Tenho dois domínios AD com uma confiança florestal bidirecional. Desejo que as contas de computador no DomínioB se inscrevam em certificados de autenticação de cliente de computador da CA do Windows de duas camadas no DomínioA. Configurei um modelo de certificado na CA emissora para isso e concedi direitos de leitura e inscrição ao computador no DomínioB.
Configurei a CA emissora no DomínioA para o Serviço Web de Política de Inscrição de Certificados e o Serviço Web de Inscrição de Certificados de acordo com a Microsoftdocumentação. CEP e CES estão usando autenticação Kerberos usando uma conta de serviço de domínio com SPN e configurada para delegação Kerberos para HOST e RPCSS. A conta de serviço é membro do grupo IISUsers e tem direitos de Solicitar Certificados na CA emissora.
Para testar, estou usando o Cert Manager em um computador DomainB Win10 para configurar manualmente uma política de inscrição usando o URI do CEP, mas recebo o erro "O acesso foi negado pelo endpoint remoto". No entanto, ele será concluído corretamente se eu remover a delegação SPN e Kerberos para HOST e RPCSS na conta de serviço. A conta de serviço CES deve ter a delegação Kerberos configurada, certo?
Se eu tentar solicitar um novo certificado para o computador no DomínioB, posso ver a CA emissora, mas ela dizOs tipos de certificado não estão disponíveismesmo que o computador tenha direitos de leitura e registro. O registro não me diz nada, exceto que pode ver o modelo de certificado.
Alguma idéia do que estou fazendo de errado aqui? Isso deve funcionar usando a autenticação Kerberos, certo?
Responder1
Eu finalmente entendi. Estou listando a solução aqui para ajudar outras pessoas no futuro.
A configuração que funciona é instalar o CES e o CEP na CA usando a identidade do pool de aplicativos (não uma conta de serviço AD com delegação SPN e Kerberos). Não é necessário aqui porque o CES e o CEP estão instalados no CA. Provavelmente seria se as funções estivessem em servidores separados. O CES e o CEP estão configurados para usar a autenticação Kerberos. Esta configuração permite que os computadores no Domínio B validem e usem o URI do CEP.
Depois de configurar isso, os computadores no Domínio B puderam se conectar ao CEP e ver o modelo, mas estavam recebendo um erro de referência do DS -0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) Uma referência foi retornada do servidor. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL). Habilite o suporte de referência LDAP na CA comcertutil -setreg Política\EditFlags +EDITF_ENABLELDAPREFERRALSem seguida, reinicie o serviço CA e execute IISRESET.