[Active Directory] Problèmes de certificats
Chupicobra
Messages postés
2
Statut
Membre
-
vbubu -
vbubu -
Bonjour !
Voilà, ça fait près d'une semaine que j'essaie de me dépatouyer (^^) avec ce problème mais là, je cris au-secours lol :p
Je tente d'implanter une PKI en supplément d'un serveur VPN. J'ai 2 contrôleurs de domaine, un primaire et un secondaire. Le secondaire fait office de serveur VPN et le primaire d'autorité racine de certification. Il y quelques client XP.
J'ai appliqué une GPO pour l'inscription automatique de certificat machine. Tous les postes ont alors récupéré un certificat...sauf un : le contrôleur de domaine secondaire et donc mon serveur de VPN. Le problème, c'est que je veux utiliser une authentification EAP/TLS pour la connexion des clients au serveur VPN. Et pour pouvoir valider l'authentification, j'ai besoin d'inscrire le certificat machine du serveur VPN qu'il ne réussit pas à récupérer auprès de l'autorité racine de certification.
Du coup, le serveur VPN envoie à chaque fois un certificat par défaut aux clients et la connexion est impossible... :(
J'ai été faire un tour au niveau de l'observateur d'évènements du VPN, et voici ce que j'ai :
Erreur : AutoEnrollment
ID Even. : 13
Description : L'inscription automatique de certificat pour Système Local n'a pas pu inscrire un certificat Contrôleur de domaine (0x80070005) Accès Refusé.
Et j'ai également découvert que 2 messages venaient en boucle toutes les 5 minuetes et ce depuis un certain temps. J'avais eu ces même messages sur le DC primaire ya quelques temps mais un simple redémarrage du DC secondaire avait suffit. Ca a bien roulé pendant 2 ou 3 semaines mais maintenant c'est le secondaire qui fout sa merde :
Erreur : UserEnv
ID Even. : 1030
Description : Windows ne peut accéder à la liste des objets de stratégies de groupe. Veuillez consulter...
Erreur : UserEnv
ID Even. : 1058
Description : Windows ne peut pas accéder au fichier gpt.ini pour l'objet Stratégie de groupes cn={60533FE0-742D-4498-A2A0-89AB0A2DC83F},cn=policies,cn=system,DC=boby. Le fichier doit être présent à l'emplacement <\\boby.com\sysvol\boby.com\Policies\{60533FE0-742D-4498-A2A0-89AB0A2DC83F}\gpt.ini>. (Le chemin d'accès spécifié est introuvable.). Le traitement de la stratégie de groupe est interrompu
Je pense que l'id 1058 est p-e à la source de mon problème. Mais je vois vraiment pas comment arrêter ces messages
D'avance merci pour votre aide
Voilà, ça fait près d'une semaine que j'essaie de me dépatouyer (^^) avec ce problème mais là, je cris au-secours lol :p
Je tente d'implanter une PKI en supplément d'un serveur VPN. J'ai 2 contrôleurs de domaine, un primaire et un secondaire. Le secondaire fait office de serveur VPN et le primaire d'autorité racine de certification. Il y quelques client XP.
J'ai appliqué une GPO pour l'inscription automatique de certificat machine. Tous les postes ont alors récupéré un certificat...sauf un : le contrôleur de domaine secondaire et donc mon serveur de VPN. Le problème, c'est que je veux utiliser une authentification EAP/TLS pour la connexion des clients au serveur VPN. Et pour pouvoir valider l'authentification, j'ai besoin d'inscrire le certificat machine du serveur VPN qu'il ne réussit pas à récupérer auprès de l'autorité racine de certification.
Du coup, le serveur VPN envoie à chaque fois un certificat par défaut aux clients et la connexion est impossible... :(
J'ai été faire un tour au niveau de l'observateur d'évènements du VPN, et voici ce que j'ai :
Erreur : AutoEnrollment
ID Even. : 13
Description : L'inscription automatique de certificat pour Système Local n'a pas pu inscrire un certificat Contrôleur de domaine (0x80070005) Accès Refusé.
Et j'ai également découvert que 2 messages venaient en boucle toutes les 5 minuetes et ce depuis un certain temps. J'avais eu ces même messages sur le DC primaire ya quelques temps mais un simple redémarrage du DC secondaire avait suffit. Ca a bien roulé pendant 2 ou 3 semaines mais maintenant c'est le secondaire qui fout sa merde :
Erreur : UserEnv
ID Even. : 1030
Description : Windows ne peut accéder à la liste des objets de stratégies de groupe. Veuillez consulter...
Erreur : UserEnv
ID Even. : 1058
Description : Windows ne peut pas accéder au fichier gpt.ini pour l'objet Stratégie de groupes cn={60533FE0-742D-4498-A2A0-89AB0A2DC83F},cn=policies,cn=system,DC=boby. Le fichier doit être présent à l'emplacement <\\boby.com\sysvol\boby.com\Policies\{60533FE0-742D-4498-A2A0-89AB0A2DC83F}\gpt.ini>. (Le chemin d'accès spécifié est introuvable.). Le traitement de la stratégie de groupe est interrompu
Je pense que l'id 1058 est p-e à la source de mon problème. Mais je vois vraiment pas comment arrêter ces messages
D'avance merci pour votre aide
A voir également:
- [Active Directory] Problèmes de certificats
- Directory list & print - Télécharger - Divers Utilitaires
- Comment activé - Guide
- Active partition disk - Télécharger - Stockage
- Directory opus - Télécharger - Gestion de fichiers
- Npd activé c'est quoi - Guide
2 réponses
Bon...le pb des erreurs UserEnv est réglé sur le VPN. J'ai ajouté une entrée dans mon DNS. Je suis sûr et certain à 200% qu'elle y était avant. ^^
Sinon, maintenant je retrouve mes erreurs UserEnv sur le contrôleur principal :X Et je ne peux plus ouvrir "Stratégie de sécurité du domaine / contrôleur de domaine", il me dit que j'ai pas le droit. J'ai également remarqué que les droits au niveau du dossier Sysvol pour Créateur Propriétaire étaient à 0 et quand je mets Contrôle Total, ce con de Windows les remets à 0.
Quelqu'un aurait une idée ?
Sinon, maintenant je retrouve mes erreurs UserEnv sur le contrôleur principal :X Et je ne peux plus ouvrir "Stratégie de sécurité du domaine / contrôleur de domaine", il me dit que j'ai pas le droit. J'ai également remarqué que les droits au niveau du dossier Sysvol pour Créateur Propriétaire étaient à 0 et quand je mets Contrôle Total, ce con de Windows les remets à 0.
Quelqu'un aurait une idée ?
CBE
Les droits pour créateur propri sont tjrs a blanc, il faut aller dans avancé pour les voir.
j'ai aussi l'erreur 1058 mais j'avoue ne pas avoir trouver de solution sur le site de tech net.
J'ai un 2 DC un principal et un secondaire (le secondaire est authorité de certification)
un exchange dorsal et un frontal
tous menbre de mon domaine
Est un VPN qui n'est pas menbre de mon domaine si quelqu'un peu me dire d'ou vient cette erreur sachant que je n'est que ca je suis vraiment prenneur.
merci de votre aide
J'ai un 2 DC un principal et un secondaire (le secondaire est authorité de certification)
un exchange dorsal et un frontal
tous menbre de mon domaine
Est un VPN qui n'est pas menbre de mon domaine si quelqu'un peu me dire d'ou vient cette erreur sachant que je n'est que ca je suis vraiment prenneur.
merci de votre aide
Je ne sais si c'est lié, mais j'ai trouvé.
Dans les paramètres avancés de connexions réseaux, j'ai mis en premier ma carte réseau utilisée.
Ayant du VMWARE, j'ai plusieurs configurations réseaux.
L'erreur type "windows ne peut accéder à la liste des objets de stratégie de groupe" n'est plus apparu.
Cordialement,
Dans les paramètres avancés de connexions réseaux, j'ai mis en premier ma carte réseau utilisée.
Ayant du VMWARE, j'ai plusieurs configurations réseaux.
L'erreur type "windows ne peut accéder à la liste des objets de stratégie de groupe" n'est plus apparu.
Cordialement,
