Adott egy subordinate CA, melynek lejár a tanúsítványa, így megújításra szorul.

Az eljárás egyszerű:

certutil -RenewCert ReuseKeys

Viszont előfordulhat hogy hibaüzenetet kapunk:

CertUtil: -renewCert command FAILED: 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)
CertUtil: The system cannot find the path specified.

Jó tudni, hogy az elérési útnak léteznie kell, ahova a req file kerülne, különben a fenti hibaüzenetet kapjuk.

Az elérési utat a registryben találjuk:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA neve. A példában ez a c:\certreq folder

Létrehozva a c:\certreq folder, a certutil parancs lefut.

Egy kis onprem SCCM szívás megoldása, röviden.

SCCM kliensgépen a a CcmMessaging.log-ban az alábbi hibák:

“Client doesn’t have PKI issued cert and cannot get CCM access token. Error 0x8000ffff”

(A PKI oldal egyébként rendben van az SCCM infrában)

Az SCCM szerver oldalán ez látszik az mpcontrol.log-ban

“Call to HttpSendRequestSync failed for port 443 with status code 403, text: Forbidden”

Nézzünk bele az IIS logokba, hogy mi generál 403-as errort:

“CCM_POST /ccm_system_tokenauth/request – 443 – 192.168.24.16 ccmhttp – 403 16 0 1441 8”

Ami ebből érdekes, az a 403 16. Ennek jelentése: “A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.”

Továbbkeresgélve, ez egy certificate store validation hiba, amikor is a gépen a Trusted Root Certification Authorities tárolóban nem csak önaláírt (self-signed) tanúsítványok vannak. Márpedig oda csak olyannak illik kerülnie, aminél az Issuer és Subject Name megegyezik.

Powershellből le tudjuk kérni a nem oldavaló tanúsítványokat:

“Get-Childitem cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}”

Látszik is szépen a probléma (jó esetben a parancsnak semmit nem kéne visszaadnia)

Ezeket a tanúsítványokat törölni kell és a probléma megszűnik.

Gyakorta hangzik el a kérdés, hogyan tudnánk a leghatékonyabban összekötni és szinkronizálni a földi és felhős AD-t.

Jelenleg két eszköz áll rendelkezésünkre: Azure AD Connect és Azure AD Connect Cloud Sync. Szép hasonló nevek… 🙂

A funkcionális összehasonlítást az alábbi táblázat mutatja:

Amit kiemelnék: a Cloud Sync nem támogatja a PTA-hitelesítést (ez sok szervezetnél előírás, hogy az M365 felé hitelesítést a földi domain controllerek intézzék), és ami még fájóbb, az Exchange Hybrid-et sem (egyelőre public preview: https://learn.microsoft.com/en-us/azure/active-directory/hybrid/cloud-sync/exchange-hybrid)

Abban az esetben viszont, ha ezek a függőségek nem kötik meg a kezet, érdemes a Cloud Syncet választani. Ilyenkor lehetőség van több aktiv agentet telepíteni, ami rugalmasabb az AD Connect active/staging modelljénél.

A legtöbb funkcionalitást az AD Connect adja, az egyszerűbb üzemeltetést pedig a Cloud Sync. A szervezet igényeinek alapos felmérése után érdemes a kettő közül választani.

Egy kis on-premise topic.

A Microsoft Network Policy Server elég jól logol alapesetben az Event Viewerben:

Előfordult azonban, hogy bár a kliensek használták az NPS-t, logok nem kerültek be az eventviewerben. Első körben ellenőriztem az NPS propertiesben, hogy be van-e kapcsolva a logolás:

Végül admin paranccsorból kierőltetve, megjelentek a logok:

auditpol /set /subcategory:”Network Policy Server” /success:enable /failure:enable

A logolás állapotát le tudjuk kérdezni:

auditpol /get /subcategory:”Network Policy Server”

14 évnyi vizsgázás után megszereztem a negyvenegyik MCP-vizsgát.

2006-ban Windows XP, 2020-ban Teams exam.

https://www.youracclaim.com/badges/9e210beb-7af3-4787-8021-9835ad2090f7/public_url

Holnap SCCM 2007 vizsga.

Jó ég, ezt már 3 éve kinéztem magamnak, de csak most jutok el hozzá. Sebaj, inkább most, mint sosem 🙂

A fenti vizsgáról nem találni semmilyen infót…nagyon titokzatos.

Jó lenne még egy MCITP cím idénre 🙂

Nekifutok…a Configuring vizsga június végén lesz.

Persze itt is sok-sok powershell, ez a végleges MS-módi :S

Addig is vadul kattingatás a tesztkörnyezetben.

UPDATE: sikerült a vizsga, szép 88%-os eredménnyel 🙂