Tham gia Đăng nhập
Điểm:0
Daniel avatar Server

Đăng ký tự động với sự chấp thuận của người quản lý, nhưng tự động phê duyệt để đăng ký lại

lá cờ in
Daniel

Tôi có một mẫu chứng chỉ (được đăng ký tự động) phải yêu cầu người quản lý phê duyệt.

Để đạt được điều này, tôi đã kiểm tra Phê duyệt của người quản lý chứng chỉ CA hộp kiểm trong Yêu cầu phát hành chuyển hướng.

nhập mô tả hình ảnh ở đây nhập mô tả hình ảnh ở đây

Máy tính tự động đăng ký và chứng chỉ được đặt trên Chưa giải quyết hàng đợi trên CA.

Mong muốn của tôi là sau khi chứng chỉ đang chờ xử lý được phê duyệt theo cách thủ công, các chứng chỉ sẽ được gia hạn hoặc cập nhật nếu phiên bản chính của mẫu tăng lên mà không cần sự chấp thuận của người quản lý. Nhưng tôi không thể làm việc này.

Khi tôi tăng phiên bản chính của chứng chỉ, yêu cầu không bao giờ được đưa ra tự động mà lại được đưa vào Chưa giải quyết xếp hàng phát hành thủ công.

Tôi đã thử thay đổi Tiêu chí tuyển sinh giống nhau đến Giấy chứng nhận hiện có hợp lệ nhưng điều này đã không thay đổi bất cứ điều gì.

Để tăng tốc độ khắc phục sự cố của mình, tôi đã sử dụng chứng chỉ -pulse để bắt đầu quá trình đăng ký tự động trên máy tính yêu cầu.

Chỉnh sửa:

Chính sách đăng ký tự động trên máy chủ bị ảnh hưởng:

nhập mô tả hình ảnh ở đây

100
0 + 0
pki
lá cờ br
garethTheRed
Có gì trên tab __Subject__?
0
Hồi đáp
Daniel avatar
lá cờ in
Daniel
@garethTheRed Tôi đã thêm tab chủ đề.
0
Hồi đáp
lá cờ br
garethTheRed
Và chính sách nhóm PKI?
0
Hồi đáp
lá cờ cn
Crypt32
Có vẻ như lỗi trong ADCS hoặc tài liệu MSFT không chính xác. Tại thời điểm này, bạn không thể hoàn thành những gì bạn đang cố gắng làm. Tôi liên hệ với Microsoft về vấn đề này để được giải thích.
0
Hồi đáp
Daniel avatar
lá cờ in
Daniel
@garethTheRed Tôi đã thêm chính sách đăng ký tự động. Tôi cho rằng đó là ý của bạn về chính sách nhóm PKI?
0
Hồi đáp
lá cờ br
garethTheRed
Thành thật mà nói, chúng trông giống hệt với cài đặt mà tôi đã sử dụng trước đây. Tuy nhiên, tôi chưa thử tăng phiên bản chính của mẫu và đã thử nghiệm. Theo những gì bạn đã thấy và những gì @Crypt32 đã nói, không chắc là tôi sẽ thành công!
0
Hồi đáp
lá cờ br
garethTheRed
Một suy nghĩ - bạn đã không đặt thời hạn hiệu lực thành bất kỳ thứ gì ngắn một cách lố bịch với mục đích đẩy nhanh quá trình kiểm tra phải không? Đăng ký tự động (lại) không thành công khi bạn cấp chứng chỉ trong vòng chưa đầy 8 giờ hoặc lâu hơn - Tôi thường đặt nó thành 24 giờ ngay cả để thử nghiệm.
0
Hồi đáp
Daniel avatar
lá cờ in
Daniel
Tôi đặt nó thành một giờ. Tôi sẽ đặt nó thành 24h và đợi một ngày.
0
Hồi đáp
Daniel avatar
lá cờ in
Daniel
Hôm nay tôi kiểm tra CA và việc gia hạn chứng chỉ vẫn được đặt ở trạng thái chờ xử lý.
0
Hồi đáp
lá cờ cn
Crypt32
@Daniel như tôi đã nói, đó là lỗi tài liệu hoặc lỗi ADCS CA. Đó không phải là lỗi của bạn (không phải cấu hình sai). Các tài liệu nói rằng `chứng chỉ hợp lệ hiện có` sẽ ghi đè hộp kiểm phê duyệt của người quản lý CA. Tôi đã có thể sửa lại và hành vi này mâu thuẫn với tài liệu và tôi đã mở một trường hợp hỗ trợ với MSFT.
1
Hồi đáp
Daniel avatar
lá cờ in
Daniel
Chỉ cần cập nhật bài viết. Đánh giá cao nỗ lực của bạn. Xin vui lòng cho tôi biết về kết quả. Cảm ơn!
0
Hồi đáp
Điểm:2
avatar Server
lá cờ cn
Crypt32

Tôi đã thay mặt OP mở một trường hợp hỗ trợ với Microsoft (TrackingID#2201120040008993) về sự cố này. Như tôi đã chỉ ra trong các nhận xét, thiết lập của OP là chính xác và tôi có thể xử lý lại trong môi trường của mình. Vé hỗ trợ được mở theo giao thức [MS-WCCE], §3.2.1.4.2.1.4.2.2 sự chỉ rõ.

Bộ phận hỗ trợ của Microsoft đã có thể xác nhận sự cố. Điều tra sâu hơn đã phát hiện ra rằng Microsoft CA thực hiện [MS-WCCE] §3.2.2.6.2.1.4.5.7 yêu cầu bỏ qua CT_FLAG_PEND_ALL_REQUESTS cờ khi CT_FLAG_PREVIOUS_APPROVAL_VALIDATE_REENROLLMENT đúng. Tuy nhiên, điều tra thêm đã phát hiện ra rằng Microsoft CA ở một trong các quy trình xử lý yêu cầu nội bộ không thành công với Tên gia hạn không hợp lệ cố gắng liên kết tên UPN của người yêu cầu với tên được lưu trữ trong Active Directory. Tuy nhiên, vì đây là mẫu máy tính nên UPN không khả dụng (do đó xảy ra lỗi) và quy trình gia hạn bị hủy bỏ và quy trình yêu cầu ban đầu được thực thi: yêu cầu được đặt trong yêu cầu đang chờ xử lý. Và điều kiện ràng buộc UPN này không được ghi lại ở bất kỳ đâu.

Tôi đã thiết lập kịch bản tương tự cho mẫu người dùng (ghi UPN trong chứng chỉ) và nó hoạt động tốt: yêu cầu ban đầu được đặt trong các yêu cầu đang chờ xử lý, gia hạn tự động gia hạn và cấp chứng chỉ.

Ở trạng thái hiện tại, tùy chọn "chứng chỉ hiện có hợp lệ" chỉ hoạt động đối với các mẫu người dùng và không hoạt động đối với các mẫu máy tính. Không có cách giải quyết có sẵn.

Tôi đang tiếp tục trao đổi với Bộ phận hỗ trợ của Microsoft và sẽ cập nhật phản hồi này khi có thông tin mới.

HTH

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.