Tham gia Đăng nhập
Điểm:0
Roman avatar Server

Làm cách nào để định cấu hình Dịch vụ chứng chỉ AD để vượt qua lỗi WS_E_ENDPOINT_ACCESS_DENIED này?

lá cờ us
Roman

Tôi đã làm theo hướng dẫn trong phòng thí nghiệm kiểm tra của Microsoft để thiết lập hệ thống phân cấp CA hai tầng. Tôi đã cài đặt Dịch vụ web chính sách đăng ký chứng chỉ (CEP) trên cùng một máy với Tổ chức phát hành chứng chỉ (CA). Và Dịch vụ web đăng ký chứng chỉ (CES) được cài đặt trên một máy riêng. Cả ba trong số đó trong cùng một miền: a.local. Tôi có serverB1 trong một miền b.local khác đã nhận được chứng chỉ máy chủ. Các hướng dẫn yêu cầu tôi mô phỏng gia hạn chứng chỉ bằng cách chạy hai lệnh sau 1. certutil -f -policyserver * -policycache xóa. Đầu ra:

Thư mục bộ đệm: C:\ProgramData\Microsoft\Windows\X509Enrollment

Tên: Chứng chỉ máy chủ SSL-TLS (Mặc định)
Mã: {B85DA5F6-850F-4C44-A80C-F60747D4DD77}
Url: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
  Tệp bộ đệm tồn tại: 48b23e1bb48a2bf09ce15b2526ef67eb32fe1251
    1662 (5730) byte
    Url: https://IssuingCA.a.local/KeyBasedRenewal_ADPolicyProvider_CEP_Certificate/service.svc/CEP
    Cập nhật lần cuối 18/2/2022 4:36 chiều
    Đang xóa mục nhập bộ đệm!

Tệp Cache mồ côi:
  Tệp bộ đệm tồn tại: 83b7376cb9815a475c54a66bd64eb8bfd31d6005
    1662 (5730) byte
    Url: https://IssuingCA.a.local/KeybasedRenewal_ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP
    Cập nhật lần cuối 18/2/2022 13:38
    Đang xóa mục nhập bộ đệm!

CertUtil: Lệnh -PolicyCache hoàn tất thành công.
  1. certreq -machine -q -enroll -cert <dấu vân tay> gia hạn tất nhiên với dấu vân tay chính xác được thay thế. Đầu ra:
https://ces1.a.local/IssuingCA_CES_Certificate/service.svc/CES
    Không thể gửi yêu cầu chứng chỉ cho cơ quan cấp chứng chỉ.
    Truy cập đã bị từ chối bởi điểm cuối từ xa. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
Bộ xử lý yêu cầu chứng chỉ: Điểm cuối từ xa đã từ chối quyền truy cập. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)

Nhóm ứng dụng trên CES được ủy quyền cho người dùng a\ces. CEP chỉ sử dụng danh tính nhóm ứng dụng mặc định. Tôi cũng đã thử thay đổi nó thành a\ces (và tạo SPN tương ứng), nhưng điều đó không tạo ra bất kỳ sự khác biệt nào. Tôi đang thay đổi điều đó trở lại. Bất kỳ ý tưởng những gì đang xảy ra ở đây? Tôi rất mới với tất cả những điều này. Chỉ cần làm theo hướng dẫn.

240
0 + 0
lá cờ cn
Crypt32
bạn đã định cấu hình ủy quyền thông tin xác thực trên danh tính nhóm ứng dụng CES chưa?
0
Hồi đáp
Roman avatar
lá cờ us
Roman
Như tôi đã nói, vâng, nhóm ứng dụng trên CES được ủy quyền cho tài khoản người dùng miền.
0
Hồi đáp
lá cờ cn
Crypt32
câu hỏi của tôi thì khác: tài khoản người dùng trong miền của bạn có đáng tin cậy để ủy quyền thông tin xác thực không?
0
Hồi đáp
Roman avatar
lá cờ us
Roman
Có, các thuộc tính của tài khoản miền (CES) đã được sửa đổi thành "tin tưởng người dùng này để ủy quyền", "sử dụng bất kỳ giao thức xác thực nào" và cho máy IssuingCA (cũng là máy chủ CES): HOST, rpcss. Cảm ơn bạn.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.