ha! tydzień rozwiązywania problemów (: wakacje to jednak piękna rzecz – to kolejna wyjaśniona tajemnica w krótkim czasie. tym razem trafił się serwer Enterprise RootCA. PKI to od jakiegoś czasu moje hobby [dzięki Pauli *] więc nie odpuściłem:

  • pojedyncze Ent root CA jako issuing. standardowa ‚zwalona’ instalacja u klienta czyli ‚wsadził-wyjął-PKI’. no co zrobić – tak jest i trzeba z tym póki co żyć
  • serwer w wersji w2k8 R2 standard
  • po utworzeniu nowych szablonów, których jakoś nikt do tej pory nie zrobił, nie można ich dodać do publikacji na CA

podczas próby wyszukania jakiejś pomocy wszystkie linki dotyczyły podstawowego błędu – szablony w wersji v2 i v3 nie są obsługiwane przez wersję standard, wymagany jest enterprise. tyle, że od wersji w2k8 R2 ten limit zniesiono. żeby się upewnić postawiłem sobie wirtualkę w2k8r2std, na niej CA i na szybciorka upewniłem się, że spokojnie obsługuje v2 i v3. po długim debugowaniu w końcu znalazłem:

  • atrybut ‚flags’ dla obiektu ‚CN=MYCANAME,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=AD’ na partycji konfiguracji zawierał wartość ‚2’

znaczenie tego atrybutu to:

  • 2„: Enterprise CA running on Standard Edition
  • 10„: Enterprise CA running on Enterprise Edition
  • 5„: Standalone CA running on Standard Edition
  • 9„: Standalone CA running on Enterprise Edition

prawdopodobnie maszyna była upgradowana z wersji Windows 2oo8 std a instalator nie modyfiqje takich rzeczy. pomyślałem, że to on dyktuje dostępność szablonów i trafiłem – na wirtualce, pomimo wersji std, atrybut ustawiony był na ‚1o’. zmiana na produkcji, replikacja, restart usługi – voila! ^^

refs:

eN.