certutil -ping falla con un tiempo de espera de 30 segundos: ¿qué hacer?

10

La tienda de certificados en mi caja Win7 está constantemente colgando. Observar:


C: \> 1.cmd

C: \> certutil -? El | encuentra / ping
  -ping - Interfaz de solicitud de servicios de certificados de Active Directory Ping
  -pingadmin: interfaz de administrador de Ping Active Directory Certificate Services

C: \> set PROMPT = $ P ($ t) $ G

C: \ (13: 04: 28.57)> certutil -ping
CertUtil: -ping command FAILED: 0x80070002 (WIN32: 2)
CertUtil: el sistema no puede encontrar el archivo especificado.

C: \ (13: 04: 58.68)> certutil -pingadmin

CertUtil: -pingadmin command FAILED: 0x80070002 (WIN32: 2)
CertUtil: el sistema no puede encontrar el archivo especificado.

C: \ (13: 05: 28.79)> establecer PROMPT = $ P $ G

C: \>

Explicaciones:

  • El primer comando le muestra que hay –pingy –pingadminparámetros para certutilizar
  • Probar cualquier parámetro de ping falla con un tiempo de espera de 30 segundos (la hora actual se ve en el indicador)

Este es un problema serio. Atornilla toda la comunicación segura en mi aplicación. Si alguien sabe cómo se puede solucionar esto, por favor comparta.

Gracias.

PD

1.cmd es simplemente un lote de estos comandos:

certutil -? | findstr /i ping
set PROMPT=$P($t)$G
certutil -ping
certutil -pingadmin
set PROMPT=$P$G

EDITAR1

He logrado precisar la única API de Windows que causa el problema - DsGetDcName

De acuerdo con windbg, certutil -ping lo invoca así:

PDOMAIN_CONTROLLER_INFO pdci;
DWORD ret = ::DsGetDcName(NULL, NULL, NULL, NULL, DS_DIRECTORY_SERVICE_PREFERRED, &pdci);

En mi estación de trabajo, se agota el tiempo de espera durante 30 segundos y luego devuelve el código de error 1355, que es ERROR_NO_SUCH_DOMAIN No hay controlador de dominio disponible para el dominio especificado o el dominio no existe.

En otra máquina, que accidentalmente es un servidor Windows 2003, regresa casi de inmediato con el nombre correcto del controlador de dominio dentro de la DOMAIN_CONTROLLER_INFOestructura devuelta .

Ahora la pregunta es ¿qué falta en mi estación de trabajo para que esa API encuentre el controlador de dominio correcto?

marca
fuente

Respuestas:

0

Por favor verifique lo siguiente

  1. ¿Se puede ejecutar certutil -ping -config "cadnsname\CA logical name"desde los hosts afectados?
  2. ¿Quién tiene los permisos para solicitar certificados en la CA (alguien cambió los usuarios autenticados a usuarios de dominio)?
  3. Mire los permisos DCOM para asegurarse de que los usuarios autenticados tengan los permisos correctos en la CA. Permisos de DCOM en la CA para el grupo de acceso de DCOM del Servicio de certificados:

    Nivel de permisos de acceso -> Acceso local - Permitir, Acceso remoto - Permitir inicio y activación Nivel de permisos -> Inicio remoto - Permitir, Activación remota - Permitir

Para obtener más detalles, puede consultar la siguiente URL para la resolución de problemas.

http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

Mit Naik
fuente
Lamento exponer mi ignorancia, pero ¿cómo puedo saber el nombre CADNS? Sería útil si indicaras cómo descubro el "nombre lógico de cadns \ CA lógico" relevante. ¿Puedes explicar un poco más sobre los pasos que sugieres? Gracias.
marca el
Desafortunadamente, no pude seguir los pasos descritos en el artículo que ha adjuntado, porque probablemente esté destinado a máquinas con Windows Server con acceso a Active Directory. La mía es una estación de trabajo con Windows 7 sin dicho acceso.
marca el
He editado más la pregunta.
marca el
certutil -adca
Sin nombre