Pocit měsíce

Lidé jsou sami, protože staví zdi místo mostů.
(Joseph F. Newton)

neděle 18. prosince 2011

Výměna certifikátu na domain controleru

Ve své práci jsem řešil problém, že na domain controleru byl aktivován certifikát autority, který již nebyl platný, a protože už tato autorita neexistovala, nebyl server schopen si jej obnovit a nebyl ani ochoten si najít jinou, existující autoritu v jeho doméně a použít ji.

Návod, který jsem pracně hledal až našel nechávám v původním znění:


Request a new domain controller certificate
The Kerberos client validates the domain controller certificate to ensure that the communication is encrypted.
To resolve this issue:
  • Delete the domain controller certificate that is no longer valid.
  • Request a new certificate.

To perform these procedures, you must be a member of the Domain Admins group, or you must have been delegated the appropriate authority.
Delete the domain controller certificate that is no longer valid
To delete the domain controller certificate that is no longer valid:
  1. On the domain controller, click Start, and then click Run.
  2. Type mmc.exe, and then press ENTER.
  3. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.
  4. Click File, and then click Add/Remove Snap-in.
  5. Click Certificates, and then click Add.
  6. Click Computer account, click Next, and then click Finish.
  7. Click OK to open the Certificates snap-in.
  8. Expand Certificates (Local computer), expand Personal, and then click Certificates.
  9. Right-click the old domain controller certificate, and then click Delete.
  10. Click Yes, confirming that you want to delete the certificate.
  11. After the certificate is deleted, follow the procedure in the "Request a new certificate" section.

Request a new certificate
To request a new certificate:
  1. Expand Certificates (Local computer),right-click Personal, and then click Request New Certificate.
  2. Complete the appropriate information in the Certificate Enrollment Wizard for a domain controller certificate.
  3. Close the Certificates snap-in.

Verify
To perform this procedure, you must be a member of the Domain Admins group, or you must have been delegated the appropriate authority.
To verify that the Kerberos Key Distribution Center (KDC) certificate is available and working properly:
  1. Click Start, point to All Programs, click Accessories, right-click Command Prompt, and then click Run as administrator.
  2. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Continue.
  3. At the command prompt, type certutil -dcinfo verify, and then press ENTER.
  4. If you receive a successful verification, the Kerberos KDC certificate is installed and operating correctly.
Následuje restart controleru a poté i restart klienta. Pokud i nadále je klientem použit špatný certifikát, znamená to, že smazání neproběhlo dokonale, pro tyto případy bude potřeba použít utilitu CERTUTIL z příkazového řádku. Mě se stalo, že dle graficxkého prostředí byl certifikát smazán, ale pomocí této utility jsem odhalil, že smazán ještě není a smazal jsem jej
Vystavil v
Štítky: