我有兩個具有雙向林信任的 AD 網域。我希望 DomainB 中的電腦帳戶從 DomainA 中的兩層 Windows CA 註冊電腦用戶端身份驗證憑證。我為此在頒發 CA 中配置了一個憑證模板,並為 DomainB 中的電腦授予了讀取和註冊權限。
我根據 Microsoft 的規定,在 DomainA 中為憑證註冊策略 Web 服務和憑證註冊 Web 服務設定了頒發 CA文件。 CEP 和 CES 使用 Kerberos 驗證,該驗證使用具有 SPN 的網域服務帳戶,並配置為 HOST 和 RPCSS 的 Kerberos 委派。此服務帳戶是 IISUsers 群組的成員,並且對頒發 CA 具有請求憑證的權限。
為了進行測試,我在 DomainB Win10 電腦上使用憑證管理員來使用 CEP URI 手動設定註冊策略,但出現錯誤:“存取被遠端端點拒絕但是,如果我刪除服務帳戶上 HOST 和 RPCSS 的 SPN 和 Kerberos 委派,它會正確完成。
如果我隨後嘗試為 DomainB 中的電腦要求新證書,我可以看到頒發 CA,但它說證書類型不可用即使電腦具有讀取和註冊權限。日誌記錄除了可以看到憑證範本之外什麼也沒告訴我。
你知道我在這裡做錯了什麼嗎?這應該可以使用 Kerberos 身份驗證,對吧?
答案1
我終於弄清楚了。我在這裡列出解決方案以幫助將來的其他人。
有效的設定是使用應用程式集區識別(而不是具有 SPN 和 Kerberos 委派的 AD 服務帳戶)在 CA 上安裝 CES 和 CEP。這裡不需要它,因為 CES 和 CEP 安裝在 CA 上。如果這些角色位於不同的伺服器上,情況可能會如此。 CES 和 CEP 均配置為使用 Kerberos 驗證。此配置允許 DomainB 中的電腦驗證和使用 CEP URI。
配置完成後,DomainB 中的電腦可以連接到 CEP 並查看模板,但收到 DS 參考錯誤 -0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED) 從伺服器傳回引用。 0x8007202b(WIN32:8235 ERROR_DS_REFERRAL)。在 CA 上啟用 LDAP 引用支持certutil -setreg 策略\EditFlags +EDITF_ENABLELDAPREFERRALS然後重新啟動 CA 服務並執行 IISRESET。