ha! tydzień rozwiązywania problemów (: wakacje to jednak piękna rzecz – to kolejna wyjaśniona tajemnica w krótkim czasie. tym razem trafił się serwer Enterprise RootCA. PKI to od jakiegoś czasu moje hobby [dzięki Pauli *] więc nie odpuściłem:

  • pojedyncze Ent root CA jako issuing. standardowa ‘zwalona’ instalacja u klienta czyli ‘wsadził-wyjął-PKI’. no co zrobić – tak jest i trzeba z tym póki co żyć
  • serwer w wersji w2k8 R2 standard
  • po utworzeniu nowych szablonów, których jakoś nikt do tej pory nie zrobił, nie można ich dodać do publikacji na CA

podczas próby wyszukania jakiejś pomocy wszystkie linki dotyczyły podstawowego błędu – szablony w wersji v2 i v3 nie są obsługiwane przez wersję standard, wymagany jest enterprise. tyle, że od wersji w2k8 R2 ten limit zniesiono. żeby się upewnić postawiłem sobie wirtualkę w2k8r2std, na niej CA i na szybciorka upewniłem się, że spokojnie obsługuje v2 i v3. po długim debugowaniu w końcu znalazłem:

  • atrybut ‘flags’ dla obiektu ‘CN=MYCANAME,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN,DC=AD’ na partycji konfiguracji zawierał wartość ‘2’

znaczenie tego atrybutu to:

  • 2“: Enterprise CA running on Standard Edition
  • 10“: Enterprise CA running on Enterprise Edition
  • 5“: Standalone CA running on Standard Edition
  • 9“: Standalone CA running on Enterprise Edition

prawdopodobnie maszyna była upgradowana z wersji Windows 2oo8 std a instalator nie modyfiqje takich rzeczy. pomyślałem, że to on dyktuje dostępność szablonów i trafiłem – na wirtualce, pomimo wersji std, atrybut ustawiony był na ‘1o’. zmiana na produkcji, replikacja, restart usługi – voila! ^^

refs:

eN.

Spread the love

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.