小编maw*_*ras的帖子

我的 Win7 盒子上的证书存储不断挂起。观察：

C:\>1.cmd

C:\>certutil -? | findstr /我平
  -ping -- Ping Active Directory 证书服务请求接口
  -pingadmin -- Ping Active Directory 证书服务管理界面

C:\>set PROMPT=$P($t)$G

C:\(13:04:28.57)>certutil -ping
CertUtil: -ping 命令失败: 0x80070002 (WIN32: 2)
CertUtil：系统找不到指定的文件。

C:\(13:04:58.68)>certutil -pingadmin

CertUtil: -pingadmin 命令失败: 0x80070002 (WIN32: 2)
CertUtil：系统找不到指定的文件。

C:\(13:05:28.79)>设置提示=$P$G

C:\>

说明：

• 第一个命令显示certutil有–ping和–pingadmin参数
• 尝试任何 ping 参数失败，超时 30 秒（当前时间在提示中看到）

这是一个严重的问题。它破坏了我的应用程序中的所有安全通信。如果有人知道如何解决这个问题 - 请分享。

谢谢。

聚苯乙烯

1.cmd 只是这些命令的一批：

certutil -? | findstr /i ping
set PROMPT=$P($t)$G
certutil -ping
certutil -pingadmin
set PROMPT=$P$G

编辑1

我已成功确定导致问题的单个 Windows API - …

我正在考虑安装一个新的 AD 集成企业证书颁发机构结构，但发现有人已经创建了一个 CA（主要用于内部网站上的 SSL）。

我想根据最佳实践来构建新结构，方法是创建一个离线根、授权多个从属 CA 进行容错等，但我不想弄乱已经存在的东西。显然，您不能将现有的根 CA 变成从属 CA，因此排除了这种可能性。

我可以简单地在别处安装新的根目录，而不是触及现有的根目录吗？（或者也许用新根的权限对现有 CA 进行交叉签名？）

我已经为这个问题苦苦挣扎了好几天，似乎找不到其他有类似问题的人。

我首先要注意的是，我已经尝试使用漫游配置文件和组策略设置来强制本地配置文件......现在解决这个问题。

我想要做的是让我的教师帐户使用他们的域凭据登录到他们的笔记本电脑。登录他们的桌面后，文档将被重定向到网络共享 //server/redirects/documents/。

当计算机连接到域网络时，这可以正常工作。离线文件同步效果很好，可以在本地缓存文件。

然而，当计算机不再连接到域网络时，当用户登录时，这一切都会中断。当用户登录桌面并且文档为空时。我觉得很奇怪的是，如果我手动转到脱机文件夹，所有文件都在那里，组策略文件夹重定向不会执行到脱机文件夹。这是设计的吗？（它在 Vista 上不是这样工作的，我在 vista 机器上设置了完全相同的组策略设置，并且可以完美运行）。

附加信息

当我查看事件日志时，当用户登录且未连接到网络时，根本没有文件夹重定向事件。

此外，在 c:/users/username.domain.00x 中创建了一个新配置文件。每次登录都会创建一个附加配置文件。有一个事件表明注册表文件仍在使用中。

任何帮助，将不胜感激。

我们在 Windows 2008R2 上运行企业 CA。我刚刚在我的工作站上更新了 Windows 7。现在，每次我使用 rdp 连接到远程服务器时，都会收到一条警告，指出服务器名称错误。这是因为我只使用主机名进行连接，而证书是使用 fqdn 创建的。

服务器上的证书是使用基于计算机模板的模板使用自动注册创建的。

有没有办法自动将主机名包含为主题备用名称 (san) 并仍然使用自动注册？我想自动注册证书，具有server和server.domain.local作为一个有效的名称。

如何在我的域控制器中查看内存中 OCSP 缓存到 CRL 缓存的大小？

换句话说，大多数使用 CryptoAPI 的 Windows 进程都具有与该应用程序相关的每个 CRL 和 OCSP 的内存缓存。这很重要，因为客户端内存使用和网络 IO 请求数量之间存在巨大的性能权衡。

在我的情况下，CRL“客户端”是验证 WCF 证书身份验证的服务器

我有一个包含三个节点的 DFS-R 命名空间。其中两个节点工作得很好，但第三个节点做了一些非常奇怪的事情。

当您通过命名空间浏览节点时，当您切换到一个文件夹时，它会将您从文件夹中转出并返回到您之前所在的位置。有时，它会将您从该文件夹中转储出来，然后您会看着您以自己的方式备份目录树。

我为动画 gif 道歉，但它发生时看起来像这样：

1. 在apps命名空间的节点中
2. 切换到“MYOB”目录
3. 大约 1 秒后，被转储回apps节点

什么可能导致这种情况？节点是 Server 2012 R2。

我在一个小型系统群中的 Windows 服务器上安装了一个 CA。我已经在 CA 上安装了证书颁发机构 Web 注册和证书注册 Web 服务角色。

我想向未连接到我的域的计算机颁发计算机证书。尝试 Web 注册的用户具有域凭据。

用户能够导航到https://myServerHostname/certsrv并成功请求用户证书。

但是，用户也需要计算机证书。从 certsrv 站点，用户尝试了以下操作：

• 高级证书申请
• 创建并向此 CA 提交请求

但是，计算机证书模板在证书模板标题下不可用。他只看到“用户”和“基本 EFS”。

如何配置 CA 以允许他为其系统请求计算机证书？

我的公司有一台 Windows 2003 根证书颁发机构服务器，用于生成远程桌面服务登录的客户端证书以及内部 HTTPS 网站的证书。

它最近出现了一些问题，我们想重新启动服务器。

这些问题是由于“RPC 服务器不可用”错误而无法通过远程桌面远程登录，以及无法创建新证书。我们尝试停止和重新启动一些服务，但其中一些服务仍停留在“停止”阶段。服务器正常运行时间接近一年半，假设重启应该让一切恢复原状。

但是，一些 IT 人员声称，如果我们重新启动 CA，所有服务器（IIS、SQL Server 等）上的所有服务都将停止工作，直到系统重新联机。

我找不到任何 Microsoft 文档来支持该立场，但我也找不到任何文档证明不会对运行服务产生任何影响。

这里有人知道重新启动公司根 CA 服务器可能会产生什么潜在影响吗？

所以我有一个有效的 Active Directory。我最近添加了一台新机器来充当 Active Directory 证书颁发机构。

我已根据此文档为自动证书注册添加了组策略（计算机级别）。并验证我的 CA 出现在我所有域成员的受信任根证书中。

我已导出 CA 的根证书并将其添加到我的工作站（计算机）受信任的根 CA 列表中。

当我想远程桌面进入我的远程服务器时，它仍然弹出这样的警告：

当我查看证书时，很明显正在发送的证书是默认的机器自签名证书。如何让 Windows 根据我的新受信任根 CA 重新颁发机器证书？我猜我需要为某处的机器证书创建一个自动批准策略，可能对谁/如何提出此类请求有一些限制。然后我猜我需要推送一个域策略，以某种方式指示我的所有域成员获取他们的机器证书。

这对任何人来说听起来都很熟悉吗？我认为我找不到关于此的文档的原因是因为我不知道正确的术语。

是否可以在 Windows Server 2012 中创建多个证书颁发机构？具体来说：我想创建一个独立的根 CA，它将在离线安全存储中拥有其私钥。主要颁发（企业）CA 应具有由根 CA 签署的证书。

仅安装 1 个 Windows Server 2012 就可以做到这一点，还是您真的需要创建多个 VM，每个 VM 都有一个 CA？

我有一台 2003 年的 windows 服务器作为我们的域控制器，我正在尝试将活动目录升级到我们运行 windows server 2008r2 的新虚拟机之一。

我完成了我认为在 2003 机器上需要的所有步骤。Adprep /forestprep 和 adprep /domain prep。进入注册表，发现条目显示我的活动目录在版本 44 上，即 windows 2008r2。

此时，我登录到新的 2008 服务器并运行 Active Directory 域服务安装向导，一旦我到达列出域的部分，我必须选择一个，我的域就在列表中。我选择该域并单击下一步只会收到错误...

要将域控制器安装到此活动目录林中，您必须首先使用“adprep /forestprep”准备林。adprep 实用程序位于 Windows Server 2008 r2 安装介质的 \support\adprep 文件夹中。

我什至回到 2003 年的机器并尝试再次运行所有命令，但它只是返回说它们已经运行并升级了。

有没有人遇到过这样的问题，或者知道是什么原因造成的。

我有一个 AD 域（2 个 dcs 单域）和一些成员服务器。我需要配置时间同步，以便一切都同步。

关于这个话题有很多废话。有没有人有一个简单的命令列表来运行？我已经用谷歌搜索了这个，但很多人对继续这样做的最佳方式持不同意见。

我的服务器都是 VMWare VM（我知道关于 DC 应该是虚拟的还是物理的的争论......）。

有没有办法在没有域的情况下在 Windows 7 上安装轻量级 Active Directory 用于开发目的？我已经为 Windows 7 下载了“AD LDS”并安装了它，但它似乎需要网络上存在实际的域服务器。是否可以在名为“localhost”的域上运行活动目录？