none
2008r2,域内ca服务器问题 RRS feed

  • 问题

  • 在域内ca服务器发现一些申请人为服务器名字,如下记录,

    申请人姓名,模板,请求类型

    RADIUS$ wifi.Radius (1.3.6.1.4.1.311.21.8.8647761.7579646.7489463.2576837.1512522.33.15249991.14513199) 263168

    RADIUS$ Web服务器 (1.3.6.1.4.1.311.21.8.8647761.7579646.7489463.2576837.1512522.33.9828700.6780531) 263168
    RADIUS$ 计算机 (Machine) 262400
    RADIUS$ 域控制器 (DomainController) 262400
    DC$ 域控制器身份验证 (1.3.6.1.4.1.311.21.8.8647761.7579646.7489463.2576837.1512522.33.1.28) 263168
    DC$ 域控制器身份验证 (1.3.6.1.4.1.311.21.8.8647761.7579646.7489463.2576837.1512522.33.1.28) 263168

    1/DC会自动向域内ca申请证书?证书用途?

    2/RADIUS会自动向域内申请证书?证书用途?

    2019年7月18日 7:21

答案

  • 尊敬的客户,您好!

    以下是对我们问题的回答:

    2.我域内有2台平等的根域ca(a 和 b),dc之前是向时间稍早创建的a申请证书而且自动续订,现在a有问题硬件关机无法启动,如何让dc向b申请证书并且自动续订?

    因为自动续订证书是证书模板的权限,证书模板在企业CA上配置,并应用于接受或拒绝传入证书请求。 只有企业CA才能根据证书模板颁发证书。

    (1)如果手动申请证书,我们可以选择颁发证书的CA;




    (2)如果自动申请证书,那么就看我们的CA上是否颁发了这样的证书模板;

    (3)如果是一层CA,且有多个CA的话,那么把相同的证书模板颁发到指定的CA上,那么自动注册的时候就会找指定的CA注册证书。


    3.radius到dc验证用户身份,使用的协议是ldap还是kerberos或许其他协议?

    NPS找DC就跟域内客户端登录找DC使用同样的验证过程,使用Kerberos验证。


    4.域控是在什么情况下会向ca申请  (域控制器)和(域控制器身份验证)证书?

    从以下的文章,可以看出,默认情况下,我们的域控制器将使用3个内置证书模板之一。 每个操作系统版本都会连续引入这些模板。 这些模板是:

    域控制器(Windows Server 2000)
    域控制器身份验证(Windows Server 2003)
    Kerberos身份验证(Windows Server 2008及更高版本)



    在我的测试环境中,我发现:
    (1) 在CA所在的域里新增加域控的时候,会生成对应的域控制器证书。
    (2) 或者新建CA以后,CA上会生成对应的域里的域控制器证书。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月22日 10:48
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您再我们的TechNet论坛发帖。

    1. 请问我们这个RADIUS设备也是作为域控制器吗?如果不是的话,应该不会产生这个证书 RADIUS$ 域控制器 (DomainController)因为我的环境中,我把机器加入域以后,并没有自动生成对应的计算机证书。

    2. 请问这个DC是域控制器吗?如果这个DC确实是DC, 我在我的环境中检查,我有一台子域的DC加入域并提升为域控制器时,确实生成了对应的域控制器证书。

    我是根据这台域控制器SYSVOL生成的时间和对应的域控制器证书生成的时间一致,看出来的。但是这个证书使用的是模板是域控制器(Domain Controller), 并不是域控制器身份验证(Domain Controller Authentication)







    我们可以结合这些设备是作为什么功能而使用的,和设备开始使用的时间结合起来看,但是根据上面的推理,我认为设备不会自动向CA申请证书。以上的证书应该是人为手动申请的。





    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月19日 8:58
    版主
  • 1、radius服务器不是域控制器

    2、我域内有2台平等的根域ca(a 和 b),dc之前是向时间稍早创建的a申请证书而且自动续订,现在a有问题硬件关机无法启动,如何让dc向b申请证书并且自动续订?

    3、radius到dc验证用户身份,使用的协议是ldap还是kerberos或许其他协议?

    4、域控是在什么情况下会向ca申请  (域控制器)和(域控制器身份验证)证书?

    2019年7月19日 9:19
  • 非常好,我收藏了!
    2019年7月19日 9:19
  • 尊敬的客户,您好!

    以下是对我们问题的回答:

    2.我域内有2台平等的根域ca(a 和 b),dc之前是向时间稍早创建的a申请证书而且自动续订,现在a有问题硬件关机无法启动,如何让dc向b申请证书并且自动续订?

    因为自动续订证书是证书模板的权限,证书模板在企业CA上配置,并应用于接受或拒绝传入证书请求。 只有企业CA才能根据证书模板颁发证书。

    (1)如果手动申请证书,我们可以选择颁发证书的CA;




    (2)如果自动申请证书,那么就看我们的CA上是否颁发了这样的证书模板;

    (3)如果是一层CA,且有多个CA的话,那么把相同的证书模板颁发到指定的CA上,那么自动注册的时候就会找指定的CA注册证书。


    3.radius到dc验证用户身份,使用的协议是ldap还是kerberos或许其他协议?

    NPS找DC就跟域内客户端登录找DC使用同样的验证过程,使用Kerberos验证。


    4.域控是在什么情况下会向ca申请  (域控制器)和(域控制器身份验证)证书?

    从以下的文章,可以看出,默认情况下,我们的域控制器将使用3个内置证书模板之一。 每个操作系统版本都会连续引入这些模板。 这些模板是:

    域控制器(Windows Server 2000)
    域控制器身份验证(Windows Server 2003)
    Kerberos身份验证(Windows Server 2008及更高版本)



    在我的测试环境中,我发现:
    (1) 在CA所在的域里新增加域控的时候,会生成对应的域控制器证书。
    (2) 或者新建CA以后,CA上会生成对应的域里的域控制器证书。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月22日 10:48
    版主