Le scénario suivant :
- La demande de certificat pour un contrôleur de domaine échoue.
- Auf der Zertifizierungsstelle wird die Zertifikatanforderung bei den fehlgeschlagenen Anforderungen (failed Requests) protokolliert. Die Fehlermeldung lautet:
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
L'erreur est également signalée à l'autorité de certification par Événement n° 53 sont consignées.
Active Directory Certificate Services denied request 165405 because The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE). The request was for INTRA\DC01$. Additional information: Denied by Policy Module
La demande de certificat est également ajoutée à la liste des demandes ayant échoué dans l'autorité de certification, ce qui signifie que la transmission de la demande de certificat du contrôleur de domaine à l'autorité de certification a manifestement fonctionné, mais que cette dernière ne peut pas la traiter.
Cause possible
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le modèle de certificat d'authentification Kerberos et les modèles de certificats dérivés pour les contrôleurs de domaine contiennent l'indicateur CT_FLAG_SUBJECT_ALT_REQUIRE_DOMAIN_DNS.
Ce drapeau fait en sorte que l'autorité de certification entre le nom de domaine pleinement qualifié (FQDN) ainsi que le nom NETBIOS du demandeur dans l'extension Subject Alternative Name (SAN) du certificat et exige que l'autorité de certification puisse parler au contrôleur de domaine demandeur par NTLM.
Cette communication s'effectue via le port TCP 445, qui doit être libéré en conséquence dans la configuration du pare-feu du réseau.
L'erreur se produira également si NTLMv2 a été désactivé via la stratégie de groupe.
Tester
Il est relativement facile de vérifier si cela est la cause du problème avec la commande PowerShell Test-NetConnection, qui doit être appelée à partir de l'autorité de certification.
Test-NetConnection -ComputerName {Name-des-beantragenden-DomainControllers} -Port 445
La commande doit retourner True pour que la connexion RPC Named Pipes puisse fonctionner.
Trivia
Les drapeaux définis pour un modèle de certificat peuvent être consultés avec la commande de ligne de commande suivante :
certutil -v -template {Name-der-Zertifikatvorlage}
Liens complémentaires :
- Règles de pare-feu requises pour Active Directory Certificate Services
- Les certificats de contrôleur de domaine ne contiennent pas le nom de domaine dans le Subject Alternative Name (SAN).
- Aperçu des différentes générations de certificats de contrôleur de domaine
- Modèles de certificats de contrôleur de domaine et inscription par carte à puce
- Demande manuelle de certificat de contrôleur de domaine
Sources externes
- msPKI-Certificate-Name-Flag Attributs (Microsoft)
Français 
Deutsch 
English
Les commentaires sont fermés.