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA,
l'auth des machines et
des users fonctionnent toujours avec l'ancienne pour le moment.
I've ensured that the C:Documents and SettingsAll UsersApplication DataMicrosoftCryptoRSAMachineKeys directory has full access to Administrators
j'ai du rebooter un de mes DCs pour que la modif soit prise en compte
merci pour ta réponse Emmanuel,
jeme suis enervé et j'ai supprimé les 2 CAs.. résultat des courses :
- en autorenrollement, je n'arrive pas à récupérer de certificat Ordinateur sur toutes les machines. CErtaines machines la recupèrent, d'autres non. Je n'ai pas trouvé de dénominateur commun..
- seul le DC sur lequel est installé ma CA reussi a récupérer un certificat "domain controller" et "computer". Pour mon autre DC, impossible de les récupérer en autoenrollement ou en passant par la mmc certificats. pas de droits sur le template ou la ca n'a pas démarré...
- lorsque je recupere un certificat utilisateur en web pour un user connecté au domaine, le nom du certificat porte le nom de l'utilisateur web qui démarre le IIS sur le serveur CA et pas le nom de l'user qui demande le certificat. J'ai donc désactivé le mode anonymous, je n'ai plus de sso et lorsque les users se connectent avec leur compte AD, ils recuperent bien un certificat utilisateur à leur nom. Est ce la bonne méthode ?
D'avance MErci
A priori,
il y a 2 problèmes différents. 1 CA qui ne démarre pas, et un CA qui n'est pas reconnu en tant qu'enterprise certificate.
Il faudrait réinstaller le second CA en enterprise cA afin qu'il soit "intégré" à l'AD. Pour le premier qui ne démarre pas, il faudrait essayer de le redémarrer et noter les messages d'erreur.
Cordialement Emmanuel Dreux.
"fadhelbb" wrote in message news:ec%
Bonjour,
L'autoenrollement ne focntionnait plus depuis de nombreux mois ds notre foret, j'ai trouvé un post sur internet disant q c'est le sp1 qui pose probleme. J'utilise la pki MS pour le VPN L2TP et l'eap/tls pour le WIFI. Ne pouvant/voulant pas desisntaller et reinstaller l'AC sur la meme machine et ne voulant pas reinstaller le serveur qui heberge l'AC, j'ai decidé d'installer une nouvelle AC et de distribuer manuellement les certificats del a nouvelle AC aux machines qui en ont besoin. un peu d'historique avant de vous exposer mon probleme : J'ai upgradé de W2K vers W2K3 notre foret 2K serveur. Une autorité de certification etait installé sur CD1, j'ai ajouté 2 serveurs fraichement installé en W2K3 sp1 standard et migré CD1 (sur lequel etait installé l'Autorité de Certification) en W2K3 sp1 standard. pour me débarasser de CD1, j'ai installé une nouvelle AC sur GC1 (W2K3 standard edition). Je pense que je m'y suis mal pris car j'ai de nombreux soucis depuis. J'utilise l'autoenrollement pour distribuer mes certificats machines et domaine controlleurs. cependant je ne sais pas pourquoi seules certaines machines d'une meme OU ont récupéré automatiquement les certificats à partir de GC1. Qd j'essaye de récupérer des certificats IPsec a partir de la mmc certificats d'ordinateurs d'un poste avec un compte user admin du domaine, j'ai la possibilité de récupérer un certificat de CD1 mais pas de GC1 (il ne me propose que l'AC CD1 en cochant l'option "parametres avancés") Quand j'essaye de récupérer un certificat machine ou ipsec sur CD1,j'ai une erreur me disant q l'AC sur le srv n'a pas démarré ou que je n'ai pas les droits pour le faire. Mes domaines controlleurs n'ont pas récupérés automatiqument de certificat domaine controlleur
Je n'ai pas retiré les modele de certificats disponibles sur CD1.
Quelqu'un peut il me dire la bonne démarche à suivre pour pouvoir une CA qiu focntionne correctement ? Je peux reinstaller la nouvelle CA, l'auth des machines et des users fonctionnent toujours avec l'ancienne pour le moment.
