Windows

Подлинность не проверена домен windows 7: win 7, ad, проблема с подлинностью клиентской машины

13.08.2004

Содержание

001-ЛБ-УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

УСТАНОВКА ДОМЕННЫХ

СЛУЖБ ACTIVE DIRECTORY

Занятие №1

Учебные Вопросы:

1.Установка системы Windows Server

2.Выполнение послеустановочных задач настройки

3.Установка леса Windows Server

Only for CISM-group from Dobrynin I.S.

Страница 1

Практическая часть — представлена применительно к Windows Server 2008R2.

Особенности практической реализации для Windows Server 2012R2 (2016) приведены в Приложении 1.

Теоретическая часть – обобщенная. Попрошу с ней крепко разобраться!!!

УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а, следовательно, их можно использовать для проверки подлинности пользователя или компьютера.

Кроме того, указанные средства предоставляют пользователям и компьютерам механизм получения доступа к ресурсам предприятия.

Данное занятие посвящено созданию нового леса Active Directory с одним доменом на одном контроллере домена. В ее практических упражнениях представлен процесс создания домена UIB.com, который будет использоваться и в последующих лабораторных и практических занятиях.

Для выполнения упражнений данного занятия вам понадобятся следующие аппаратные и программные средства:

Компьютер, который должен соответствовать минимальным требованиям системы Windows Server 2008 — потребуется не менее 512 Мбайт памяти, 10 Гбайт свободного пространства на жестком диске и процессор х86 с минимальной тактовой частотой 1 ГГц или процессор х64 с минимальной тактовой частотой 1,4 ГГц.

Можно также использовать виртуальные машины, соответствующие тем же требованиям.

В учебных целях, в специализированной аудитории 308, будем пользоваться именно виртуальными машинами.

1. УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY

Доменные службы Active Directory (Active Directory Domain Services, AD DS)

обеспечивают идентификацию и доступ (Identity and Access, IDA) для корпоративных сетей. На этом занятии рассмотрим AD DS и другие роли Active Directory, поддерживаемые в системе Windows Server. Также обсудим Диспетчер сервера (Server Manager), с помощью которого можно конфигурировать роли сервера, а также усовершенствованный Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Здесь также описаны ключевые концепции IDA и Active Directory.

Изучив материал этого занятия, вы должны уметь:

1.Описать роль идентификации и доступа в корпоративной сети.

2.Понимать связь между службами Active Directory.

3.Конфигурировать контроллер домена с ролью Доменные службы Active Directory (AD DS) посредством интерфейса системы Windows.

Only for CISM-group from Dobrynin I.S.

Страница 2

1.1 СТРУКТУРА ACTIVE DIRECTORY, ИДЕНТИФИКАЦИЯ И ДОСТУП

Как известно, структура Active Directory обеспечивает идентификацию и доступ IDA для корпоративных сетей Windows. Решение IDA необходимо для поддержки безопасности корпоративных ресурсов, в том числе файлов, электронной почты, приложений и баз данных. Инфраструктура IDA должна выполнять следующие задачи.

1.Хранение информации о пользователях, группах, компьютерах и других объектах идентификации Объект идентификации (identity) — это представление сущности, выполняющей какие-то действия в корпоративной сети. Предположим, что пользователь открывает документы в общей папке на сервере. Они защищены разрешениями списка контроля доступа (Access Control List, ACL). Доступом к документам управляет подсистема безопасности сервера, который, сравнивая объект идентификации пользователя с объектами в списке ACL, предоставляет или запрещает пользователю доступ. Поскольку компьютеры, группы, службы и другие объекты тоже выполняют определенные действия в сети, они должны быть представлены объектами идентификации. Среди информации об объекте идентификации, которая хранится, есть свойства, уникальным образом идентифицирующие объект, например имя пользователя либо идентификатор безопасности (Security Identifier, SID), а также пароль объекта идентификации. Таким образом, хранилище объектов идентификации является одним из компонентов инфраструктуры IDA. В хранилище данных Active Directory, которое также называется каталогом, хранятся объекты идентификации. Самим хранилищем управляет контроллер домена — сервер, играющий роль AD DS.

2.Проверка подлинности объекта идентификации Сервер не предоставляет пользователю доступа к документу, пока не будет подтверждена подлинность объекта идентификации, представленного в запросе доступа. Чтобы подтвердить подлинность объекта, пользователь указывает секретную информацию, известную только ему и инфраструктуре IDA. Эти данные сравниваются с информацией в хранилище объектов идентификации во время процесса, который называется проверкой подлинности.

3.Управление доступом Инфраструктура IDA обеспечивает защиту конфиденциальных данных, например информации в документе. Доступ к конфиденциальным данным должен контролироваться в соответствии с политиками предприятия. Списки управления доступом ACL документа отражают политику безопасности, состоящую из разрешений, в которых для отдельных объектов идентификации указаны уровни доступа. В данном примере функции контроля доступа в инфраструктуре IDA выполняет подсистема безопасности на сервере.

4.Обеспечение данных аудита Предприятию может потребоваться отслеживать изменения и действия, выполняемые в инфраструктуре IDA, поэтому решение IDA должно обеспечить механизм управления аудитом.

Службы AD DS представляют не единственный компонент IDA, поддерживаемый в системе Windows Server. Начиная с версии Windows Server 2008 корпорация Microsoft

объединила множество ранее разделенных компонентов в интегрированную платформу IDA. Сама структура Active Directory теперь включает пять технологий, назначение которых очевидно из их названий (см. рис. 1.1). Эти технологии полностью реализуют идентификацию и доступ IDA.

Only for CISM-group from Dobrynin I.S.

Страница 3

Партне

 

Прило

 

 

 

Объект

Active

Directory

 

 

 

 

Lightweight Directory Services

Active Directory

 

 

 

Federation Services

 

 

 

 

Active

 

 

Довери

Directory

 

 

 

Domain Services

 

 

 

 

Целост

 

Active Directory

 

 

 

Certificate Services

 

 

 

 

Active

Directory

 

 

Rights Management Services

 

Кратко рассмотрим указанные технологии.

1.Доменные службы Active Directory (Active Directory Domain Services) —

Идентификация. Описанные ранее доменные службы AD DS предоставляют центральный репозиторий для управления идентификацией в организации. Они проверяют подлинность

иавторизацию в сети, а также поддерживают управление объектами с помощью групповой политики. Кроме того, службы AD DS обеспечивают управление информацией и общим доступом к службам, помогая пользователям находить в каталоге различные компоненты: файловые серверы, принтеры, группы и других пользователей. По этой причине AD DS часто называют службой каталогов сетевой операционной системы. Службы AD DS представляют основную технологию Active Directory, поэтому они должны быть развернуты в каждой сети с операционной системой Windows Server.

2.Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services) — Приложения Роль AD LDS является, по сути, независимой версией службы Active Directory. Ее называют также Режимом приложений Active Directory (Active Directory Application Mode, ADAM). Она обеспечивает поддержку приложений каталогов. Компонент AD LDS фактически является поднабором AD DS, поскольку оба компонента основаны на одном коде ядра. Каталог AD LDS хранит и реплицирует только данные приложений. Его часто используют приложения, которым необходимо хранилище каталогов, но не требуется реплицировать информацию на все контроллеры доменов. Кроме того, службы AD LDS дают возможность развернуть настраиваемую схему для поддержки приложения без модификации схемы AD DS. Роль AD LDS облегченная. Она поддерживает множество хранилищ данных в одной системе, чтобы каждое приложение можно было развернуть с собственным каталогом, схемой, назначенным облегченным протоколом доступа к каталогам LDAP (Lightweight Directory Access Protocol), портами SSL

ижурналом событий приложения. Роль AD LDS не зависит от служб AD DS, поэтому ее можно использовать в автономной среде либо рабочей группе. Однако в доменных средах эта роль может использоваться службами AD DS для проверки принципалов безопасности системы Windows (пользователей, групп и компьютеров). Кроме того, роль AD LDS можно применять для реализации служб проверки подлинности в открытых сетях (например, в

Only for CISM-group from Dobrynin I.S.

Страница 4

экстрасети). При использовании данной роли в такой ситуации угроза безопасности меньше, чем при использовании AD DS.

3.Службы сертификации Active Directory (Active Directory Certificate Services) — Доверие Организации могут использовать службы сертификации AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure), чтобы создать центр сертификации для выдачи цифровых сертификатов, которые привязывают объект идентификации пользователя, устройства либо службы к соответствующему частному ключу. Сертификаты можно использовать для проверки подлинности пользователей, компьютеров и веб-приложений, поддержки проверки подлинности смарт-карт, а также для поддержки таких приложений: защищенных беспроводных сетей, виртуальных частных сетей VPN (Virtual Private Network), протоколов для обеспечения защиты данных (IPsec), шифрующей файловой системы EFS (Encrypting File System), цифровых подписей и многих других. Службы AD CS предоставляют эффективный и безопасный способ выдачи сертификатов и управления ими. С их помощью можно делать это для внешних сообществ.

Втаких случаях следует связать службы AD CS с каким-нибудь известным внешним центром сертификации (СА), который подтвердит вашу подлинность. Роль AD CS предназначена для создания «островков доверия» в ненадежном мире, поэтому она должна использовать надежные процессы, которые подтверждают, что подлинность всех персон и компьютеров, получивших сертификат, тщательно проверена и подтверждена. Во внутренних сетях службы AD CS можно интегрировать со службами AD DS, чтобы пользователи и компьютеры автоматически получали сертификаты.

4.Службы управления правами Active Directory (Active Directory Rights Management Services) — Целостность. Хотя сервер Windows может запрещать и разрешать доступ к документу на основе списка контроля доступа ACL, можно несколькими способами следить за дальнейшими операциями с документом и его содержимым после открытия документа пользователем. Службы управления правами Active Directory (AD RMS) предоставляют технологию защиты информации, с помощью которой можно реализовать шаблоны устойчивых политик использования, задающих разрешенное и неавторизованное применение в сети, вне ее, а также внутри и вне периметра брандмауэра. Например, для пользователей можно сконфигурировать шаблон, который разрешает читать документ, но запрещает печатать и копировать его содержимое. Таким образом, можно гарантировать целостность генерируемых данных, защитить интеллектуальную собственность и контролировать операции, выполняемые с документами организации. Для роли AD RMS необходим домен Active Directory с контроллерами, где установлены версия системы не ниже Windows 2000 Server с пакетом обновлений Service Pack 3 (SP3), веб-сервер IIS, сервер баз данных типа Microsoft SQL Server 2008, клиент AD RMS (он доступен в центре загрузок Microsoft, а также по умолчанию включен в версии Windows Vista и Windows Server 2008), а также обозреватель или приложение RMS, например Microsoft Internet Explorer, Microsoft Office, Microsoft Word, Microsoft Outlook или Microsoft PowerPoint. В службах AD RMS может использоваться роль AD CS для вложения сертификатов в документы, а также роль AD DS для управления доступом.

5.Службы федерации Active Directory (Active Directory Federation Services) — Партнерские отношения С помощью служб AD FS организация может расширить инфраструктуру IDA на множестве платформ, включая среды Windows и другие, а также обеспечить для доверенных партнеров защиту прав идентификации и доступа вне периметра безопасности. В среде федерации организации поддерживают и контролируют собственные объекты идентификации, однако могут также безопасно проектировать объекты и принимать их из других организаций. Пользователи проходят проверку подлинности в одной сети, но могут получать доступ к ресурсам в другой. Этот процесс называется единым входом SSO (Single Sign-On). Роль AD FS поддерживает партнерские отношения, поскольку она дает различным организациям возможность получать общий

Only for CISM-group from Dobrynin I.S.

Страница 5

доступ к приложениям в экстрасети, при этом используя для реальной проверки подлинности свои внутренние структуры AD DS. С этой целью данная роль расширяет внутреннюю структуру AD DS во внешний мир через TCP/IP-порты (Transmission Control Protocol/Internet Protocol) 80 (HTTP) и 443 (Secure HTTP либо HTTPS). Обычно роль AD FS

размещена вдоль периметра сети. Службы AD FS могут использовать роль AD CS для создания доверенных серверов, а также роль AD RMS для обеспечения внешней защиты интеллектуальной собственности.

Всовокупности роли Active Directory реализуют интегрированное решение IDA:

AD DS и AD LDS — поддерживают основные службы каталогов в доменной и независимой реализации;

AD CS — предоставляет надежные учетные данные в виде цифровых сертификатов PKI;

AD RMS — защищает целостность информации в документах;

AD FS — поддерживает партнерские отношения, избавляя от необходимости создавать множество отдельных объектов идентификации для одного принципала безопасности в средах федерации.

Структура Active Directory поддерживает не только идентификацию и доступ, но и механизмы поддержки, управления и настройки ресурсов в распределенных сетевых средах.

Набор правил, называемый схемой, задает классы объектов и атрибуты, которые могут храниться в каталоге. Например, в каталоге Active Directory можно хранить объекты пользователей, включающие их имена и пароли, поскольку схемой задан класс объектов user, два их атрибута, а также связь между классом объекта и атрибутами.

Администрирование на основе политики (групповая, политики аудита и гранулированные политики паролей) упрощает управление даже в самых больших сложнейших сетях, предоставляя единую точку, в которой можно развернуть параметры настройки во множестве систем.

Службы репликации распространяют по сети данные каталогов, в частности само хранилище данных, а также информацию для реализации политики и конфигурации вместе со сценариями входа. Для хранилища данных существует даже отдельный раздел конфигурации, который содержит информацию о сетевой конфигурации, топологии и службах.

Запрашивать каталог Active Directory и локализовывать объекты в хранилище данных можно с помощью нескольких компонентов и технологий. Информация обо всех объектах в каталоге содержится в разделе хранилища данных, называемом глобальным каталогом (или частичным набором атрибутов), который дает возможность локализовать объекты в каталоге. Для чтения информации из хранилища данных можно применять, например,

программный интерфейс ADSI (Active Directory Services Interface) и протокол LDAP.

Хранилище данных Active Directory можно использовать также для поддержки приложений и служб, напрямую не связанных с AD DS. Внутри базы данных в разделах приложений может храниться информация для поддержки имен DNS (Domain Name System) на сервере Windows Server может хранить информацию в базе данных, которая называется интегрированной зоной Active Directory. Она поддерживается в AD DS как раздел приложения и реплицируется с помощью служб репликации Active Directory.

Only for CISM-group from Dobrynin I.S.

Страница 6

1.2. КОМПОНЕНТЫ ИНФРАСТРУКТУРЫ ACTIVE DIRECTORY

Хранилище данных Active Directory. Как уже говорилось в предыдущем подразделе, структура AD DS хранит свои объекты идентификации в каталоге (хранилище данных) на контроллерах домена. Каталог состоит из одного файла Ntds.dit, который по умолчанию находится в папке %System-Root%\Ntds на контроллере домена. База данных состоит из нескольких разделов: схемы, конфигурации, глобального каталога и контекста именования домена, содержащего данные об объектах внутри домена (например, пользователях, группах и компьютерах).

Контроллеры домена. Так называют серверы, играющие роль AD DS — в частности, запускающие службу Центр распространения ключей Kerberos (Kerberos Key Distribution Center, KDC), которая проверяет подлинность, а также другие службы

Active Directory.

Домен. Для создания домена Active Directory необходим один или несколько контроллеров. Домен представляет собой административную единицу, внутри которой совместно используются определенные возможности и характеристики. Прежде всего, контроллеры домена реплицируют раздел хранилища данных, который помимо всего прочего содержит данные идентификации пользователей, групп и компьютеров домена. Поскольку все контроллеры домена поддерживают одно хранилище объектов идентификации, то любой такой контроллер может проверить подлинность всякого объекта идентификации в домене. Кроме того, домен является областью действия административных политик (например, политики сложности паролей и блокировки учетных записей). Такие политики, конфигурируемые в одном домене, влияют на все учетные записи в нем и не оказывают влияния на учетные записи в других доменах. Объекты в базе данных Active Directory можно изменять на любом контроллере домена, и такие изменения реплицируются на все остальные такие контроллеры. Поэтому в сетях, где не поддерживается репликация всех данных среди контроллеров домена, может потребоваться более одного домена, чтобы управлять репликацией поднаборов объектов идентификации.

Лес Это набор из одного либо нескольких доменов Active Directory. Первый установленный в лесу домен называется корневым. Лес содержит единственное описание сетевой конфигурации и один экземпляр

каталога схемы. Это единственный замкнутый экземпляр uа

каталога, то есть данные не реплицируются за его пределы.

 

Поэтому лес задает периметр безопасности.

 

 Дерево Пространство доменных имен DNS в лесу

 

содержит деревья леса. Если домен является дочерним для

com

другого домена, то эти два домена интерпретируются как

 

дерево. Если же домены не образуют непрерывной области

 

в пространстве имен DNS, то они представляют два дерева.

 

Деревья составляются из DNS-имен доменов в лесу.

uib

Функциональный уровень Возможности домена Active Directory зависят от его функционального уровня. Этот

параметр дает возможность ввести дополнительные компоненты AD DS уровня домена либо леса. Существует несколько функциональных уровня домена (Windows 2000, Windows 2003, Windows 2008, Windows 2012, Windows 2016), а также несколько функциональных уровня леса (Microsoft Windows Server 2003, Windows Server 2008, Windows 2012, Windows 2016). При повышении функционального уровня домена либо леса становятся доступными компоненты, предоставляемые соответствующей версией системы Windows. Например, функциональному уровню системы Windows Server 2008 свойственны новые атрибуты, указывающие время последнего успешного входа пользователя, компьютер, на который он входил, а также количество неудачных

Only for CISM-group from Dobrynin I.S.

Страница 7

попыток после успешного входа. Следует отметить, что от функционального уровня зависит, какие версии системы Windows разрешены на контроллерах домена. При повышении функционального уровня до системы Windows Server 2008 (2012, 2016) на всех контроллерах доменов следует установить именно эту версию.

Подразделения (организационные единицы) База данных Active Directory является иерархической. Объекты в хранилище данных можно собирать в контейнеры. Одним из типов контейнеров является класс объектов Container. Открыв оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers), вы увидите заданные по умолчанию контейнеры, в частности Users, Computers и Builtin. Еще один тип контейнера — подразделение (организационная единица). Оно предоставляет не только контейнер для объектов, но и область действия управления объектами. Подразделение (Organizational Unit,OU) может хранить так называемые объекты групповой политики, которые автоматически применяются к пользователям и компьютерам в подразделении.

Сайты. При проектировании сетевой топологии распределенного предприятия приходится рассматривать сайты сети. Однако в Active Directory им придается весьма специфический смысл благодаря особому классу объектов site. Сайт (или узел) Active Directory — это объект, представляющий часть предприятия с хорошей сетевой коммуникацией. Сайт создает периметр репликации и использования служб. Контроллеры домена внутри сайта реплицируют изменения в течение нескольких секунд. Изменения между сайтами реплицируются на основе допущения, что подключения между сайтами медленные, дорогостоящие либо ненадежные по сравнению с подключениями внутри сайта. Кроме того, клиенты предпочитают использовать распределенные службы, предоставляемые серверами в своем или соседнем узле. Например, когда пользователь входит в домен, клиент системы Windows вначале пытается пройти проверку подлинности с помощью контроллера домена в своем узле. Если же там нет доступного контроллера, клиент пробует сделать это с помощью контроллера домена в другом узле.

Only for CISM-group from Dobrynin I.S.

Страница 8

1.3.ПОДГОТОВКА К СОЗДАНИЮ НОВОГО ЛЕСА СИСТЕМЫ WINDOWS SERVER

Перед установкой роли AD DS на сервере и повышением его ранга до контроллера домена нужно спланировать структуру Active Directory. При создании контроллера домена потребуется некоторая информация, в частности такая.

1.Имя домена и DNS-имя. Домен должен иметь уникальное DNS-имя, например UIB.com, а также короткое имя, скажем UIB (так называемое имя NetBIOS). Сетевой протокол NetBIOS использовался еще в первых версиях Microsoft Windows NT и все еще применяется некоторыми приложениями.

2.Должен ли домен поддерживать контроллеры с предыдущими версиями Windows? При создании нового леса Active Directory нужно сконфигурировать функциональный уровень. Если в домен будут включены лишь контроллеры системы Windows Server 2008 (2012, 2016), то можно установить соответствующий функциональный уровень для использования усовершенствованных компонентов этой версии Windows.

3.Детали реализации DNS для поддержки Active Directory. Структуру DNS лучше всего реализовать для доменных зон с помощью службы DNS (DNS Service) системы

Windows.

4.Конфигурация IP-контроллера домена. Для контроллеров домена требуются статические IP-адреса и маски подсети. Кроме того, в целях разрешения имен нужно сконфигурировать контроллер домена с использованием адреса DNS-сервера. В случае создания нового леса и запуска на контроллере домена DNS-службы Windows в качестве DNS-адреса можно указать собственный IP-адрес сервера. После установки DNSструктуры сервер сам может разрешать DNS-имена.

5.Пользовательское имя и пароль учетной записи в группе Администраторы (Administrators) сервера. Для учетной записи нужно назначить непустой пароль.

6.Место установки хранилища данных (включая файл Ntds.dit) и системного тома (SYSVOL). По умолчанию эти хранилища создаются в переменной %SystemRoot% (например, C:\Windows) соответственно в папках NTDS и SYSVOL. При создании контроллера домена эти хранилища можно перенаправить на другие диски.

1.4.ДОБАВЛЕНИЕ РОЛИ AD DS С ПОМОЩЬЮ ИНТЕРФЕЙСА WINDOWS

После сбора упомянутой выше предварительной информации можно приступать к добавлению роли AD DS. Это можно сделать несколькими способами:

1.Создание контроллера домена посредством интерфейса Windows,

2.Создание контроллера домена с помощью командной строки.

1.4.1 СОЗДАНИЕ КОНТРОЛЛЕРА ДОМЕНА ПОСРЕДСТВОМ ИНТЕРФЕЙСА

WINDOWS

В системе Windows Server возможна конфигурация на основе ролей с установкой только тех служб и компонентов, которые нужны для выполняемых ролей сервера. Управлять сервером на основе ролей можно с помощью новой административной консоли Диспетчер сервера (Server Manager), показанной на рис. 1.3. Диспетчер сервера объединяет информацию, инструменты и ресурсы, необходимые для поддержки ролей сервера.

Only for CISM-group from Dobrynin I.S.

Страница 9

Роли можно добавлять на сервер с помощью ссылки Добавить роли (Add Roles) на домашней странице диспетчера сервера либо щелкнув правой кнопкой мыши узел Роли (Roles) в дереве консоли и применив команду Добавить роли (Add Roles). Мастер добавления ролей (Add Roles Wizard) предоставит список доступных для установки ролей и выполнит шаги установки тех из них, которые были выбраны.

Создание контроллера домена

После добавления роли AD DS на сервере устанавливаются файлы, необходимые для ее выполнения, но при этом сервер еще не становится контроллером домена. Затем надо запустить Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard), который можно открыть с помощью команды Dcpromo.exe, чтобы сконфигурировать, инициализировать и запустить Active Directory.

Only for CISM-group from Dobrynin I.S.

Страница 10

Информационный сайт электронного правительства ЯНАО

2014-03-04 by admin · Комментарии к записи отключены

Адреса технической поддержки

 

Портал поставщиков услуг, АИС Госуслуги, ИС УНП:
ГУ ЯНАО МФЦ

[email protected], +7(34922)5-43-48, 5-42-74-выполнена переадресация

 

РРГУ:
ГКУ Ресурсы Ямала

[email protected], +7(34922)2-59-99

 

АИС МСП:
Департамент строительства и жилищной политики ЯНАО

[email protected]

 

ГИС Имущество:
Департамент имущественных отношений ЯНАО

https://portal.kn-k.ru:205/, (8332) 71-44-71, доп. 130.

 

 

Posted in Без рубрики, ППУ.

Технологические работы завершены, Портал Поставщиков Услуг работает в штатном режиме.

Posted in Без рубрики.

В связи с проведением технологических работ на Портале Поставщиков Услуг по ВС версии форматов СМЭВ2, просьба воздержаться от направления запросов по данным форматам во избежании ошибок.

Приносим извинения за доставленные неудобства.

Информация будет сообщена дополнительно.

Posted in Без рубрики. 2022-04-07 by Людмила Котик · Комментарии к записи Ошибки в ответе от сервиса Росреестра (SID0003564) отключены

Cервис Росреестра (SID0003564) работает в штатном режиме.

Posted in ППУ, Росреестр. 2022-04-06 by Людмила Котик · Комментарии к записи Ошибки в ответе от сервиса Росреестра (SID0003564) отключены

По запросам направленным от 06.04.2022 года возвращается массовая ошибка, в связи с чем статусы запросов остаются «в очереди на отправку». По данному факту направлено обращение в адрес поставщика (Росреестр). Просьба воздержаться от направления запросов СМЭВ2 в Росреестр.

Дополнительно сообщаю, что пользователям доступны аналоги запросов СМЭВ3

Posted in ППУ, Росреестр.

Технологические работы завершены, Портал Поставщиков Услуг работает в штатном режиме.

Posted in Без рубрики.

Как определить, является ли электронное письмо поддельным, поддельным или спамом

Итак, друг недавно сказал мне, что они получили письмо с подтверждением от Apple, в котором говорилось, что к их идентификатору Apple ID был добавлен новый адрес электронной почты. Этот человек знал, что он не добавлял никакого адреса электронной почты, и когда он вошел в свою учетную запись Apple, никакой другой адрес электронной почты, кроме его собственного, не отображался.

Друг хотел узнать, было ли это фишинговым письмом или оно было законным, но было отправлено им неправильно от Apple? Что ж, это оказалось поддельным электронным письмом, в котором пользователя пытались щелкнуть по ссылке, чтобы ввести свои учетные данные Apple ID. К счастью, друг не щелкнул ссылку, а вместо этого открыл свой браузер, набрал iCloud.com и вошел в систему таким же образом.

Несмотря на то, что этот друг получил фишинговое письмо, не все письма с подтверждением являются поддельными. В этой статье я покажу вам, как определить, поддельное письмо или нет, а также как лучше всего проверить свою учетную запись, если вы не уверены.

Письма с подтверждением

Несмотря на то, что я айтишник и компьютерный фанат, некоторые электронные письма меня обманывают. Например, когда я впервые получил это письмо от Google, я волновался, что кто-то пытается взломать мою учетную запись.

Формулировка этого письма звучит так, будто кто-то создал новую учетную запись электронной почты и каким-то образом связал ее с моей учетной записью. Могут ли они попытаться восстановить мой пароль и отправить его на этот новый адрес электронной почты? Я не был уверен, поэтому щелкнул ссылку внизу, в которой говорится, что если вы не создавали этот адрес электронной почты, вы можете отключить его от своей учетной записи.

Наверное, мне не стоило нажимать на ссылку в электронном письме, так как в тот момент я действительно не знал, была она от Google или нет. К счастью для меня, это было так, и письмо оказалось безвредным. Обычно, когда кто-то создает новую учетную запись Gmail, он должен добавить резервный адрес электронной почты, который иногда ошибочно набирается и, следовательно, отправляется не тому человеку. В любом случае вы должны проявлять бдительность, прежде чем переходить по любой ссылке в этих типах писем.

Как проверить подлинность электронного письма

Чтобы подтвердить подлинность электронной почты, вы должны проверить адрес электронной почты отправителя, а также заголовок электронной почты, чтобы быть в безопасности. Возможность отличить настоящее письмо от поддельного также зависит от вашего почтового клиента. Я объясню ниже.

Например, на приведенном выше снимке экрана вы можете увидеть, что письмо было отправлено из [email protected]. Это должно подтвердить, что письмо действительно от Google, верно? Смотря как. Если кто-то настроит мошеннический почтовый сервер, он может отправить поддельное электронное письмо, в котором адрес отправителя будет отображаться как [email protected] Даже если они могут подделать этот аспект, все остальное подделать невозможно.

Так как же проверить, действительно ли электронное письмо отправлено из настоящего источника, а не из кого-то другого? Проще говоря, вы проверяете заголовок электронного письма. Здесь также вступает в игру почтовый клиент. Если вы используете Gmail, вы можете очень быстро проверить источник, просто нажав на Показать детали стрелка прямо под именем отправителя.

Важные разделы отправлено по почте, подписанный-bу и шифрование. Поскольку это говорит google.com для обоих этих полей электронное письмо действительно от Google. В любом электронном письме, которое утверждает, что оно пришло от банка или крупной компании, всегда должно быть указано отправленный по почте и подписано поля. Видимое поле отправлено по почте означает, что электронная почта прошла проверку подлинности SPF. Видимое поле для подписи означает, что письмо было подписано DKIM. Наконец, электронное письмо почти всегда будет зашифровано, если оно отправлено крупным банком или компанией.

Несмотря на то, что эти поля гарантируют, что электронная почта была проверена, вам необходимо убедиться, что она была проверена той же компанией, которая предположительно отправила его. Например, поскольку это электронное письмо от Google, в двух полях должно быть указано google.com, что и есть. Некоторые спамеры поумнели и подписывают и проверяют свои собственные электронные письма, но это не соответствует реальной компании. Давайте посмотрим на пример:

Как видите, это письмо якобы от банка ICICI, но адрес электронной почты автоматически ставит под сомнение подлинность письма. Вместо всего, что связано с названием банка, используется домен seajin.chtah.com, что очень похоже на спам. В электронном письме есть поля для отправки и подписи, но, опять же, это не домен банка. Наконец, в электронной почте нет шифрования, что опять же очень сомнительно.

Вот еще одно электронное письмо, в котором есть поле, отправленное по почте, и оно было зашифровано, но оно определенно не от Microsoft. Как видите, это не Microsoft.com, а какой-то неслыханный домен. При проверке электронных писем всегда проверяйте, что отправляющий адрес электронной почты принадлежит компании, от которой, по вашему мнению, он принадлежит, т. Е. [email protected] и это отправленный по почте и подписано взяты из последней части адреса электронной почты, т. е. paypal.com.

Давайте рассмотрим еще один пример, который может немного запутать.

У меня есть электронное письмо от компании Actiontec, но это VIA. actiontecelectronics.onmicrosoft.com. Он также подписан actiontecelectronics.onmicrosoft.com и зашифрован. В данном случае это означает, что электронное письмо отправляется сторонней службой электронной почты, которая не обязательно может быть аутентифицирована. В этом случае компания использует Office 365 для своей корпоративной электронной почты, и поэтому она отправляется из этого домена.

Несмотря на то, что вышеуказанное электронное письмо является законным, информация в заголовке не гарантирует его безопасность. Лучший вариант — убедиться, что сторонняя служба электронной почты также является крупной уважаемой компанией. В данном случае это от Microsoft. Наконец, если кто-то действительно пытается подделать другой адрес электронной почты, Google, вероятно, сможет сообщить вам об этом и предупредить вас следующим образом:

Или что-то вроде этого:

Если вы когда-нибудь получите какое-либо из этих предупреждений, не доверяйте электронным письмам вообще. Вам может быть интересно, что делать, если вы не пользуетесь Gmail и не просматриваете письмо в веб-браузере? Что ж, в таких случаях вам нужно просмотреть полный заголовок электронного письма. Просто введите в Google имя своего провайдера электронной почты и добавьте «просмотреть заголовок электронного письма“. Например, Google Outlook 2016 просмотреть заголовок сообщения электронной почты чтобы получить инструкции для этого клиента.

Как только вы это сделаете, вы захотите найти следующие фрагменты текста под заголовком Результаты аутентификации:

spf = пройти

dkim = пройти

Строка spf эквивалентна полю mailed-by в Gmail, а dkim эквивалентна signed-by. Это должно выглядеть примерно так:

Опять же, даже если оба элемента имеют ПРОХОДИТЬ, убедитесь, что это настоящий домен, а не поддельный, который может использовать спамер. Если вы хотите узнать больше об аутентификации электронной почты в Gmail, перейдите по этим ссылкам ниже:

https://support.google.com/mail/answer/180707?hl=en

https://support.google.com/mail/troubleshooter/2411000?hl=en&ref_topic=3395029

https://support.google.com/mail/answer/1311182?hl=en

После тестирования нескольких сервисов это также причина, по которой я предпочитаю Gmail другим почтовым клиентам и почему я специально использовать веб-интерфейс, потому что он обеспечивает гораздо больше уровней защиты, которые в противном случае не были бы получать.

Наконец, вы должны сделать привычкой заходить в браузер и вручную посещать веб-сайт, а не нажимать на ссылку в электронном письме. Даже если вы знаете, что это электронное письмо безопасно, это верный способ узнать, что вы не посещаете какой-то поддельный веб-сайт. Если в электронном письме есть ссылка, по которой необходимо щелкнуть, обязательно проверьте URL-адрес в адресной строке браузера, прежде чем вводить какие-либо данные для входа или другую конфиденциальную информацию. Если у вас есть вопросы, не стесняйтесь комментировать. Наслаждаться!

Контроллер домена работает неправильно — Windows Server

  • Статья
  • 8 минут на чтение
  • 4 участника

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье представлены общие решения проблемы, из-за которой контроллер домена работает неправильно.

Применяется к:   Windows Server 2012 R2
Исходный номер базы знаний:   837513

Симптомы

При запуске средства Dcdiag на контроллере домена под управлением Microsoft Windows 2000-Server или на контроллере домена под управлением Windows Server 2003 может появиться следующее сообщение об ошибке:

Диагностика контроллера домена
Выполнение первоначальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31

При локальном запуске утилиты REPADMIN /SHOWREPS на контроллере домена может появиться одно из следующих сообщений об ошибке:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (локальная ошибка).

Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: Конечные точки больше не доступны в сопоставителе конечных точек.

Последняя попытка @ гггг-мм-дд чч:мм.сс не удалась, результат 5: доступ запрещен.

Если вы используете сайты и службы Active Directory для запуска репликации, вы можете получить сообщение об отказе в доступе.

При попытке использовать сетевые ресурсы из консоли затронутого контроллера домена, включая ресурсы универсального соглашения об именах (UNC) или подключенные сетевые диски, может появиться следующее сообщение об ошибке:

Нет доступных серверов входа в систему (c000005e = «STATUS_NO_LOGON_SERVERS»)

Если вы запускаете какие-либо административные инструменты Active Directory из консоли затронутого контроллера домена, включая сайты и службы Active Directory и пользователей и компьютеры Active Directory, вы можете получить одно из следующих сообщений об ошибке:

Информация об именах не может быть обнаружена, потому что: Не удалось связаться с центром для проверки подлинности.Обратитесь к системному администратору, чтобы убедиться, что ваш домен правильно настроен и в настоящее время подключен к сети.

Информация об именах не может быть найдена, потому что: Неверное имя целевой учетной записи. Обратитесь к системному администратору, чтобы убедиться, что ваш домен правильно настроен и в настоящее время подключен к сети.

Клиентам Microsoft Outlook, подключенным к компьютерам Microsoft Exchange Server, использующим уязвимые контроллеры домена для проверки подлинности, может быть предложено ввести учетные данные для входа, даже если имеется успешная проверка подлинности входа с других контроллеров домена.

Средство Netdiag может отображать следующие сообщения об ошибках:

Тест списка DC . . . . . . . . . . . : Ошибка
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <имя_сервера>.<полное доменное имя> (). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Ошибка
[FATAL] У Kerberos нет билета для krbtgt/.

[FATAL] У Kerberos нет билета для .
Тест LDAP. . . . . . . . . .. . . : Пройдено
[ПРЕДУПРЕЖДЕНИЕ] Не удалось запросить регистрацию SPN на контроллере домена

В журнале системных событий затронутого контроллера домена может быть зарегистрировано следующее событие:

  Тип события: Ошибка
Источник события: Диспетчер управления службами
Идентификатор события: 7023
Описание: служба центра распространения ключей Kerberos была остановлена ​​из-за следующей ошибки: диспетчер учетных записей безопасности (SAM) или сервер локального центра безопасности (LSA) находился в неправильном состоянии для выполнения операции безопасности. 

Резолюция

Есть несколько решений для этих симптомов. Ниже приведен список методов, которые можно попробовать. За списком следуют шаги для выполнения каждого метода. Пробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывающие менее распространенные исправления этих симптомов, перечислены ниже.

  1. Способ 1. Исправьте ошибки системы доменных имен (DNS).
  2. Метод 2: Синхронизируйте время между компьютерами.
  3. Метод 3: Проверьте права пользователя Доступ к этому компьютеру из сети .
  4. Способ 4. Убедитесь, что атрибут userAccountControl контроллера домена имеет значение 532480.
  5. Способ 5. Исправьте область Kerberos (убедитесь, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают).
  6. Способ 6. Сбросьте пароль учетной записи компьютера, а затем получите новый билет Kerberos.

Метод 1: исправить ошибки DNS

  1. В командной строке введите команду netdiag -v . Эта команда создает файл Netdiag.log в папке, где была запущена команда.
  2. Прежде чем продолжить, устраните все ошибки DNS в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server или загружается.
  3. Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указание контроллера домена на поставщика услуг Интернета (ISP) для DNS вместо указания DNS на самого себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Мы рекомендуем указать контроллер домена на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV.Мы рекомендуем настроить серверы пересылки к провайдеру для разрешения имен в Интернете.

Для получения дополнительных сведений о настройке DNS для службы каталогов Active Directory щелкните следующие номера статей базы знаний Майкрософт:
254680 Планирование пространства имен DNS

Способ 2: синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизировано между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизировано между клиентскими компьютерами и контроллерами домена.

Способ 3: проверьте права пользователя «Доступ к этому компьютеру из сети»

Измените файл Gpttmpl.inf, чтобы убедиться, что соответствующие пользователи имеют право Доступ к этому компьютеру из сети на контроллере домена. Для этого выполните следующие действия:

  1. Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию в политике контроллеров домена по умолчанию определяются права пользователя для контроллера домена.По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию находится в следующей папке.

    Примечание

    Sysvol может находиться в другом месте, но путь к файлу Gpttmpl.inf будет таким же.

    Для контроллеров домена Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Для контроллеров домена Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<имя домена>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.инф

  2. Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для прошедших проверку пользователей и для всех. См. следующие примеры.

    Для контроллеров домена Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Для контроллеров домена Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Примечание

    Администраторы (S-1-5-32-544), прошедшие проверку пользователи (S-1-5-11), все (S-1-1-0) и контроллеры предприятия (S-1-5-9) используют общеизвестные идентификаторы безопасности, одинаковые во всех доменах.

  3. Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.

    SeDenyNetworkLogonRight =

    Примечание

    Пример одинаков для Windows 2000 Server и Windows Server 2003.

    По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только строковую учетную запись Support_random в записи SeDenyNetworkLogonRight.(Учетная запись строки Support_random используется удаленным помощником.) Поскольку учетная запись строки Support_random использует разные идентификаторы безопасности (SID) в каждом домене, ее нелегко отличить от обычной учетной записи пользователя, просто взглянув на SID. Вы можете скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы можете вернуть его обратно, когда закончите устранение проблемы.

    SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике.Если предыдущие шаги не помогли решить проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы убедиться, что там также не определяются права пользователя. Если файл Gpttmpl.inf не содержит ссылки на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если такие записи существуют, убедитесь, что они соответствуют параметрам, перечисленным ранее для политики контроллера домена по умолчанию.

Способ 4. Убедитесь, что атрибут userAccountControl контроллера домена имеет значение 532480

.
  1. Щелкните Пуск , щелкните Выполнить , а затем введите adsiedit.мск .
  2. Развернуть Домен NC , развернуть DC=domain , а затем развернуть OU=Контроллеры домена .
  3. Щелкните правой кнопкой мыши затронутый контроллер домена и выберите Свойства .
  4. В Windows Server 2003 установите флажок Показать обязательные атрибуты и флажок Показать необязательные атрибуты на вкладке Редактор атрибутов . В Windows 2000 Server щелкните Оба в поле Выберите свойства для просмотра .
  5. В Windows Server 2003 щелкните userAccountControl в поле Атрибуты . В Windows 2000 Server щелкните userAccountControl в поле Выберите свойство для просмотра .
  6. Если значение не равно 532480, введите 532480 в поле Редактировать атрибут , нажмите Задать , нажмите Применить , а затем нажмите OK .
  7. Выйти из редактирования ADSI.

Метод 5: исправить область Kerberos (подтвердите, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают)

Примечание

Этот метод действителен только для Windows 2000 Server.

Важно

В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы выполните следующие действия внимательно. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как выполнить резервное копирование и восстановление реестра в Windows

  1. Запустить Редактор реестра .
  2. На левой панели разверните Безопасность .
  3. В меню Security щелкните Разрешения , чтобы предоставить локальной группе администраторов полный доступ к кусту SECURITY и его дочерним контейнерам и объектам.
  4. Найдите ключ HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN .
  5. На правой панели редактора реестра щелкните запись : REG_NONE один раз.
  6. В меню View щелкните Display Binary Data . В разделе Формат диалогового окна щелкните Байт .
  7. Имя домена отображается в виде строки в правой части диалогового окна Двоичные данные . Имя домена совпадает с доменом Kerberos.
  8. Найдите раздел реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN .
  9. В правой панели редактора реестра дважды щелкните запись : REG_NONE .
  10. В диалоговом окне Binary Editor вставьте значение из PolPrDmN. (Значение из PolPrDmN будет доменным именем NetBIOS).
  11. Перезапустите контроллер домена.

Метод 6: Сбросьте пароль учетной записи компьютера, а затем получите новый билет Kerberos

  1. Остановите службу Центра распространения ключей Kerberos , а затем установите значение запуска Вручную .

  2. Используйте средство Netdom из средств поддержки Windows 2000 Server или из средств поддержки Windows Server 2003 для сброса пароля учетной записи компьютера контроллера домена:

      netdom resetpwd /server: <другой контроллер домена> /userd:domain\administrator /passwordd: <пароль администратора>
      

    Убедитесь, что команда netdom возвращается как успешно выполненная.Если это не так, команда не сработала. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена является DC2, выполните следующую команду netdom из консоли DC1:

    .
      netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <пароль администратора>
      
  3. Перезапустите затронутый контроллер домена.

  4. Запустите службу Центра распространения ключей Kerberos , а затем установите для параметра запуска значение Автоматически .

Для получения дополнительных сведений об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи базы знаний Майкрософт:
323542 Не удается запустить средство «Пользователи и компьютеры Active Directory», так как сервер не работает

Ошибка проверки сертификата безопасности — Windows Server

  • Статья
  • 3 минуты на чтение
  • 3 участника

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье представлены обходные пути для проблемы, из-за которой сертификат безопасности, представленный веб-сайтом, не выдается, если у него есть несколько доверенных путей сертификации к корневым центрам сертификации.

Применяется к:   Windows 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний:   2831004

Симптомы

Когда пользователь пытается получить доступ к защищенному веб-сайту, пользователь получает следующее предупреждающее сообщение в веб-браузере:

Проблема с сертификатом безопасности этого веб-сайта.

Сертификат безопасности, представленный на этом веб-сайте, не был выпущен доверенным центром сертификации.

После того, как пользователь нажмет Перейти на этот веб-сайт (не рекомендуется) , пользователь сможет получить доступ к защищенному веб-сайту.

Причина

Эта проблема возникает из-за того, что сертификат веб-сайта имеет несколько доверенных путей сертификации на веб-сервере.

Например, предположим, что клиентский компьютер, который вы используете, доверяет сертификату корневого центра сертификации (ЦС) (2) .И веб-сервер доверяет корневому сертификату CA (1) и корневому сертификату CA (2) . Кроме того, сертификат имеет следующие два пути сертификации к доверенным корневым центрам сертификации на веб-сервере:

.
  1. Путь сертификации 1: сертификат веб-сайта — сертификат промежуточного ЦС — сертификат корневого ЦС (1)
  2. Путь сертификации 2: Сертификат веб-сайта — Промежуточный сертификат ЦС — Сертификат кросс-корневого ЦС — Сертификат корневого ЦС (2)

Когда компьютер обнаруживает несколько доверенных путей сертификации в процессе проверки сертификата, Microsoft CryptoAPI выбирает лучший путь сертификации, вычисляя оценку каждой цепочки.Оценка рассчитывается на основе качества и количества информации, которую может предоставить путь сертификата. Если баллы для нескольких путей сертификации одинаковы, выбирается кратчайшая цепочка.

Если путь сертификации 1 и путь сертификации 2 имеют одинаковую оценку качества, CryptoAPI выбирает более короткий путь (путь сертификации 1) и отправляет путь клиенту. Однако клиентский компьютер может проверить сертификат, только используя более длинный путь сертификации, который связан с корневым сертификатом ЦС (2).Таким образом, проверка сертификата не проходит.

Обходной путь

Чтобы обойти эту проблему, удалите или отключите сертификат из пути сертификации, который вы не хотите использовать, выполнив следующие действия:

  1. Войдите на веб-сервер как системный администратор.

  2. Добавьте оснастку «Сертификат» в консоль управления Microsoft, выполнив следующие действия:

    1. Нажмите Пуск > Выполнить , введите mmc и нажмите Enter.
    2. В меню Файл щелкните Добавить/удалить оснастку .
    3. Выберите Сертификаты , нажмите Добавить , выберите Учетная запись компьютера и нажмите Далее .
    4. Выберите Локальный компьютер (компьютер, на котором работает эта консоль) , а затем нажмите Готово .
    5. Нажмите OK .
  3. Разверните Сертификаты (локальный компьютер) в консоли управления, а затем найдите сертификат по пути сертификата, который вы не хотите использовать.

    Примечание

    Если сертификат является сертификатом корневого ЦС, он содержится в доверенных корневых центрах сертификации . Если сертификат является промежуточным сертификатом CA, он содержится в Intermediate Certification Authorities .

  4. Удалите или отключите сертификат одним из следующих способов:

    • Чтобы удалить сертификат, щелкните его правой кнопкой мыши и выберите Удалить .
    • Чтобы отключить сертификат, щелкните сертификат правой кнопкой мыши, выберите Свойства , выберите Отключить все цели для этого сертификата , а затем нажмите OK .
  5. Перезапустите сервер, если проблема не устранена.

Кроме того, если параметр групповой политики Отключить автоматическое обновление корневых сертификатов отключен или не настроен на сервере, сертификат из пути сертификации, который вы не хотите использовать, может быть включен или установлен при следующем построении цепочки происходит. Чтобы изменить параметр групповой политики, выполните следующие действия:

  1. Щелкните Пуск > Выполните , введите gpedit.msc и нажмите Enter.

  2. Разверните Конфигурация компьютера > Административные шаблоны > Система > Управление связью через Интернет , а затем щелкните Настройки связи через Интернет .

  3. Дважды щелкните Отключить автоматическое обновление корневых сертификатов , выберите Включено , а затем щелкните OK .

  4. Закройте редактор локальной групповой политики.

Статус

Такое поведение является преднамеренным.

Концепции проверки подлинности Windows | Документы Майкрософт

  • Статья
  • 11 минут на чтение
  • 9 участников

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016

В этом справочном обзорном разделе описываются концепции, на которых основана проверка подлинности Windows.

Аутентификация — это процесс проверки личности объекта или человека.Когда вы аутентифицируете объект, цель состоит в том, чтобы убедиться, что объект является подлинным. Когда вы аутентифицируете человека, цель состоит в том, чтобы убедиться, что человек не является самозванцем.

В контексте сети проверка подлинности — это действие по подтверждению подлинности сетевого приложения или ресурса. Как правило, личность подтверждается криптографической операцией, в которой используется либо ключ, известный только пользователю (как в криптографии с открытым ключом), либо общий ключ. Серверная часть аутентификационного обмена сравнивает подписанные данные с известным криптографическим ключом, чтобы подтвердить попытку аутентификации.

Хранение криптографических ключей в безопасном центральном месте делает процесс проверки подлинности масштабируемым и удобным в сопровождении. Active Directory — это рекомендуемая и используемая по умолчанию технология для хранения идентификационной информации, которая включает в себя криптографические ключи, являющиеся учетными данными пользователя. Active Directory требуется для реализации NTLM и Kerberos по умолчанию.

Методы аутентификации варьируются от простого входа в операционную систему или входа в службу или приложение, которое идентифицирует пользователей на основе чего-то, что известно только пользователю, например пароля, до более мощных механизмов безопасности, которые используют то, что такие как жетоны, сертификаты открытого ключа, изображения или биологические атрибуты.В бизнес-среде пользователи могут получить доступ к нескольким приложениям на многих типах серверов в одном месте или в нескольких местах. По этим причинам проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.

Аутентификация и авторизация: аналогия путешествия

Аналогия с путешествием может помочь объяснить, как работает аутентификация. Чтобы начать путешествие, обычно необходимо выполнить несколько подготовительных задач. Путешественник должен доказать свою настоящую личность властям принимающей страны.Это доказательство может быть в форме подтверждения гражданства, места рождения, личного ваучера, фотографий или любых других документов, требуемых законодательством принимающей страны. Личность путешественника подтверждается выдачей паспорта, который аналогичен системной учетной записи, выдаваемой и управляемой организацией — принципалом безопасности. Паспорт и предполагаемое место назначения основаны на своде правил и положений, изданных государственным органом.

Путешествие

Когда путешественник прибывает на международную границу, пограничник спрашивает удостоверение личности, и путешественник предъявляет свой паспорт.Процесс двойной:

  • Охранник удостоверяет подлинность паспорта, проверяя, что он был выдан органом безопасности, которому доверяет местное самоуправление (доверяет, по крайней мере, выдачу паспортов), и проверяя, что паспорт не был изменен.

  • Охранник идентифицирует путешественника, проверяя, соответствует ли лицо лицу человека, изображенного в паспорте, и что другие необходимые учетные данные в порядке.

Если паспорт окажется действительным и путешественник окажется его владельцем, аутентификация пройдет успешно, и путешественнику будет разрешен доступ через границу.

Транзитивное доверие между органами безопасности является основой аутентификации; тип аутентификации, который происходит на международной границе, основан на доверии. Местное правительство не знает путешественника, но надеется, что его знает правительство принимающей страны. Когда правительство принимающей страны выдавало паспорт, оно также не знало путешественника. Он доверял агентству, выдавшему свидетельство о рождении или другую документацию. Агентство, выдавшее свидетельство о рождении, в свою очередь, доверяло врачу, подписавшему свидетельство.Врач засвидетельствовал рождение путешественника и проштамповал сертификат прямым удостоверением личности, в данном случае отпечатком ноги новорожденного. Доверие, передаваемое таким образом через доверенных посредников, является транзитивным.

Транзитивное доверие — это основа сетевой безопасности в клиент-серверной архитектуре Windows. Доверительные отношения проходят через набор доменов, например дерево доменов, и формируют отношения между доменом и всеми доменами, которые доверяют этому домену.Например, если домен A имеет транзитивное доверие с доменом B, и если домен B доверяет домену C, то домен A доверяет домену C.

Существует разница между аутентификацией и авторизацией. С помощью аутентификации система доказывает, что вы тот, за кого себя выдаете. При авторизации система проверяет, есть ли у вас права делать то, что вы хотите. Если перейти к следующему шагу аналогии с границей, то простое подтверждение того, что путешественник является надлежащим владельцем действительного паспорта, не обязательно дает ему право на въезд в страну.Жителям определенной страны разрешается въезжать в другую страну, просто предъявляя паспорт, только в тех случаях, когда въезжающая страна дает неограниченное разрешение на въезд всем гражданам этой конкретной страны.

Точно так же вы можете предоставить всем пользователям из определенного домена права доступа к ресурсу. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, так же как Канада позволяет гражданам США въезжать в Канаду. Однако граждане США, пытающиеся въехать в Бразилию или Индию, обнаруживают, что они не могут въехать в эти страны, просто предъявив паспорт, поскольку обе эти страны требуют посещения США.Граждане С. должны иметь действующую визу. Таким образом, аутентификация не гарантирует доступ к ресурсам или авторизацию для использования ресурсов.

Учетные данные

Паспорт и, возможно, связанные с ним визы являются принятыми документами для путешественника. Однако эти учетные данные могут не позволить путешественнику войти или получить доступ ко всем ресурсам в стране. Например, для участия в конференции требуются дополнительные учетные данные. В Windows учетными данными можно управлять, чтобы владельцы учетных записей могли получать доступ к ресурсам по сети без необходимости повторно вводить свои учетные данные.Этот тип доступа позволяет пользователям проходить аутентификацию один раз в системе для доступа ко всем приложениям и источникам данных, которые им разрешено использовать, без ввода другого идентификатора учетной записи или пароля. Платформа Windows извлекает выгоду из возможности использовать единый идентификатор пользователя (поддерживаемый Active Directory) в сети путем локального кэширования учетных данных пользователя в локальном органе безопасности (LSA) операционной системы. Когда пользователь входит в домен, пакеты проверки подлинности Windows прозрачно используют учетные данные для обеспечения единого входа при проверке подлинности учетных данных для сетевых ресурсов.Дополнительные сведения об учетных данных см. в разделе Процессы учетных данных при проверке подлинности Windows.

Одной из форм многофакторной аутентификации для путешественника может быть требование иметь при себе и предъявлять несколько документов для аутентификации своей личности, таких как паспорт и регистрационная информация о конференции. Windows реализует эту форму или аутентификацию с помощью смарт-карт, виртуальных смарт-карт и биометрических технологий.

Участники безопасности и учетные записи

В Windows любой пользователь, служба, группа или компьютер, который может инициировать действие, является участником безопасности.Участники безопасности имеют учетные записи, которые могут быть локальными для компьютера или доменными. Например, клиентские компьютеры Windows, присоединенные к домену, могут участвовать в сетевом домене, взаимодействуя с контроллером домена, даже если ни один пользователь не вошел в систему. Чтобы инициировать связь, компьютер должен иметь активную учетную запись в домене. Прежде чем принимать сообщения от компьютера, локальный орган безопасности на контроллере домена аутентифицирует личность компьютера, а затем определяет контекст безопасности компьютера так же, как это было бы для субъекта безопасности человека.Этот контекст безопасности определяет удостоверение и возможности пользователя или службы на конкретном компьютере или пользователя, службы, группы или компьютера в сети. Например, он определяет ресурсы, такие как общий файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут выполняться пользователем, службой или компьютером с этим ресурсом. Дополнительные сведения см. в разделе Принципы безопасности.

Учетная запись — это средство идентификации претендента — пользователя или службы, запрашивающего доступ или ресурсы.Путешественник, имеющий подлинный паспорт, имеет счет в принимающей стране. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или общие учетные записи. Учетные записи могут быть членами групп, и им могут быть назначены определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, рабочей группой, сетью или могут быть назначены членством в домене.

Встроенные учетные записи и группы безопасности, членами которых они являются, определяются в каждой версии Windows.Используя группы безопасности, вы можете назначать одни и те же разрешения безопасности многим успешно прошедшим проверку подлинности пользователям, что упрощает администрирование доступа. Правила выдачи паспортов могут требовать, чтобы путешественник был отнесен к определенным группам, таким как деловые, туристические или правительственные. Этот процесс обеспечивает согласованные разрешения безопасности для всех членов группы. Использование групп безопасности для назначения разрешений означает, что контроль доступа к ресурсам остается постоянным и простым в управлении и аудите.Добавляя и удаляя пользователей, которым требуется доступ, из соответствующих групп безопасности по мере необходимости, вы можете свести к минимуму частоту изменений в списках управления доступом (ACL).

Автономные управляемые учетные записи служб и виртуальные учетные записи были введены в Windows Server 2008 R2 и Windows 7 для предоставления необходимых приложений, таких как Microsoft Exchange Server и Internet Information Services (IIS), с изоляцией их собственных учетных записей домена, устраняя при этом необходимость в администратор для ручного администрирования имени субъекта-службы (SPN) и учетных данных для этих учетных записей.Групповые управляемые учетные записи служб были представлены в Windows Server 2012 и обеспечивают те же функции в пределах домена, но также расширяют эти функции на несколько серверов. При подключении к службе, размещенной на ферме серверов, такой как балансировка сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали один и тот же субъект.

Дополнительные сведения об учетных записях см. в статье:

.

Делегированная аутентификация

Используя аналогию с поездками, страны могут предоставить одинаковый доступ всем членам официальной правительственной делегации, если делегаты хорошо известны.Это делегирование позволяет одному члену действовать от имени другого члена. В Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос проверки подлинности от пользователя и принимает личность этого пользователя, чтобы инициировать новое подключение ко второй сетевой службе. Для поддержки делегированной проверки подлинности необходимо установить интерфейсные серверы или серверы первого уровня, такие как веб-серверы, которые отвечают за обработку запросов на проверку подлинности клиентов, и внутренние или многоуровневые серверы, такие как большие базы данных, отвечающие за хранение Информация.Вы можете делегировать право на настройку делегированной аутентификации пользователям в вашей организации, чтобы снизить административную нагрузку на ваших администраторов.

Назначая службу или компьютер доверенными для делегирования, вы позволяете этой службе или компьютеру выполнить делегированную проверку подлинности, получить билет для пользователя, который делает запрос, а затем получить доступ к информации для этого пользователя. Эта модель ограничивает доступ к данным на внутренних серверах только теми пользователями или службами, которые предоставляют учетные данные с правильными маркерами управления доступом.Кроме того, он позволяет проводить аудит доступа к этим внутренним ресурсам. Требуя, чтобы доступ ко всем данным осуществлялся с помощью учетных данных, делегированных серверу для использования от имени клиента, вы гарантируете, что сервер не может быть скомпрометирован, и что вы можете получить доступ к конфиденциальной информации, хранящейся на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, предназначенных для использования возможностей единого входа на нескольких компьютерах.

Аутентификация в доверительных отношениях между доменами

Большинство организаций, имеющих более одного домена, имеют законную потребность в том, чтобы пользователи имели доступ к общим ресурсам, расположенным в другом домене, так же как путешественнику разрешено путешествовать в разные регионы страны.Для управления этим доступом необходимо, чтобы пользователи в одном домене также могли пройти проверку подлинности и авторизоваться для использования ресурсов в другом домене. Чтобы обеспечить возможности аутентификации и авторизации между клиентами и серверами в разных доменах, между двумя доменами должно быть доверие. Доверительные отношения — это базовая технология, с помощью которой осуществляется защищенная связь Active Directory, и они являются неотъемлемым компонентом безопасности сетевой архитектуры Windows Server.

Когда между двумя доменами существует доверие, механизмы проверки подлинности для каждого домена доверяют проверкам подлинности, исходящим из другого домена.Доверительные отношения помогают обеспечить контролируемый доступ к общим ресурсам в ресурсном домене — доверительном домене — путем проверки того, что входящие запросы проверки подлинности исходят от доверенного органа — доверенного домена. Таким образом, доверительные отношения действуют как мосты, которые позволяют только проверенным запросам на аутентификацию перемещаться между доменами.

То, как конкретное доверие передает запросы проверки подлинности, зависит от того, как оно настроено. Отношения доверия могут быть односторонними, предоставляя доступ из доверенного домена к ресурсам в доверительном домене, или двусторонними, предоставляя доступ из каждого домена к ресурсам в другом домене.Доверительные отношения также являются либо нетранзитивными, и в этом случае доверие существует только между двумя доменами доверенных партнеров, либо транзитивными, и в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет любой из партнеров.

Сведения о том, как работает доверие, см. в разделе Как работают доверительные отношения домена и леса.

Переход протокола

Переход на протокол

помогает разработчикам приложений, позволяя приложениям поддерживать различные механизмы проверки подлинности на уровне проверки подлинности пользователя и переключаясь на протокол Kerberos для функций безопасности, таких как взаимная проверка подлинности и ограниченное делегирование, на последующих уровнях приложений.

Дополнительные сведения о смене протокола см. в разделе Смена протокола Kerberos и ограниченное делегирование.

Ограниченное делегирование

Ограниченное делегирование дает администраторам возможность указывать и применять границы доверия приложений, ограничивая область, в которой службы приложений могут действовать от имени пользователя. Вы можете указать определенные службы, из которых компьютер, доверенный для делегирования, может запрашивать ресурсы. Гибкость в ограничении прав авторизации для служб помогает улучшить структуру безопасности приложений, уменьшая возможности компрометации со стороны ненадежных служб.

Дополнительные сведения об ограниченном делегировании см. в разделе Обзор ограниченного делегирования Kerberos.

Дополнительные ссылки

Технический обзор входа в систему и проверки подлинности Windows

Включение входа с помощью смарт-карты — Windows Server

  • Статья
  • 12 минут на чтение
  • 3 участника

Полезна ли эта страница?

Да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье приведены некоторые рекомендации по включению входа со смарт-картой в сторонних центрах сертификации.

Применяется к:   Windows Server 2012 R2, Windows 10 – все выпуски
Исходный номер базы знаний:   281245

Резюме

Вы можете включить процесс входа в систему с помощью смарт-карты в Microsoft Windows 2000 и в центре сертификации (ЦС), отличном от Microsoft, следуя рекомендациям, изложенным в этой статье.Ограниченная поддержка этой конфигурации описана далее в этой статье.

Дополнительная информация

Требования

Проверка подлинности с помощью смарт-карты в Active Directory требует правильной настройки рабочих станций с использованием смарт-карт, Active Directory и контроллеров домена Active Directory. Active Directory должен доверять центру сертификации для аутентификации пользователей на основе сертификатов этого ЦС. И рабочие станции со смарт-картами, и контроллеры домена должны быть настроены с правильно настроенными сертификатами.

Как и в случае любой реализации PKI, все стороны должны доверять корневому ЦС, к которому привязывается выдающий ЦС. И контроллеры домена, и рабочие станции со смарт-картами доверяют этому корню.

Конфигурация Active Directory и контроллера домена
  • Обязательно: Active Directory должен иметь сторонний ЦС в хранилище NTAuth для аутентификации пользователей в Active Directory.
  • Требуется: Контроллеры домена должны быть настроены с сертификатом контроллера домена для проверки подлинности пользователей смарт-карт.
  • Необязательно: Active Directory можно настроить для распространения стороннего корневого ЦС в хранилище доверенных корневых ЦС всех членов домена с помощью групповой политики.
Сертификат смарт-карты и требования к рабочей станции
  • Обязательно: Должны быть соблюдены все требования к смарт-картам, изложенные в разделе «Инструкции по настройке», включая форматирование текста полей. Аутентификация смарт-карт завершается неудачно, если они не выполняются.
  • Требуется: Смарт-карта и закрытый ключ должны быть установлены на смарт-карте.

Инструкции по настройке

  1. Экспортируйте или загрузите сторонний корневой сертификат. Способ получения корневого сертификата стороны зависит от поставщика. Сертификат должен быть в формате Base64 Encoded X.509.

  2. Добавьте сторонний корневой ЦС к доверенным корням в объекте групповой политики Active Directory. Чтобы настроить групповую политику в домене Windows 2000 для распространения стороннего ЦС в доверенное корневое хранилище всех компьютеров домена:

    1. Щелкните Пуск , выберите Программы , выберите Администрирование , а затем щелкните Пользователи и компьютеры Active Directory .
    2. На левой панели найдите домен, к которому применяется политика, которую вы хотите изменить.
    3. Щелкните домен правой кнопкой мыши и выберите Свойства .
    4. Перейдите на вкладку Групповая политика .
    5. Щелкните объект Групповая политика политики домена по умолчанию , а затем щелкните Изменить . Откроется новое окно.
    6. На левой панели разверните следующие элементы:
      • Конфигурация компьютера
      • Параметры Windows
      • Настройки безопасности
      • Политика открытого ключа
    7. Щелкните правой кнопкой мыши Доверенные корневые центры сертификации .
    8. Выберите Все задачи и нажмите Импорт .
    9. Следуйте инструкциям мастера, чтобы импортировать сертификат.
    10. Нажмите OK .
    11. Закройте окно групповой политики .
  3. Добавьте третью сторону, выдавшую ЦС, в хранилище NTAuth в Active Directory.

    Сертификат входа в систему со смарт-картой должен быть выдан центром сертификации, находящимся в хранилище NTAuth. По умолчанию центры сертификации Microsoft Enterprise добавляются в хранилище NTAuth.

    • Если ЦС, выдавший сертификат входа в систему с помощью смарт-карты или сертификаты контроллера домена, не размещен должным образом в хранилище NTAuth, процесс входа в систему с помощью смарт-карты не работает. Соответствующий ответ: «Невозможно проверить учетные данные».

    • Хранилище NTAuth находится в контейнере конфигурации для леса. Например, пример расположения выглядит следующим образом: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

      .
    • По умолчанию это хранилище создается при установке Microsoft Enterprise CA.Объект также можно создать вручную с помощью ADSIedit.msc в средствах поддержки Windows 2000 или с помощью LDIFDE. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью базы знаний Майкрософт:

      .

      295663 Как импортировать сертификаты сторонних центров сертификации (ЦС) в хранилище Enterprise NTAuth

    • Соответствующим атрибутом является cACertificate, представляющий собой строку октетов, многозначный список сертификатов в кодировке ASN.

      После того, как вы поместите сторонний ЦС в хранилище NTAuth, групповая политика на основе домена помещает раздел реестра (отпечаток сертификата) в следующее место на всех компьютерах в домене:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Он обновляется каждые восемь часов на рабочих станциях (типичный импульсный интервал групповой политики).

  4. Запросите и установите сертификат контроллера домена на контроллер(ы) домена. Каждый контроллер домена, который будет аутентифицировать пользователей смарт-карт, должен иметь сертификат контроллера домена.

    Если вы устанавливаете Microsoft Enterprise CA в лесу Active Directory, все контроллеры домена автоматически подают заявку на сертификат контроллера домена. Для получения дополнительных сведений о требованиях к сертификатам контроллера домена от стороннего центра сертификации щелкните следующий номер статьи базы знаний Майкрософт:

    .

    2

    Требования к сертификатам контроллера домена от стороннего ЦС

    Примечание

    Сертификат контроллера домена используется для проверки подлинности Secure Sockets Layer (SSL), шифрования Simple Mail Transfer Protocol (SMTP), подписания удаленного вызова процедур (RPC) и процесса входа в систему с помощью смарт-карты.Использование центра сертификации, отличного от Microsoft, для выдачи сертификата контроллеру домена может привести к непредвиденному поведению или неподдерживаемым результатам. Неправильно отформатированный сертификат или сертификат с отсутствующим именем субъекта может привести к тому, что эти или другие возможности перестанут отвечать.

  5. Запросите сертификат смарт-карты у стороннего ЦС.

    Зарегистрируйтесь для получения сертификата от стороннего ЦС, соответствующего заявленным требованиям. Метод регистрации зависит от поставщика ЦС.

    Сертификат смарт-карты имеет особые требования к формату:

    • Местоположение точки распространения CRL (CDP) (где CRL — это список отзыва сертификатов) должно быть заполнено, подключено к сети и доступно. Например:

    [1] Точка распространения CRL
    Имя точки распространения:
    Полное имя:
    URL= https://server1.name.com/CertEnroll/caname.crl

    • Использование ключа = цифровая подпись

    • Основные ограничения [Тип темы = Конечная сущность, Ограничение длины пути = Нет] (Необязательно)

    • Расширенное использование ключа =

      • Аутентификация клиента (1.3.6.1.5.5.7.3.2)
        (OID проверки подлинности клиента) требуется только в том случае, если сертификат используется для проверки подлинности SSL.)
      • Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)
    • Альтернативное имя субъекта = Другое имя: Основное имя = (UPN). Например:
      UPN = [email protected]
      OID OtherName UPN: «1.3.6.1.4.1.311.20.2.3»
      Значение OtherName UPN: Должна быть строка UTF8 в кодировке ASN1

    • Тема = Отличительное имя пользователя.Это поле является обязательным расширением, но заполнение этого поля не является обязательным.

  6. Существует два предопределенных типа закрытых ключей. Эти ключи: Только подпись (AT_SIGNATURE) и Обмен ключами (AT_KEYEXCHANGE) . Сертификаты входа со смарт-картой должны иметь тип закрытого ключа Key Exchange(AT_KEYEXCHANGE) , чтобы вход со смарт-картой работал правильно.

  7. Установите драйверы и программное обеспечение для смарт-карт на рабочую станцию ​​со смарт-картами.

    Убедитесь, что на рабочей станции со смарт-картами установлено соответствующее устройство чтения смарт-карт и программное обеспечение драйвера. Это зависит от поставщика устройства чтения смарт-карт.

  8. Установите сторонний сертификат смарт-карты на рабочую станцию ​​смарт-карты.

    Если смарт-карта еще не была помещена в личное хранилище пользователя смарт-карты в процессе регистрации на шаге 4, необходимо импортировать сертификат в личное хранилище пользователя. Для этого:

    1. Откройте консоль управления Microsoft (MMC), содержащую оснастку «Сертификаты».

    2. В дереве консоли в разделе Личные щелкните Сертификаты.

    3. В меню «Все задачи» выберите «Импорт», чтобы запустить мастер импорта сертификатов.

    4. Щелкните файл, содержащий сертификаты, которые вы импортируете.

      Примечание

      Если файл, содержащий сертификаты, является файлом обмена личной информацией (PKCS #12), введите пароль, который вы использовали для шифрования закрытого ключа, установите соответствующий флажок, если вы хотите, чтобы закрытый ключ можно было экспортировать, и затем включите надежную защиту закрытого ключа (если хотите использовать эту функцию).

      Примечание

      Чтобы включить надежную защиту закрытого ключа, необходимо использовать режим просмотра логических хранилищ сертификатов.

    5. Выберите параметр для автоматического помещения сертификата в хранилище сертификатов в зависимости от типа сертификата.

  9. Установите сторонний сертификат смарт-карты на смарт-карту. Эта установка зависит от поставщика службы криптографии (CSP) и поставщика смарт-карты. Инструкции см. в документации поставщика.

  10. Войдите на рабочую станцию ​​с помощью смарт-карты.

Возможные проблемы

При входе в систему с помощью смарт-карты наиболее распространенное сообщение об ошибке:

.

Системе не удалось войти в систему. Не удалось проверить ваши учетные данные.

Это сообщение является общей ошибкой и может быть результатом одной или нескольких из перечисленных ниже проблем.

Проблемы с сертификатом и конфигурацией
  • Контроллер домена не имеет сертификата контроллера домена.

  • Неверный формат поля SubjAltName сертификата смарт-карты. Если информация в поле SubjAltName отображается как необработанные данные в шестнадцатеричном формате / ASCII, форматирование текста не соответствует ASN1 / UTF-8.

  • Контроллер домена имеет неправильно сформированный или неполный сертификат.

  • Для каждого из следующих условий необходимо запросить новый действительный сертификат контроллера домена. Если срок действия вашего действительного сертификата контроллера домена истек, вы можете обновить сертификат контроллера домена, но этот процесс является более сложным и, как правило, более трудным, чем запрос нового сертификата контроллера домена.

    • Срок действия сертификата контроллера домена истек.
    • Контроллер домена имеет ненадежный сертификат. Если хранилище NTAuth не содержит сертификат центра сертификации (ЦС) выдавшего сертификат ЦС контроллера домена, необходимо добавить его в хранилище NTAuth или получить сертификат DC от выдающего ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции со смарт-картами не доверяют корневому ЦС, к которому привязана цепочка сертификатов контроллера домена, необходимо настроить эти компьютеры так, чтобы они доверяли этому корневому ЦС.

  • Смарт-карта имеет ненадежный сертификат. Если в хранилище NTAuth нет сертификата ЦС, выдавшего сертификат смарт-карты, необходимо добавить его в хранилище NTAuth или получить сертификат смарт-карты в выдающем ЦС, сертификат которого находится в хранилище NTAuth.

    Если контроллеры домена или рабочие станции со смарт-картами не доверяют корневому ЦС, к которому привязан сертификат смарт-карты пользователя, необходимо настроить эти компьютеры так, чтобы они доверяли этому корневому ЦС.

  • Сертификат смарт-карты не установлен в хранилище пользователя на рабочей станции. Сертификат, хранящийся на смарт-карте, должен находиться на рабочей станции со смарт-картой в профиле пользователя, который входит в систему с помощью смарт-карты.

    Примечание

    Вам не нужно хранить закрытый ключ в профиле пользователя на рабочей станции. Требуется только хранить на смарт-карте.

  • На смарт-карте не установлен правильный сертификат или закрытый ключ смарт-карты.Действительный сертификат смарт-карты должен быть установлен на смарт-карте с закрытым ключом, и сертификат должен соответствовать сертификату, хранящемуся в профиле пользователя смарт-карты на рабочей станции смарт-карты.

  • Не удается получить сертификат смарт-карты из устройства чтения смарт-карт. Это может быть проблема с аппаратным обеспечением устройства чтения смарт-карт или программным обеспечением драйвера устройства чтения смарт-карт. Убедитесь, что вы можете использовать программное обеспечение поставщика устройства чтения смарт-карт для просмотра сертификата и закрытого ключа на смарт-карте.

  • Срок действия сертификата смарт-карты истек.

  • Нет основного имени пользователя (UPN) в расширении SubjAltName сертификата смарт-карты.

  • Имя участника-пользователя в поле SubjAltName сертификата смарт-карты имеет неверный формат. Если информация в SubjAltName отображается как необработанные данные в шестнадцатеричном формате / ASCII, форматирование текста не соответствует ASN1 / UTF-8.

  • Смарт-карта имеет неправильно сформированный или неполный сертификат.Для каждого из этих условий необходимо запросить новый действующий сертификат смарт-карты и установить его на смарт-карту и в профиль пользователя на рабочей станции смарт-карты. Сертификат смарт-карты должен соответствовать требованиям, описанным ранее в этой статье, включая правильно отформатированное поле имени участника-пользователя в поле SubjAltName.

    Если срок действия действительного сертификата смарт-карты истек, вы также можете обновить сертификат смарт-карты, что является более сложным и сложным, чем запрос нового сертификата смарт-карты.

  • Пользователь не имеет имени участника-пользователя, определенного в своей учетной записи пользователя Active Directory. Учетная запись пользователя в Active Directory должна иметь допустимое имя участника-пользователя в свойстве userPrincipalName учетной записи пользователя Active Directory пользователя смарт-карты.

  • Имя участника-пользователя в сертификате не соответствует имени участника-пользователя, определенному в учетной записи пользователя Active Directory. Исправьте имя участника-пользователя в учетной записи пользователя Active Directory пользователя смарт-карты или повторно выпустите сертификат смарт-карты, чтобы значение имени участника-пользователя в поле SubjAltName соответствовало имени участника-пользователя в учетной записи пользователя Active Directory пользователя смарт-карты.Мы рекомендуем, чтобы имя участника-пользователя смарт-карты соответствовало атрибуту учетной записи пользователя userPrincipalName для сторонних ЦС. Однако, если имя участника-пользователя в сертификате является «неявным именем участника-пользователя» учетной записи (формат [email protected]_FQDN), имя участника-пользователя не должно явно соответствовать свойству userPrincipalName.

Проблемы с проверкой отзыва

Если проверка отзыва завершается сбоем, когда контроллер домена проверяет сертификат входа с помощью смарт-карты, контроллер домена отказывает в входе в систему.Контроллер домена может вернуть упомянутое ранее сообщение об ошибке или следующее сообщение об ошибке:

.

Системе не удалось войти в систему. Сертификат смарт-карты, использованный для проверки подлинности, не был доверенным.

Примечание

Невозможность найти и загрузить список отозванных сертификатов (CRL), недействительный CRL, отозванный сертификат и состояние отзыва «неизвестно» считаются ошибками отзыва.

Проверка отзыва должна быть успешной как со стороны клиента, так и со стороны контроллера домена.Убедитесь, что верно следующее:

  • Проверка отзыва не отключена.

    Проверка отзыва для встроенных поставщиков отзыва не может быть отключена. Если установлен пользовательский устанавливаемый поставщик отзыва, его необходимо включить.

  • Каждый сертификат ЦС, кроме корневого ЦС в цепочке сертификатов, содержит действительное расширение CDP в сертификате.

  • Список отзыва сертификатов содержит поле «Следующее обновление» и актуален.Вы можете проверить, что CRL онлайн на CDP и действителен, загрузив его из Internet Explorer. Вы должны иметь возможность загружать и просматривать список отзыва сертификатов из любого из протоколов передачи гипертекста (HTTP) или протокола передачи файлов (FTP) в Internet Explorer как с рабочих станций со смарт-картами, так и с контроллеров домена.

Убедитесь, что каждый уникальный HTTP и FTP CDP, используемый сертификатом на вашем предприятии, находится в сети и доступен.

Чтобы убедиться, что CRL находится в сети и доступен через FTP или HTTP CDP:

  1. Чтобы открыть соответствующий сертификат, дважды щелкните файл .cer или дважды щелкните сертификат в хранилище.
  2. Перейдите на вкладку Сведения и выберите поле CRL Distribution Point .
  3. В нижней панели выделите полный URL-адрес универсального указателя ресурсов FTP или HTTP и скопируйте его.
  4. Откройте Internet Explorer и вставьте URL-адрес в адресную строку.
  5. При получении приглашения выберите параметр Открыть список отзыва сертификатов.
  6. Убедитесь, что в CRL есть поле «Следующее обновление» и время в поле «Следующее обновление» не истекло.

Чтобы загрузить или проверить действительность протокола CDP облегченного протокола доступа к каталогам (LDAP), необходимо написать сценарий или приложение для загрузки списка отзыва сертификатов. После загрузки и открытия списка отзыва сертификатов убедитесь, что в списке отзыва сертификатов есть поле «Следующее обновление» и время в поле «Следующее обновление» не истекло.

Поддержка

Служба поддержки продуктов Майкрософт не поддерживает процесс входа в систему со смарт-картой стороннего ЦС, если установлено, что один или несколько из следующих элементов способствуют возникновению проблемы:

  • Неверный формат сертификата.
  • Статус сертификата или статус отзыва недоступны из стороннего ЦС.
  • Проблемы с регистрацией сертификата от стороннего ЦС.
  • Сторонний центр сертификации не может опубликовать данные в Active Directory.
  • Сторонний CSP.

Дополнительная информация

Клиентский компьютер проверяет сертификат контроллера домена. Поэтому локальный компьютер загружает CRL для сертификата контроллера домена в кэш CRL.

В процессе автономного входа не используются сертификаты, а используются только кэшированные учетные данные.

Чтобы немедленно заполнить хранилище NTAuth на локальном компьютере вместо ожидания следующего распространения групповой политики, выполните следующую команду, чтобы инициировать обновление групповой политики:

  dsstore.exe -пульс
  

Вы также можете вывести информацию о смарт-карте в Windows Server 2003 и Windows XP с помощью команды Certutil.exe -scinfo.

Проблемы проверки домена и адреса электронной почты

Чтобы подтвердить домен или адрес электронной почты с помощью Amazon SES, вы инициируете процесс, используя либо консоль Amazon SES или API Amazon SES.В этом разделе содержится информация, которая может помочь решить проблемы с процессом проверки.

В следующих процедурах ссылка на записи DNS может относиться либо к CNAME, или TXT, в зависимости от того, какую форму DKIM вы использовали. Easy DKIM использует записи CNAME и «Принеси свой собственный DKIM» (BYODKIM) использует записи TXT. Подробные процедуры проверки предоставляется для каждого Easy DKIM или BYODKIM.

Проверка общего домена проблемы

Если вы попытаетесь подтвердить домен с помощью процедуры, описанной в разделе Проверка удостоверения домена DKIM с помощью вашего DNS провайдера и вы столкнулись с проблемами, просмотрите возможные причины и решения ниже.

  • Вы пытаетесь подтвердить домен, который вы не собственный — вы не можете подтвердить домен, который вам не принадлежит. За например, если вы хотите отправить электронное письмо через Amazon SES с адреса в домен gmail.com , вам необходимо подтвердить этот адрес электронной почты конкретно.Вы не можете проверить всю домен gmail.com .

  • Вы пытаетесь проверить частный домен – Вы не можете подтвердить домен, если записи DNS не могут быть разрешены через общедоступный DNS.

  • Ваш провайдер DNS не разрешает символы подчеркивания в DNS имена записей — небольшое количество провайдеров DNS не позволяет включить символы подчеркивания (_) в имена записей.Однако подчеркивание в Требуется имя записи DKIM. Если ваш провайдер DNS не позволяет вам ввести подчеркивание в имени записи, обратитесь в службу поддержки провайдера для помощь.

  • Ваш провайдер DNS добавил доменное имя в конец запись DNS. Некоторые провайдеры DNS автоматически добавляют имя вашего домена на имя атрибута записи DNS.Например, если вы создать запись, где имя атрибута _domainkey.example.com , провайдер может добавить доменное имя, в результате чего _domainkey.example.com.example.com ). Избежать дублирование доменного имени, добавьте точку в конце доменного имени, когда вы вводите запись DNS. Этот шаг сообщает вашему провайдеру DNS, что это не необходимо добавить доменное имя к записи.

  • Ваш провайдер DNS изменил значение записи DNS – Некоторые провайдеры автоматически изменяют значения записей DNS, чтобы использовать только строчные буквы. Amazon SES проверяет ваш домен только тогда, когда обнаруживает проверочная запись, для которой значение атрибута точно совпадает со значением, Amazon SES предоставляется при запуске процесса подтверждения домена. Если DNS провайдер для вашего домена изменяет значения ваших DNS-записей, чтобы использовать только строчные буквы письма, обратитесь к поставщику DNS за дополнительной помощью.

  • Вы хотите проверить один и тот же домен несколько раз раз — вам может потребоваться подтвердить свой домен более одного раза. потому что вы отправляете в разные регионы или используете один и тот же домен для отправки из нескольких учетных записей AWS. Если ваш DNS-провайдер не разрешает если у вас есть более одной записи DNS с одним и тем же именем атрибута, вы можете по-прежнему иметь возможность проверить два домена.Если ваш DNS-провайдер разрешает это, вы можете назначать несколько значений атрибутов одной и той же записи DNS. Например, если ваш DNS управляется Amazon Route 53, вы можете настроить несколько значений для одного и того же CNAME. запись, выполнив следующие шаги:

    1. В консоли Route 53 выберите запись CNAME, которую вы создали при подтвердил ваш домен в первом регионе.

    2. В поле Значение перейдите в конец существующего значение атрибута, а затем нажмите клавишу ВВОД.

    3. Добавьте значение атрибута для дополнительной области, а затем сохраните набор рекордов.

    Если ваш провайдер DNS не позволяет назначать несколько значений одному и тому же DNS запись, вы можете подтвердить домен один раз с _domainkey в имя атрибута записи DNS, а в другой раз с _domainkey удален из имени атрибута. недостатком этого решения является то, что вы можете проверить один и тот же домен только два раз.

Проверка подтверждения домена настройки

Вы можете проверить, правильно ли опубликована DNS-запись проверки домена Amazon SES для ваш DNS-сервер с помощью следующей процедуры. В этой процедуре используется инструмент nslookup, который доступны для Windows и Linux.В Linux вы также можете использовать dig.

Команды в этих инструкциях были выполнены в Windows 7, и пример домена мы используем ses-example.com , настроенный с Easy DKIM, который использует CNAME-записи.

В этой процедуре вы сначала найдете DNS-серверы, которые обслуживают ваш домен, а затем запрашивать эти серверы для просмотра записей CNAME. Вы запрашиваете DNS-серверы, которые обслуживают ваш домен, потому что эти серверы содержат самую актуальную информацию для вашего домена, для распространения на другие DNS-серверы может потребоваться время.

Чтобы убедиться, что записи CNAME проверки вашего домена опубликованы в вашем DNS сервер

  1. Найдите серверы имен для своего домена, выполнив следующие действия.

    1. Перейти в командную строку. Чтобы попасть в командную строку в Windows 7, выберите Start и затем введите команда .В операционных системах на базе Linux откройте окно терминала.

    2. В командной строке введите следующее, где <домен> — ваш домен. Это будет список все серверы имен, которые обслуживают ваш домен.

        nslookup -type=NS <домен>  

      Если ваш домен был ses-example.com , эта команда будет выглядеть так:

        nslookup -type=NS ses-example.com  

      В выводе команды будет список серверов имен, которые обслуживают ваш домен. На следующем шаге вы запросите один из этих серверов.

  2. Убедитесь, что записи CNAME опубликованы правильно, выполнив следующие действия. шаги. Помните, что Amazon SES создает три записи CNAME для Easy Аутентификация DKIM, поэтому повторите следующие процедуры для каждого из три.

    1. В командной строке введите следующее, где <случайный string> — имя CNAME, сгенерированное SES, <домен> — это ваш домен, и <сервер имен> — один из серверов имен вы нашли на шаге 1.

        nslookup -type=CNAME  <случайная строка>  _domainkey.<домен> <сервер имен>  

      В нашем примере ses-example.com , если сервер имен который мы нашли на шаге 1, называется ns1.name-server.net и <случайная строка> сгенерировано SES 4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz , мы должны ввести следующее:

        nslookup -type=CNAME 4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz_domainkey.ses-example.com ns1.name-server.net  
    2. В выводе команды убедитесь, что строка, следующая за каноническое имя = соответствует значению CNAME, которое вы видите, когда вы выбираете домен в списке Identities Amazon SES консоль.

      В нашем примере мы ищем запись CNAME под 4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz _domainkey.ses-example.com со значением 4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz.dkim.amazonses.com . Если запись правильно опубликована, мы ожидаем, что команда будет иметь следующий вывод:

        4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz_domainkey.ses-example.com каноническое имя = "4hzwn5lmznmmjyl2pqf2agr3uzzzzxyz.dkim.amazonses.com"  

Общая проверка электронной почты проблемы

  • Письмо с подтверждением не пришло. Если вы выполняете процедуры, описанные в разделе Проверка подлинности адреса электронной почты, но не получаете письмо с подтверждением в течение нескольких минут, выполните следующие действия:

    • Проверьте папку спама или нежелательной почты на наличие адреса электронной почты, который вы пытаемся проверить.

    • Подтвердите, что адрес, который вы пытаетесь проверить, может Получить почту. Используя отдельный адрес электронной почты (например, ваш личный адрес электронной почты), отправьте тестовое письмо на адрес, который вы хотите проверять.

    • Проверить список проверенных адресов в консоли Amazon SES.Убедись, что в адресе электронной почты, который вы пытаетесь проверять.

Устранение неполадок при входе в систему Windows | Служба федеративной аутентификации 2203

В этой статье описываются журналы и сообщения об ошибках, которые Windows предоставляет, когда пользователь входит в систему с использованием сертификатов и/или смарт-карт.Эти журналы содержат информацию, которую можно использовать для устранения неполадок при проверке подлинности.

Сертификаты и инфраструктура открытых ключей

Windows Active Directory поддерживает несколько хранилищ сертификатов, которые управляют сертификатами для пользователей, входящих в систему.

  • Хранилище сертификатов NTAuth : для аутентификации в Windows центр сертификации, немедленно выдающий пользовательские сертификаты (т. е. цепочка не поддерживается), должен быть помещен в хранилище NTAuth. Чтобы просмотреть эти сертификаты, в программе certutil введите: certutil –viewstore –enterprise NTAuth.
  • Корневые и промежуточные хранилища сертификатов: Обычно системы входа в систему с сертификатами могут предоставить только один сертификат, поэтому, если используется цепочка, промежуточное хранилище сертификатов на всех компьютерах должно включать эти сертификаты. Корневой сертификат должен находиться в доверенном корневом хранилище, а предпоследний сертификат должен находиться в хранилище NTAuth.
  • Расширения сертификата входа и групповая политика: Windows можно настроить для принудительной проверки EKU и других политик сертификатов.См. документацию Microsoft: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ff404287(v=ws.10).
Политика реестра Описание
Разрешить сертификаты без EKU Если этот параметр отключен, сертификаты должны включать расширенное использование ключа входа со смарт-картой (EKU).
Алловсигнатуронликэйс По умолчанию Windows отфильтровывает закрытые ключи сертификатов, которые не позволяют расшифровать RSA.Этот параметр переопределяет этот фильтр.
Алловтимеинвалидсертификатес По умолчанию Windows отфильтровывает просроченные сертификаты. Этот параметр переопределяет этот фильтр.
перечислитьECCCerts Включает аутентификацию по эллиптической кривой.
X509HintsNeeded Если сертификат не содержит уникального имени участника-пользователя (UPN) или может быть неоднозначным, этот параметр позволяет пользователям вручную указать свою учетную запись для входа в Windows.
UseCachedCRLOnlyAnd, IgnoreRevocationUnknownErrors Отключает проверку отзыва (обычно устанавливается на контроллере домена).
  • Сертификаты контроллера домена : Для проверки подлинности соединений Kerberos все серверы должны иметь соответствующие сертификаты «Контроллер домена». Их можно запросить с помощью меню оснастки MMC «Личное хранилище сертификатов локального компьютера».

Имя участника-пользователя и сопоставление сертификата

Рекомендуется, чтобы пользовательские сертификаты включали уникальное имя участника-пользователя (UPN) в расширение альтернативного имени субъекта.

Имена UPN в Active Directory

По умолчанию каждый пользователь в Active Directory имеет неявный UPN на основе шаблона @ и @. Доступные домены и полные доменные имена включены в запись RootDSE для леса. Обратите внимание, что один домен может иметь несколько адресов FQDN, зарегистрированных в RootDSE.

Кроме того, каждый пользователь в Active Directory имеет явный UPN и altUserPrincipalNames.Это записи LDAP, которые определяют имя участника-пользователя для пользователя.

При поиске пользователей по имени участника-пользователя Windows сначала ищет в текущем домене (на основе идентификатора процесса, ищущего имя участника-пользователя) явные имена участников-пользователей, а затем альтернативные имена участников-пользователей. Если совпадений нет, он ищет неявный UPN, который может разрешаться в разные домены в лесу.

Служба сопоставления сертификатов

Если сертификат не содержит явного имени участника-пользователя, Active Directory имеет возможность хранить точный общедоступный сертификат для каждого использования в атрибуте «x509certificate».Чтобы разрешить такой сертификат пользователю, компьютер может напрямую запросить этот атрибут (по умолчанию в одном домене).

Пользователю предоставляется возможность указать учетную запись пользователя, которая ускоряет этот поиск, а также позволяет использовать эту функцию в междоменной среде.

Если в лесу есть несколько доменов и пользователь явно не указывает домен, rootDSE Active Directory указывает расположение службы сопоставления сертификатов. Обычно он находится на компьютере с глобальным каталогом и имеет кэшированное представление всех атрибутов сертификата x509 в лесу.Этот компьютер можно использовать для эффективного поиска учетной записи пользователя в любом домене, основываясь только на сертификате.

Управление выбором контроллера домена для входа в систему

Когда среда содержит несколько контроллеров домена, полезно видеть и ограничивать, какой контроллер домена используется для проверки подлинности, чтобы можно было включить и получить журналы.

Управление выбором контроллера домена

Чтобы заставить Windows использовать определенный контроллер домена Windows для входа в систему, вы можете явно задать список контроллеров домена, которые использует компьютер Windows, настроив файл lmhosts: \Windows\System32\drivers\etc\lmhosts.

Обычно в этом месте находится образец файла с именем «lmhosts.sam». Просто включите строку:

1.2.3.4 dcnetbiosname #PRE #DOM:mydomai

Где «1.2.3.4» — это IP-адрес контроллера домена с именем «dcnetbiosname» в домене «mydomain».

После перезагрузки компьютер с Windows использует эту информацию для входа в mydomain. Обратите внимание, что эта конфигурация должна быть восстановлена ​​после завершения отладки.

Определите используемый контроллер домена

При входе в систему Windows устанавливает переменную среды MSDOS с контроллером домена, с которого пользователь вошел в систему.Чтобы увидеть это, запустите командную строку с помощью команды: echo %LOGONSERVER% .

Журналы, относящиеся к проверке подлинности, сохраняются на компьютере, возвращаемом этой командой.

Включить события аудита учетной записи

По умолчанию контроллеры домена Windows не включают журналы полного аудита учетных записей. Это можно контролировать с помощью политик аудита в настройках безопасности в редакторе групповой политики. После их включения контроллер домена создает дополнительную информацию журнала событий в файле журнала безопасности.

Журналы проверки сертификатов

Проверить действительность сертификата

Если сертификат смарт-карты экспортируется как сертификат DER (закрытый ключ не требуется), вы можете проверить его с помощью команды: certutil –verify user.cer

Включить ведение журнала CAPI

На контроллере домена и компьютере пользователя откройте средство просмотра событий и включите ведение журнала для Microsoft/Windows/CAPI2/Operational Logs.

Вы можете управлять ведением журнала CAPI с помощью разделов реестра: CurrentControlSet\Services\crypt32.

Значение Описание
DiagLevel (DWORD) Уровень детализации (от 0 до 5)
DiagMatchAnyMask (QUADWORD) Фильтр событий (используйте 0xffffff для всех)
DiagProcessName (MULTI_SZ) Фильтр по имени процесса (например, LSASS.exe)

Журналы CAPI

Сообщение Описание
Строить цепочку LSA под названием CertGetCertificateChain (включает результат)
Подтвердить отзыв LSA под названием CertVerifyRevocation (включая результат)
X509 Объекты В подробном режиме сертификаты и списки отзыва сертификатов (CRL) сбрасываются в AppData\LocalLow\Microsoft\X509Objects
Проверка политики цепочки LSA под названием CertVerifyChainPolicy (включает параметры)

Сообщения об ошибках

Код ошибки Описание
Ненадежный сертификат Не удалось создать сертификат смарт-карты с использованием сертификатов в промежуточном и доверенном корневом хранилище сертификатов компьютера.
Ошибка проверки отзыва сертификата CRL для смарт-карты не может быть загружен с адреса, указанного точкой распространения CRL сертификата. Если проверка отзыва обязательна, это предотвращает успешный вход в систему. См. раздел Сертификаты и инфраструктура открытых ключей.
Ошибки использования сертификата Сертификат не подходит для входа в систему. Например, это может быть сертификат сервера или сертификат подписи.

Журналы Kerberos

Чтобы включить ведение журнала Kerberos, на контроллере домена и компьютере конечного пользователя создайте следующие значения реестра:

Улей Имя значения Значение [DWORD]
CurrentControlSet\Control\Lsa\Kerberos\Parameters LogLevel 0x1
CurrentControlSet\Control\Lsa\Kerberos\Parameters KerbDebuglevel 0xffffffff
CurrentControlSet\Services\Kdc Кдкдебуглевел 0x1
CurrentControlSet\Services\Kdc Кдкэкстралоглевел 0x1f

Журнал Kerberos выводится в журнал системных событий.

  • Такие сообщения, как «ненадежный сертификат», должны легко диагностироваться.
  • Два кода ошибок носят информационный характер, и их можно безопасно игнорировать:
    • KDC_ERR_PREAUTH_REQUIRED (используется для обратной совместимости со старыми контроллерами домена)
    • Неизвестная ошибка 0x4b

Журналы контроллера домена и рабочей станции

В этом разделе описываются ожидаемые записи журнала на контроллере домена и рабочей станции, когда пользователь входит в систему с сертификатом.

  • Журнал CAPI2 контроллера домена
  • Журналы безопасности контроллера домена
  • Журнал безопасности виртуального агента доставки (VDA)
  • Журнал CAPI VDA
  • Системный журнал VDA

Журнал CAPI2 контроллера домена

Во время входа в систему контроллер домена проверяет сертификат вызывающего абонента, создавая последовательность записей журнала в следующей форме.

Последнее сообщение журнала событий показывает, что lsass.exe на контроллере домена создает цепочку на основе сертификата, предоставленного VDA, и проверяет его на действительность (включая отзыв).Результат возвращается как «ERROR_SUCCESS».

Журнал безопасности контроллера домена

Контроллер домена показывает последовательность событий входа в систему, ключевым событием является 4768, где сертификат используется для выдачи билета предоставления билетов Kerberos (krbtgt).

В сообщениях перед этим показана учетная запись компьютера сервера, выполняющего аутентификацию на контроллере домена. Следующие за этим сообщения показывают, что учетная запись пользователя, принадлежащая новому krbtgt, используется для аутентификации на контроллере домена.

Журнал безопасности VDA

Журнал аудита безопасности VDA, соответствующий событию входа в систему, представляет собой запись с идентификатором события 4648, созданную программой winlogon.exe.

Журнал CAPI VDA

В этом примере журнала VDA CAPI показана последовательность сборки и проверки одной цепочки из lsass.exe, проверяющая сертификат контроллера домена (dc.citrixtest.net).

Системный журнал VDA

Если ведение журнала Kerberos включено, системный журнал показывает ошибку KDC_ERR_PREAUTH_REQUIRED (которую можно игнорировать) и запись от Winlogon, показывающую, что вход в систему Kerberos прошел успешно.

Мониторинг FAS с помощью журнала событий Windows

Все события FAS записываются в журнал событий приложений Windows. Вы можете использовать такие продукты, как System Center Operations Manager (SCOM), для мониторинга работоспособности службы FAS с помощью процессов и событий, описанных здесь.

Служба FAS запущена?

Чтобы определить, запущена ли служба FAS, отслеживайте процесс Citrix.Authentication.FederatedAuthenticationService.exe.

В этом разделе описаны только самые важные события для мониторинга службы FAS.Полный список кодов событий FAS см. в журналах событий FAS.

События работоспособности FAS

Следующие события показывают, исправна ли служба FAS.

Источником события является Citrix.Authentication.FederatedAuthenticationService .

Событие Текст события Пояснение Примечания
[S003] Администратор [{0}] устанавливает для режима обслуживания значение [{1}] Служба FAS переведена в режим обслуживания или выведена из него. В режиме обслуживания сервер FAS нельзя использовать для единого входа.
[S022] Администратор [{0}] отключил режим обслуживания Служба FAS была выведена из режима обслуживания. Доступен в FAS 10.7 / CVAD 2109.
[S023] Администратор [{0}] устанавливает для режима обслуживания значение Вкл. Служба FAS переведена в режим обслуживания. Доступен в FAS 10.7 / CVAD 2109.
[С123] Не удалось выдать сертификат для [upn: {0}, роль: {1}] [исключение: {2}] Это событие происходит после [S124], если ни один из ЦС FAS не настроен с успешно выданным сертификатом пользователя. Единый вход не будет работать для этого пользователя. Это событие может означать, что все настроенные центры сертификации не работают. Если FAS настроен на использование HSM, это также может указывать на то, что HSM не работает.
[С124] Не удалось выдать сертификат для [upn: {0}, роль: {1}] в [центре сертификации: {2}] [исключение: {3}] Произошел сбой при попытке FAS запросить пользовательский сертификат у данного ЦС. Если FAS настроен с более чем одним ЦС, FAS попытается отправить запрос в другой ЦС. Это событие может означать, что ЦС не работает или с ним невозможно связаться. Если FAS настроен на использование HSM, это также может указывать на то, что HSM не работает.Исключение можно использовать для определения причины проблемы.
[S413] Срок действия сертификата авторизации скоро истечет (осталось {0} дней). Сведения о сертификате: {1} Это событие генерируется периодически, когда срок действия сертификата авторизации FAS подходит к концу. По умолчанию событие генерируется каждый день, если до истечения срока действия сертификата авторизации осталось менее 30 дней. Параметры по умолчанию можно изменить с помощью командлета Set-FasRaCertificateMonitor ; см. командлеты PowerShell.
[S414] Срок действия сертификата авторизации истек. Детали сертификата: {0} Это событие генерируется периодически, когда срок действия сертификата авторизации FAS истек. По умолчанию событие генерируется каждый день. После истечения срока действия FAS не может создавать новые пользовательские сертификаты, и единый вход начинает давать сбой.

События FAS, подключенные к облаку

Если вы используете FAS вместе с Citrix Cloud, следующие события показывают, работоспособна ли ваша служба FAS.

Источник события — Citrix.Fas.Cloud .

Событие Текст события Пояснение Примечания
[S012] Служба FAS доступна для единого входа из Citrix Cloud Это событие указывает на то, что единый вход из Workspace (т. е. Citrix Cloud) должен работать. Перед отправкой этого события FAS проверяет (1) что он настроен, (2) не находится в режиме обслуживания и (3) подключен к Citrix Cloud.
[S013] Служба FAS недоступна для единого входа из Citrix Cloud. [{0}] Дополнительную информацию можно найти в консоли администратора. Это событие указывает на то, что FAS не может обеспечить единый вход из Workspace (т. е. Citrix Cloud). В сообщении указывается причина, по которой единый вход не работает. FAS поддерживает постоянное подключение к Citrix Cloud. Время от времени это соединение может прерываться по разным причинам (например, сбой в сети или политика времени жизни соединения на прокси-сервере).При этом в тексте события содержится «Сервис не подключен к облаку». Это нормальное поведение, и FAS немедленно пытается восстановить соединение с Citrix Cloud .

События безопасности

Следующие события указывают на попытку неавторизованного объекта использовать FAS.

Источником события является Citrix.Authentication.FederatedAuthenticationService .

Событие Текст события Пояснение
[S001] : В ДОСТУПЕ ОТКАЗАНО: пользователь [{0}] не является членом группы администраторов Предпринята попытка просмотреть или изменить конфигурацию FAS, но вызывающий абонент не является администратором FAS.
[S002] : В ДОСТУПЕ ОТКАЗАНО: пользователь [{0}] не является администратором роли [{1}] Предпринята попытка просмотреть или изменить конфигурацию правила FAS, но вызывающий абонент не является администратором FAS.
[S101] Сервер [{0}] не авторизован для утверждения удостоверений в роли [{1}] Предпринята попытка подтвердить идентификаторы пользователей, но вызывающему объекту не разрешено это делать. Только серверы StoreFront, которым разрешено в конфигурации правил FAS (и Workspace, если применимо), могут подтверждать удостоверения пользователей.
[С104] Серверу [{0}] не удалось утвердить UPN [{1}] (UPN не разрешен ролью [{2}]) Предпринята попытка подтвердить личность пользователя, но учетная запись пользователя не разрешена в соответствии с конфигурацией правила FAS.
[С205] Доступ проверяющей стороны запрещен — вызывающая учетная запись [{0}] не является разрешенной проверяющей стороной правила [{1}] VDA попытался выполнить единый вход с помощью FAS, но VDA не разрешен в соответствии с конфигурацией правила FAS.

Журналы событий ФАС

В следующих таблицах перечислены записи журнала событий, созданные FAS.

События администрирования [Federated Authentication Service]

[Источник события: Citrix.Authentication.FederatedAuthenticationService]

Эти события регистрируются в ответ на изменение конфигурации на сервере FAS.

Коды журналов
[S001] В ДОСТУПЕ ОТКАЗАНО: пользователь [{0}] не является членом группы администраторов
[S002] В ДОСТУПЕ ОТКАЗАНО: пользователь [{0}] не является администратором роли [{1}]
[S003] Администратор [{0}] устанавливает режим обслуживания на [{1}]
[S004] Администратор [{0}] запрашивает сертификат авторизации у ЦС [{1}] с использованием шаблонов [{2} и {3}]
[S005] Администратор [{0}] отменяет авторизацию ЦС [{1}]
[S006] Администратор [{0}] создание нового определения сертификата [{1}]
[S007] Администратор [{0}] обновление определения сертификата [{1}]
[S008] Администратор [{0}] удаление определения сертификата [{1}]
[S009] Администратор [{0}] создает новое правило [{1}]
[S010] Администратор [{0}] обновление правила [{1}]
[S011] Администратор [{0}] удаление правила [{1}]
[S012] Администратор [{0}] создает сертификат [upn: {1} sid: {2} правило: {3}][Определение сертификата: {4}][Контекст безопасности: {5}]
[S013] Администратор [{0}] удаление сертификатов [upn: {1} роль: {2} Определение сертификата: {3} Контекст безопасности: {4}]
[S015] Администратор [{0}] создание запроса на сертификат [TPM: {1}]
[S016] Администратор [{0}] импортирует сертификат авторизации [Ссылка: {1}]
[S022] Администратор [{0}] отключил режим обслуживания
[S023] Администратор [{0}] устанавливает режим обслуживания на Вкл.
[S024] Администратор [{0}] настройка монитора работоспособности системы
[S025] Администратор [{0}] настройка монитора работоспособности системы
[S026] Администратор [{0}] настройка монитора сертификатов RA
[S027] Администратор [{0}] сброс монитора сертификатов RA
[S050] Администратор [{0}] создает новую облачную конфигурацию: [{1}]
[S051] Администратор [{0}] обновляет конфигурацию облака: [{1}]
[S052] Администратор [{0}] удаление облачной конфигурации
. .
Коды журналов
[S401] Выполнение обновления конфигурации – [с версии {0}][до версии {1}]
[S402] ОШИБКА: служба Citrix Federated Authentication Service должна работать как сетевая служба [в настоящее время работает как: {0}]
[S404] Принудительное удаление базы данных Citrix Federated Authentication Service
[S405] Ошибка при переносе данных из реестра в базу данных: [{0}]
[S406] Перенос данных из реестра в базу данных завершен (примечание: пользовательские сертификаты не переносятся)
[S407] Данные из реестра не были перенесены в базу данных, поскольку база данных уже существовала
[S408] Невозможно понизить конфигурацию — [с версии {0}][до версии {1}]
[S409] Конфигурация ThreadPool выполнена успешно — MinThreads изменен с [workers: {0} завершение: {1}] на: [workers: {2} завершение: {3}]
[S410] Ошибка конфигурации ThreadPool — не удалось настроить MinThreads с [рабочих: {0} завершение: {1}] на: [рабочие: {2} завершение: {3}]; это может повлиять на масштабируемость сервера FAS
[S411] Ошибка запуска службы FAS: [{0}]
[S412] Обновление конфигурации завершено — [с версии {0}][до версии {1}]
[S413] Срок действия сертификата авторизации скоро истекает (осталось {0} дней).Сведения о сертификате: {1}
[S414] Срок действия сертификата авторизации истек. Детали сертификата: {0}
[S415] Проверка сертификата авторизации завершена. Зарегистрировано {0} проблем. Следующая проверка должна быть произведена через {1}

Создание утверждений идентификации [Федеративная служба аутентификации]

[Источник события: Citrix.Authentication.FederatedAuthenticationService]

Эти события регистрируются во время выполнения на сервере FAS, когда доверенный сервер подтверждает вход пользователя в систему.

Коды журналов
[S101] Сервер [{0}] не авторизован для утверждения удостоверений в роли [{1}]
[S102] Серверу [{0}] не удалось утвердить UPN [{1}] (Исключение: {2}{3})
[S103] Сервер [{0}] запросил UPN [{1}] SID {2}, но поиск возвратил SID {3}
[S104] Серверу [{0}] не удалось утвердить UPN [{1}] (UPN не разрешено ролью [{2}])
[S105] Сервер [{0}] выдал подтверждение личности [upn: {1}, роль {2}, контекст безопасности: [{3}]]
[S120] Выдача сертификата [upn: {0} роль: {1} Контекст безопасности: [{2}]]
[S121] Сертификат, выданный [upn: {0} role: {1}] [центром сертификации: {2}]
[S122] Предупреждение: сервер перегружен [upn: {0} роль: {1}][запросов в минуту {2}].
[S123] Не удалось выдать сертификат для [upn: {0} роль: {1}] [исключение: {2}]
[S124] Не удалось выдать сертификат для [upn: {0}, роль: {1}] в [центр сертификации: {2}] [исключение: {3}]

Выполнение функций проверяющей стороны [Федеральная служба аутентификации]

[Источник события: Citrix.Authentication.FederatedAuthenticationService]

Эти события регистрируются во время выполнения на сервере FAS, когда VDA входит в систему для пользователя.

Коды журналов
[S201] Проверяющая сторона [{0}] не имеет доступа к паролю.
[S202] Проверяющая сторона [{0}] не имеет доступа к сертификату.
[S203] Проверяющая сторона [{0}] не имеет доступа к CSP входа в систему
[S204] Проверяющая сторона [{0}] получает доступ к CSP входа для [upn: {1}] в роли: [{2}] [Операция: {3}], авторизованная [{4}]
[S205] Доступ проверяющей стороны запрещен — вызывающая учетная запись [{0}] не является разрешенной проверяющей стороной правила [{1}]
[S206] Вызывающий аккаунт [{0}] не является проверяющей стороной
[S208] Не удалось выполнить операцию с закрытым ключом [Операция: {0}][upn: {1} роль: {2} CertificateDefinition {3}][Ошибка {4} {5}].

Внутрисессионный сервер сертификатов [Federated Authentication Service]

[Источник события: Citrix.Authentication.FederatedAuthenticationService]

Эти события регистрируются на сервере FAS, когда пользователь использует внутрисеансовый сертификат.

Коды журналов
[S301] Доступ запрещен: пользователь [{0}] не имеет доступа к виртуальной смарт-карте
[S302] Пользователь [{0}] запросил неизвестную виртуальную смарт-карту [thumbprint: {1}]
[S303] Доступ запрещен: пользователь [{0}] не соответствует виртуальной смарт-карте [upn: {1}]
[S304] Пользователь [{0}] запускает программу [{1}] на компьютере [{2}] с использованием виртуальной смарт-карты [upn: {3} роль: {4} отпечаток: {5}] для закрытого ключа операция [{6}]
[S305] Не удалось выполнить операцию с закрытым ключом [Операция: {0}][upn: {1} роль: {2} containerName {3}][Ошибка {4} {5}].

Плагин утверждения FAS [Federated Authentication Service]

[Источник события: Citrix.Authentication.FederatedAuthenticationService]

Эти события регистрируются подключаемым модулем утверждений FAS.

Коды журналов
[S500] Плагин утверждения FAS не настроен
[S501] Не удалось загрузить настроенный подключаемый модуль утверждения FAS [исключение:{0}]
[S502] Плагин подтверждения FAS загружен [pluginId={0}] [assembly={1}] [location={2}]
[S503] Серверу [{0}] не удалось утвердить имя участника-пользователя [{1}] (было предоставлено свидетельство для входа, но подключаемый модуль [{2}] не поддерживает его)
[S504] Серверу [{0}] не удалось подтвердить имя участника-пользователя [{1}] (было предоставлено свидетельство входа в систему, но не настроен подключаемый модуль FAS)
[S505] Серверу [{0}] не удалось подтвердить UPN [{1}] (подключаемый модуль [{2}] отклонил свидетельство входа в систему со статусом [{3}] и сообщением [{4}])
[S506] Подключаемый модуль [{0}] принял свидетельство входа в систему с сервера [{1}] для имени участника-пользователя [{2}] с сообщением [{3}]
[S507] Серверу [{0}] не удалось утвердить UPN [{1}] (подключаемый модуль [{2}] выдал исключение [{3}] во время метода [{4}])
[S507] Серверу [{0}] не удалось подтвердить UPN [{1}] (подключаемый модуль [{2}] выдал исключение [{3}])
[S508] Серверу [{0}] не удалось утвердить UPN [{1}] (расположение доступа было предоставлено, но подключаемый модуль [{2}] не поддерживает его)
[S509] Серверу [{0}] не удалось утвердить имя участника-пользователя [{1}] (было указано расположение доступа, но не настроен подключаемый модуль FAS)
[S510] Серверу [{0}] не удалось утвердить UPN [{1}] (разрешение доступа было сочтено недействительным подключаемым модулем [{2}]

FAS с поддержкой рабочей области [Федеральная служба аутентификации]

[Источник события: Citrix.Фас.Облако]

Эти события регистрируются при использовании FAS в сочетании с Workspace.

.
Коды журналов
[S001] Смененный ключ авторизации Citrix Cloud [идентификатор Fas: {0}] [старый идентификатор ключа:{1}] [новый идентификатор ключа:{2}]
[S002] Модуль облачной поддержки запускается. URL-адрес облачной службы FasHub: {0}
[S003] FAS зарегистрирована в облаке [идентификатор факса: {0}] [идентификатор транзакции: {1}]
[S004] FAS не удалось зарегистрироваться в облаке [идентификатор факса: {0}] [идентификатор транзакции: {1}] [исключение: {2}]
[S005] FAS отправил текущую конфигурацию в облако [идентификатор fas: {0}] [идентификатор транзакции: {1}]
[S006] FAS не удалось отправить текущую конфигурацию в облако [идентификатор факса: {0}] [идентификатор транзакции: {1}] [исключение: {2}]
[S007] FAS не зарегистрирован в облаке [идентификатор факса: {0}] [идентификатор транзакции: {1}]
[S009] FAS не удалось отменить регистрацию в облаке [идентификатор факса: {0}] [идентификатор транзакции: {1}] [исключение: {2}]
[S010] Служба FAS подключена к URL-адресу облачного обмена сообщениями: {0}
[S011] Служба FAS не подключена к облаку
[S012] Служба FAS доступна для единого входа из Citrix Cloud
[S013] Служба FAS недоступна для единого входа из Citrix Cloud.[{0}] Дополнительную информацию можно найти в консоли администратора
[S014] Вызов облачной службы <имя службы> не удался [идентификатор факса: {0}] [идентификатор транзакции: {1}] [исключение: {2}]
[S015] Сообщение от Citrix Cloud было заблокировано, поскольку вызывающий абонент не разрешен [идентификатор сообщения {0}] [идентификатор транзакции {1}] [вызывающий абонент {2}]
[S016] Вызов облачной службы <имя службы> выполнен успешно [идентификатор факса: {0}] [идентификатор транзакции: {1}]
[S019] FAS загрузил свою конфигурацию из облака [идентификатор факса: {0}] [идентификатор транзакции: {1}]
[S020] FAS не удалось загрузить свою конфигурацию из облака [идентификатор факса: {0}] [идентификатор транзакции: {1}] [исключение: {2}]
[S021] Не удалось запустить модуль облачной поддержки.Исключение: {0}
[S022] Модуль облачной поддержки останавливается
[S023] Не удалось сменить ключ авторизации Citrix Cloud [идентификатор Fas: {0}] [идентификатор текущего ключа:{1}] [идентификатор нового ключа:{2}] [ключи в облаке:{3}]
[S024] Инициирование смены ключа авторизации Citrix Cloud [идентификатор fas: {0}] [идентификатор текущего ключа:{1}] [идентификатор нового ключа:{2}]
[S025] Ключ авторизации этой службы присутствует в Citrix Cloud [текущий ключ: {0}] [ключи в облаке: {1}]
[S026] Ключ авторизации этой службы отсутствует в Citrix Cloud [текущий ключ: {0}] [ключи в облаке: {1}]
[S027] Обновлен формат хранилища ключей авторизации Citrix Cloud [идентификатор fas: {0}]

Войти в систему [VDA]

[Источник события: Citrix.Аутентификация.Идентитиассертион]

Эти события регистрируются в VDA на этапе входа в систему.

Коды журналов
[S101] Ошибка входа в систему с подтверждением личности. Неизвестная служба федеративной аутентификации [id: {0}]
[S102] Ошибка входа в систему с подтверждением личности. Не удалось найти SID для {0} [Исключение: {1}{2}]
[S103] Ошибка входа в систему с подтверждением личности. Пользователь {0} имеет SID {1}, ожидаемый SID {2}
[S104] Ошибка входа в систему с подтверждением личности.Не удалось подключиться к службе федеративной аутентификации: {0} [Ошибка: {1} {2}]
[S105] Вход в систему с подтверждением личности. Вход в [Имя пользователя: {0}][Домен: {1}]
[S106] Вход с подтверждением личности.\n\nФедеративная служба аутентификации: {0}\n\nВход в систему [Сертификат: {1}]
[S107] Ошибка входа в систему с подтверждением личности. [Исключение: {0}{1}]
[S108] Подсистема подтверждения личности. ACCESS_DENIED [Абонент: {0}]

Сессионные сертификаты [VDA]

[Источник события: Citrix.Аутентификация.Идентитиассертион]

Эти события регистрируются в VDA, когда пользователь пытается использовать внутрисеансовый сертификат.

Коды журналов
[S201] Доступ к виртуальной смарт-карте, авторизованный [{0}] для [PID: {1} Имя программы: {2}][Отпечаток сертификата: {3}]
[S203] Подсистема виртуальных смарт-карт. Доступ запрещен [вызывающий: {0}, сеанс {1}]
[S204] Подсистема виртуальных смарт-карт.Поддержка смарт-карт отключена

Запрос сертификата и создание пары ключей [Federated Authentication Service]

[Источник события: Citrix.Fas.PkiCore]

Эти события регистрируются, когда сервер FAS выполняет низкоуровневые криптографические операции.

Коды журналов
[S001] TrustArea::TrustArea: установленный сертификат [TrustArea: {0}] [Certificate {1}][TrustAreaJoinParameters{2}
[S014] Pkcs10Request:: Create: Создан запрос PKCS10 [Distinguished Name {0}]
[S016] PrivateKey::Create [Идентификатор {0}][MachineWide: {1}][Provider: {2}][ProviderType: {3}][EllipticCurve: {4}][KeyLength: {5} ][isExportable: {6}]
[S017] PrivateKey::Delete [CspName: {0}, идентификатор {1}]
Коды журналов
[S104] MicrosoftCertificateAuthority::GetCredentials: разрешено использовать {0}
[S105] MicrosoftCertificateAuthority::SubmitCertificateRequest Ошибка отправки ответа [{0}]
[S106] MicrosoftCertificateAuthority::SubmitCertificateRequest Сертификат выдан [{0}]
[S112] MicrosoftCertificateAuthority::SubmitCertificateRequest — Ожидание утверждения [CR_DISP_UNDER_SUBMISSION] [Ссылка: {0}]

Сообщения об ошибках конечного пользователя

В этом разделе перечислены распространенные сообщения об ошибках, отображаемые пользователю на странице входа в систему Windows.

Отображается сообщение об ошибке Описание и номер по каталогу
Неверное имя пользователя или пароль Компьютер считает, что у вас есть действительный сертификат и закрытый ключ, но контроллер домена Kerberos отклонил подключение. См. раздел Журналы Kerberos этой статьи.
Системе не удалось войти в систему. Не удалось проверить ваши учетные данные./ Запрос не поддерживается Не удается связаться с контроллером домена, или контроллер домена не настроен с использованием сертификата для поддержки проверки подлинности с помощью смарт-карты. Зарегистрируйте контроллер домена для сертификата «Аутентификация Kerberos», «Аутентификация контроллера домена» или «Контроллер домена». Обычно это стоит попробовать, даже если существующий сертификат кажется действительным.
Системе не удалось войти в систему. Сертификат смарт-карты, использованный для проверки подлинности, не был доверенным. Промежуточный и корневой сертификаты не установлены на локальном компьютере. См. Сертификаты и инфраструктура открытых ключей.
Неверный запрос Обычно это указывает на то, что расширения сертификата установлены неправильно или ключ RSA слишком короткий (<2048 бит).

Использование Windows Active Directory и PKI для защиты доступа — Portal for ArcGIS

При использовании Windows Active Directory для аутентификации пользователей вы можете использовать инфраструктуру открытых ключей (PKI) для защиты доступа к вашей организации.

Чтобы использовать встроенную аутентификацию Windows и PKI, вы должны использовать ArcGIS Web Adaptor (IIS), развернутый на веб-сервере Microsoft IIS. Вы не можете использовать ArcGIS Web Adaptor (платформа Java) для выполнения интегрированных Аутентификация Windows. Если вы еще этого не сделали, установите и настройте ArcGIS Web Adaptor (IIS) на своем портале.

Настройка ваш портал с Windows Active Directory

Сначала настройте портал на использование SSL для всех коммуникаций. Затем обновите хранилище удостоверений вашего портала, чтобы использовать пользователей и группы Windows Active Directory.

Настройте организацию на использование HTTPS для всех коммуникаций

Выполните следующие шаги, чтобы настроить организацию на использование HTTPS:

  1. Войдите на веб-сайт организации в качестве администратора.

    URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/home.

  2. Щелкните Организация, перейдите на вкладку Параметры и щелкните Безопасность в левой части страницы.
  3. Включить Разрешить доступ к порталу только через HTTPS.

Обновите хранилище идентификаторов вашего портала

Затем обновите хранилище идентификаторов вашего портала, чтобы использовать пользователей и группы Active Directory.

  1. Войдите в ArcGIS Portal Directory как администратор вашей организации.

    URL-адрес имеет формат https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Щелкните Безопасность > Конфигурация > Обновить хранилище удостоверений.
  3. В текстовом поле Конфигурация хранилища пользователей (в формате JSON) вставьте информацию о конфигурации пользователя Windows Active Directory вашей организации (в формате JSON).

    В качестве альтернативы вы можете обновить следующий пример, указав информацию о пользователе, относящуюся к вашей организации:

     {
      "тип": "ОКНА",
      "характеристики": {
        "userPassword": "секрет",
        "isPasswordEncrypted": "ложь",
        "пользователь": "мойдомен\\winaccount",
        "userFullnameAttribute": "сп",
        "userEmailAttribute": "почта",
        "userGivenNameAttribute": "данноеИмя",
        "userSurnameAttribute": "SN",
        "caseSensitive": "ложь"
      }
    } 

    В большинстве случаев вам потребуется изменить только значения параметров userPassword и пользователя.Хотя вы вводите пароль открытым текстом, он будет зашифрован, когда вы нажмете «Обновить конфигурацию» (ниже). Учетной записи, которую вы указываете для параметра пользователя, нужны разрешения только для поиска адреса электронной почты и полного имени учетных записей Windows в сети. Если возможно, укажите учетную запись, срок действия пароля которой не ограничен.

    В редких случаях, когда ваш Windows Active Directory настроен на учет регистра, установите для параметра caseSensitive значение true.

  4. Если вы хотите создать группы на портале, которые используют существующие группы Active Directory в вашем хранилище удостоверений, вставьте информацию о конфигурации группы Windows Active Directory вашей организации (в формате JSON) в текстовое поле Конфигурация хранилища групп (в формате JSON). как показано ниже.Если вы хотите использовать только встроенные группы портала, удалите всю информацию в текстовом поле и пропустите этот шаг.

    Кроме того, вы можете обновить следующий пример, добавив информацию о группе, характерную для вашей организации.

     {
      "тип": "ОКНА",
      "характеристики": {
        "isPasswordEncrypted": "ложь",
        "userPassword": "секрет",
        "пользователь": "мойдомен\\winaccount"
      }
    } 

    В большинстве случаев вам потребуется изменить только значения параметров userPassword и пользователя.Хотя вы вводите пароль открытым текстом, он будет зашифрован, когда вы нажмете «Обновить конфигурацию» (ниже). Учетной записи, которую вы указываете для пользовательского параметра, нужны разрешения только для поиска имен групп Windows в сети. Если возможно, укажите учетную запись, срок действия пароля которой не ограничен.

  5. Щелкните Обновить конфигурацию, чтобы сохранить изменения.
  6. Если вы настроили высокодоступный портал, перезапустите каждый компьютер портала. Полные инструкции см. в разделе Остановка и запуск портала.

Добавить учетные записи для конкретной организации

По умолчанию пользователи конкретной организации могут получить доступ к организации ArcGIS Enterprise. Однако они могут просматривать только те элементы, к которым предоставлен доступ всем в организации. Это связано с тем, что учетные записи для конкретной организации не были добавлены и им не предоставлены права доступа.

Добавьте учетные записи в свою организацию одним из следующих способов:

Рекомендуется назначить по крайней мере одну учетную запись для конкретной организации в качестве администратора вашего портала.Вы можете сделать это, выбрав роль администратора при добавлении учетной записи. Если у вас есть альтернативная учетная запись администратора портала, вы можете назначить исходной учетной записи администратора роль пользователя или удалить учетную запись. Дополнительную информацию см. в разделе Об учетной записи первоначального администратора.

После добавления учетных записей и выполнения описанных ниже действий пользователи смогут входить в организацию и получать доступ к содержимому.

Установите и включите проверку подлинности сопоставления сертификатов клиентов Active Directory

Сопоставление сертификатов клиентов Active Directory недоступно при установке IIS по умолчанию.Вы должны установить и включить эту функцию.

Установка проверки подлинности сопоставления сертификатов клиента

Инструкции по установке функции различаются в зависимости от вашей операционной системы.

Установить с Windows Server 2016

Выполните следующие шаги, чтобы установить проверку подлинности с сопоставлением сертификатов клиента с Windows Server 2016:

  1. Откройте «Инструменты администрирования» и нажмите «Диспетчер серверов».
  2. В панели иерархии диспетчера серверов разверните Роли и щелкните Веб-сервер (IIS).
  3. Разверните роли веб-сервера и безопасности.
  4. В разделе «Роль безопасности» выберите «Аутентификация сопоставления сертификатов клиента» и нажмите «Далее».
  5. Нажмите «Далее» на вкладке «Выбрать компоненты» и нажмите «Установить».
Установка с Windows Server 2008/R2 и 2012/R2

Выполните следующие шаги, чтобы установить проверку подлинности с сопоставлением сертификатов клиента с Windows Server 2008/R2 и 2012/R2:

  1. Откройте «Инструменты администрирования» и нажмите «Диспетчер серверов».
  2. В панели иерархии диспетчера серверов разверните Роли и щелкните Веб-сервер (IIS).
  3. Перейдите к разделу Службы ролей и щелкните Добавить службы ролей.
  4. На странице «Выбор служб ролей» мастера добавления служб ролей выберите «Аутентификация с сопоставлением сертификатов клиента» и нажмите «Далее».
  5. Щелкните Установить.
Установка в Windows 7, 8 и 8.1

Выполните следующие шаги, чтобы установить проверку подлинности с сопоставлением сертификатов клиента в Windows 7, 8 и 8.1:

  1. Откройте панель управления и нажмите «Программы и компоненты» > «Включение или отключение компонентов Windows».
  2. Разверните Информационные службы Интернета > Службы всемирной паутины > Безопасность и выберите Аутентификация с сопоставлением сертификатов клиента.
  3. Нажмите OK.

Включить аутентификацию сопоставления сертификатов клиентов Active Directory

После установки сопоставления сертификатов клиентов Active Directory включите эту функцию, выполнив следующие действия.

  1. Запустите диспетчер Internet Information Server (IIS).
  2. В узле Connections щелкните имя своего веб-сервера.
  3. Дважды щелкните «Аутентификация» в окне «Просмотр функций».
  4. Убедитесь, что отображается Аутентификация сертификата клиента Active Directory. Если функция не отображается или недоступна, вам может потребоваться перезапустить веб-сервер, чтобы завершить установку функции проверки подлинности сертификата клиента Active Directory.
  5. Дважды щелкните Проверка подлинности сертификата клиента Active Directory и выберите Включить в окне Действия.

Отображается сообщение о том, что для использования проверки подлинности сертификата клиента Active Directory необходимо включить SSL. Вы расскажете об этом в следующем разделе.

Настройте ArcGIS Web Adaptor для требования SSL и клиентских сертификатов

Выполните следующие шаги, чтобы настроить ArcGIS Web Adaptor для требования SSL и клиентских сертификатов:

  1. Запустите Internet Information Services (IIS) Manager.
  2. Разверните узел Connections и выберите свой сайт ArcGIS Web Adaptor.
  3. Дважды щелкните «Аутентификация» в окне «Просмотр функций».
  4. Отключить все формы аутентификации.
  5. Еще раз выберите ArcGIS Web Adaptor из списка Подключения.
  6. Дважды щелкните Параметры SSL.
  7. Включите параметр «Требовать SSL» и выберите параметр «Требовать» в разделе «Клиентские сертификаты».
  8. Нажмите «Применить», чтобы сохранить изменения.

Убедитесь, что вы можете получить доступ к порталу с помощью Windows Active Directory и PKI

Выполните следующие шаги, чтобы убедиться, что вы можете получить доступ к порталу с помощью Windows Active Directory и PKI:

  1. Откройте портал ArcGIS Enterprise.

    URL-адрес имеет формат: https://organization.example.com//home.

  2. Убедитесь, что вас просят ввести учетные данные безопасности и вы можете получить доступ к веб-сайту.

Добавить комментарий

Ваш адрес email не будет опубликован.