la certutil -ping fallisce con un timeout di 30 secondi - cosa fare?

10

Il negozio di certificati sulla mia scatola Win7 è costantemente sospeso. Osservare:

C: \> 1.cmd

C: \> certutil -? | findstr / i ping
  -ping - Interfaccia richiesta ping Servizi certificati Active Directory
  -pingadmin: interfaccia di amministrazione dei servizi certificati Ping Active Directory

C: \> set PROMPT = $ P ($ t) $ G

C: \ (13: 04: 28.57)> certutil -ping
CertUtil: -ping command FAILED: 0x80070002 (WIN32: 2)
CertUtil: il sistema non riesce a trovare il file specificato.

C: \ (13: 04: 58.68)> certutil -pingadmin

CertUtil: comando -pingadmin NON RIUSCITO: 0x80070002 (WIN32: 2)
CertUtil: il sistema non riesce a trovare il file specificato.

C: \ (13: 05: 28.79)> imposta PROMPT = $ P $ G

C: \>

spiegazioni:

  • Il primo comando mostra che ci sono –pinge –pingadminparametri da certutil
  • Tentare qualsiasi parametro ping ha esito negativo con timeout di 30 secondi (l'ora corrente è visualizzata nel prompt)

Questo è un problema serio Avvita tutta la comunicazione sicura nella mia app. Se qualcuno sa come risolvere questo problema, ti preghiamo di condividere.

Grazie.

PS

1.cmd è semplicemente un batch di questi comandi:

certutil -? | findstr /i ping
set PROMPT=$P($t)$G
certutil -ping
certutil -pingadmin
set PROMPT=$P$G

EDIT1

Sono riuscito a fissare l'API di Windows singola che causa il problema - DsGetDcName

Secondo il windbg, la certutil -ping lo invoca in questo modo:

PDOMAIN_CONTROLLER_INFO pdci;
DWORD ret = ::DsGetDcName(NULL, NULL, NULL, NULL, DS_DIRECTORY_SERVICE_PREFERRED, &pdci);

Sulla mia workstation scade per 30 secondi e quindi restituisce il codice di errore 1355, ovvero ERROR_NO_SUCH_DOMAIN Nessun controller di dominio disponibile per il dominio specificato o il dominio non esiste.

Su un altro computer, che è accidentalmente un server Windows 2003, restituisce quasi immediatamente con il nome del controller di dominio corretto all'interno della DOMAIN_CONTROLLER_INFOstruttura restituita .

Ora la domanda è cosa manca sulla mia stazione di lavoro affinché quell'API trovi il controller di dominio corretto?

security  windows-7  ssl-certificate  certificate  ad-certificate-services 
marchio
fonte

Risposte:

0

Si prega di verificare quanto segue

  1. Riesci a correre certutil -ping -config "cadnsname\CA logical name"dagli host interessati.
  2. Chi ha le autorizzazioni per richiedere i certificati presso la CA (qualcuno ha modificato gli Utenti autenticati in Utenti di dominio)?

  3. Controlla le autorizzazioni DCOM per assicurarti che gli utenti autenticati dispongano delle autorizzazioni corrette nella CA. Autorizzazioni DCOM sulla CA per il gruppo Accesso DCOM del servizio certificati:

    Livello autorizzazioni di accesso -> Accesso locale - Consenti, Accesso remoto - Consenti livello autorizzazioni di avvio e attivazione -> Avvio remoto - Consenti, Attivazione remota - Consenti

Per maggiori dettagli puoi consultare l'URL seguente per la risoluzione dei problemi.

http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

Mit Naik
fonte
Mi dispiace esporre la mia ignoranza, ma come posso sapere il nome CADNS? Sarebbe utile se indicassi come faccio a scoprire il relativo "nome logico \ nome logico". Puoi spiegarci un po 'di più sui passaggi che suggerisci? Grazie.
segna il
Sfortunatamente, non sono riuscito a seguire i passaggi descritti nell'articolo che hai allegato, perché probabilmente è destinato ai computer Windows Server con accesso ad Active Directory. La mia è una workstation Windows 7 senza tale accesso.
segna il
Ho modificato ulteriormente la domanda.
segna il
certutil -adca
nome
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.