Hatten Sie jemals ein Problem bei der Installation der Active Directory Certificate Services Web Enrollment-Rollenfunktion auf einem Server, der von der Zertifizierungsstelle getrennt ist?
Wenn Sie die AD/CS Web Enrollment-Rollenfunktion auf einem von Ihrer CA getrennten Server installiert haben und diese Rollenfunktion fälschlicherweise anzeigt, dass Ihre Ziel-CA offline ist, müssen Sie wahrscheinlich zusätzliche Servicefunktionen manuell an den AD/CS Web Enrollment-Server delegieren, damit Ihr Web Enrollment-Server voll funktionsfähig ist.
Bei der Installation der Rollenfunktion "Webregistrierung der Zertifizierungsstelle" auf einem Server, der NICHT auch die Zertifizierungsstelle ist, sind möglicherweise einige zusätzliche Schritte erforderlich, damit diese Funktion funktioniert.
Damit diese Rollenfunktion in der vorgesehenen Weise funktioniert, muss das Serverobjekt im AD, das die Rollenfunktion "Certificate Authority Web Enrollment" beherbergt, zunächst geändert werden.
Das Serverobjekt im AD, das die Rollenfunktion "Webregistrierung der Zertifizierungsstelle" beherbergt, muss über die Berechtigung für die Zertifizierungsstelle verfügen, der es zugeordnet ist. Diese Berechtigung wird über die Registerkarte " Delegation" im Snap-In "Active Directory-Benutzer und -Computer" erteilt.
Um dem Serverobjekt im AD, das die Rolle "Webregistrierung der Zertifizierungsstelle" beherbergt, die richtige Delegation zu geben, müssen zwei Delegationen erteilt werden. Dies ist ein recht unkomplizierter Prozess, der in diesem Abschnitt erläutert wird.
Schritt 1:
Klicken Sie mit der rechten Maustaste auf das AD-Objekt des Web Enrollment Servers im Snap-In "Active Directory-Benutzer und -Computer". Wählen Sie die Registerkarte "Delegation".
Schritt 2:
Wählen Sie "Diesem Computer nur für die Delegierung an bestimmte Dienste vertrauen", wählen Sie dann "Beliebiges Authentifizierungsprotokoll verwenden" und drücken Sie die Schaltfläche "Hinzufügen" .
Schritt 3:
Fügen Sie die zu delegierenden Dienste hinzu. Klicken Sie auf dieSchaltfläche "Benutzer oder Computer" und wählen Sie das AD-Objekt der CA aus.
Das Ergebnis ist eine vollständige Liste aller auf der CA laufenden Dienste. Dieses Verfahren benötigt nicht alle diese Prozesse, da nur die Prozesse HOST und RPCSS benötigt werden.
Wählen Sie anschließend unter "Verfügbare Dienste" Folgendes aus
- RPCSS
- HOST
Drücken Sie 'OK' und dann 'OK'.
Schritt 4:
Starten Sie sowohl die CA als auch den Web Enrollment Server neu.
Damit sollte Ihr AD/CS Web Enrollment Server wie vorgesehen funktionieren.
