certutil -TCAInfo сообщение об ошибке RegConnectRegistry/RegOpenKeyEx: сетевой путь не найден. 0x80070035 (WIN32: 53 ERROR_BAD_NETPATH)

Question

certutil -TCAInfo сообщение об ошибке RegConnectRegistry/RegOpenKeyEx: сетевой путь не найден. 0x80070035 (WIN32: 53 ERROR_BAD_NETPATH)

Недавно мы заметили следующие ошибки в наших журналах событий ежедневно для серверов в нашей DMZ:

CertificateServicesClient-CertEnroll EventID 82
Certificate enrollment for Local system failed in authentication to all urls for enrollment
server associated with policy id: {00B9F3A7-...-50628BC5AE7E} (The RPC server is
unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)). Failed to enroll for
template: Machine

CertificateServicesClient-CertEnroll EventID 13
Certificate enrollment for Local system failed to enroll for a Machine certificate with 
request ID N/A from NY-CA01.company.com\Company Internal Root CA (d0 7a ... f3 e4 70).

CertificateServicesClient-AutoEnrollment EventID 6
Automatic certificate enrollment for local system failed (0x800706ba) The RPC server is
unavailable.

Я подозреваю, что это проблема брандмауэра, и пытался использовать средство certutil.exe для проверки подключения к центрам сертификации, но при выполнении команды -TCAInfo я получил следующее сообщение об ошибке:

PS C:\windows\system32> certutil -tcainfo
================================================================
CA Name: Company Internal Root CA

Machine Name: NY-CA01.Company.com

DS Location: CN=Company Internal Root CA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=Company,DC=com

Cert DN: CN=CompanyInternal Root CA, DC=Company, DC=com
RegConnectRegistry/RegOpenKeyEx: The network path was not found. 0x80070035 (WIN32: 53 ERROR_BAD_NETPATH)

CA Registry Validity Period: ? ???
 NotAfter: 10/11/2031 7:05 PM

Connecting to NY-CA01.Company.com\Company Internal Root CA ...
Server "Company Internal Root CA" ICertRequest2 interface is alive (47ms)
...
================================================================
NY-CA01.Company.com\Company Internal Root CA:
  Enterprise Root CA
  A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800
b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
  Online

Кажется, он считает, что ЦС находится в сети и работает, но существует сетевой путь не найден. ошибка и срок действия реестра CA: ??? неизвестно

Я подтвердил, что https://ny-ca01.company.com/certsrv/ доступен с серверов DMZ, так какие еще порты нужны для обновления сертификатов?

0

windows certificate-authority certutil

Источник

Greg Bray 21 дек '15 в 20:46

1 ответ

Другие вопросы по тегам windows certificate-authority certutil

Greg Bray 21 дек '15 в 20:46 2015-12-21 20:46 · Answer 1 · 2015-12-21 20:46

Я нашел эту статью, в которой говорится, что сообщение об ошибке 53 ERROR_BAD_NETPATH может быть связано со службой удаленного реестра. Я проверил, что служба работает (без ошибок от не DMZ серверов), но внутри DMZ обращается к Net Use \\RemoteMachine\Admin$ были с той же ошибкой "Сетевой путь не найден".

Проверяя наши правила брандмауэра Fortinet, мы уже разрешили HTTPS на порту 443 и DCE-RPC на портах 135, но мы не разрешили SMB для доступа CIFS/SAMBA на порту 445.

После добавления правила доступа SMB из DMZ к нашим серверам CA вышеописанные ошибки больше не возникают при запуске certutil -TCAInfo