ADCS 削除後にルート CA 証明書が再追加、自動配付されないがあるようです。こちら、手動で消した後、しばらく落ちてこないことはありましたが、しばらくすると配付されていたことがあります。
こちら
削除後にルート CA 証明書が再追加されない
質問の抜粋です。
誰かが私を助けてくれることを願っていました。ADCS 2012 R2 ルートおよび下位 CA 証明書が、削除後にメンバー サーバーに再追加されない顧客がいます。セットアップは次のとおりです。
2003 機能モードで実行されている 2012 フォレスト: ルート ドメインと子ドメイン
ルート CA はルート ドメイン (電源オフ) にあり、サブ CA は子ドメインにあります。
複雑な GPO はなく、各ドメインの既定のドメイン ポリシーのみ
メンバー サーバーは、子ドメインに参加するときに最初にルートおよびサブ CA 証明書を取得します。
メンバー サーバーから CA 証明書を削除すると、再追加されません。
CA証明書が削除されてから3〜4日以上待っていましたが、うまくいきませんでした
gpresult は、既定のドメイン ポリシーがメンバー サーバーに適用されていることを示しています。
次の記事の「certutil -pulse」と「gpupdate /force」の手順を試しましたが、うまくいきませんでした。「ルート CA 証明書はどのようにドメイン クライアントに配布されますか?
https://social.technet.microsoft.com/Forums/windowsserver/en-US/dc4891be-e3ea-4321-972f-e66eee6ed1d1/how-does-a-root-ca-certificate-get-distributed-to-domain- client?forum=winserversecurity
動作しているように見える唯一のものは次のとおりです。1) サブ CA に対する証明書のメンバー サーバーを登録します。これにより、サブ CA およびルート CA 証明書が再入力されますが、両方の証明書が中間 CA ストアに配置されます。
2) 子ドメインからメンバー サーバーを削除し、ドメインに再度追加します。
GPO の伝播とネットワーク トラフィック フローが正常な場合 (つまり、完全なシナリオ)、AD からこれらのサーバーの CA 証明書を再入力することが保証されているメンバー サーバーで GPO が更新されるのを待っていますか?
続いて、回答の抜粋です。
製品チームと話しましたが、私の推測は正しかったです。クライアントは情報の USN を追跡して、何かが変更されたかどうかを確認します。これは、クライアントが将来別の DC を照会した場合に備えて、DC ごとに追跡されます。このデータは、各クライアントの次の場所に保存されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache\3922a8a6-7156-4669-9f4c-e3bd7c25a7a7
このフォルダー内のレジストリ キー、GUID フォルダー自体、または AEDirectoryCache フォルダーを削除すると、クライアントは次の GPO 更新時に DC から CA オブジェクトを再ダウンロードします。
このコマンドを使用してエントリの 1 つを削除し、certutil -pulse を実行して情報を再ダウンロードできます。
certutil -delreg \SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache\3922a8a6-7156-4669-9f4c-e3bd7c25a7a7\aemaxusn
レジストリを操作するという前提は知りませんでしたが、同様の事象がでている場合に参考になるかもしれません。
 |
|
バッファロー マウス 無線 ワイヤレス 静音 5ボタン 【戻る/進むボタン搭載】dpi切替 BlueLED ブラック BSMBW325BK |
