zaczelo sie od wpisow w eventlogu:
Event Type: Error
Event Source: AutoEnrollment
Event Category: None
Event ID: 13
Date: 2005-10-19
Time: 10:15:17
User: N/A
Computer: XXX
Description:
Automatic certificate enrollment for local system failed to enroll for
one Domain Controller certificate (0x80070005). Access is denied.
dotyczylo jednego z kontrolerow domeny, a ze nie widzialem szczegolnej zmiany w dzialaniu calosci olalem to z braq czasu.
teraz kfaz wymyslil sobie, ze zakoduje pliki EFSem i okazalo sie, ze certfikat recovery agenta stracil waznosc.
no i sie zaczalo.
okazalo sie, ze polisy dla PKI sa co najmniej mocno zaniedbane. nigdy nie bylo to szeroko wykorzystywane wiec nie mialem potrzeby zagladac. ogolne procedury i tyle.
poniewaz jak rasowy geek najpierw wszystko probowalem zrobic nie siegajac po instrukcje, ni huhu nie chcialo zadzialac. znalazlem wiec step by step konfiguracje EFSa.
wszystko ok do momentu proby utworzenia Recovery Agenta, poniewaz wbierajac usera z wygenerowanym certyfikatem wypisywalo, ze ten user nie ma certyfikatu recovery agenta i zebym sie cmoknal.
udalo mi sie znalesc KB ktory dotyczy publikacji certyfikatow w domenie. i faktycznie podpadlem w jedna z kategorii. naprawilem wszystko i…
i nic.
znalazlem w domenie polise dotyczaca autoenrollmentu i byla wylaczona. wlaczylem
i nadal nic. caly czas przy probie wybrania usera mam komunikat:
„The selected user has no certificates suitable for Encrypted File System Recovery and cannot be added as recovery agent”.
az w koncu kiedy juz bylem bliski zalamania…
znalazlem w certificate templates, ze certyfikat dla recovery agenta ma odznaczone pole 'publish in AD’. te szablony sa niemodyfikowalne. skopiowalem szablon pod nowa nazwa, wsadzilem ten stary szablon jako nadpisywany przez nowy (tak na wszelki wypadek). potem z konsolki certsrv.msc trzeba usunac stary i dodac nowy.
teraz wszytko poszlo jak w instrukcji.
pozostaje pytanie – czemu sa takie durne defaulty?
czemu nigdzie nie ma opisu takiego scenariusza? przeciez niemozliwe, ze pierwszy mam taki problem…
ciekawe czy po tych poprawkach kontroler dostanie cert z autoenrollmentu… w kazdym razie teraz bede wiedzial gdzie szukac. to byl przyspieszony qrs 'PKI w praktyce’.
na dodanie smaczq: kiedy walczylismy z ISA w strazniq systemu pojawilo sie pytanie dot. ISA. dzisiaj pojawilo sie pytanie dotyczace certyfikatow… nice