certutil -ping gagal dengan batas waktu 30 detik - apa yang harus dilakukan?

10

Toko sertifikat di kotak Win7 saya terus tergantung. Mengamati:


C: \> 1.cmd

C: \> certutil -? | findstr / i ping
  -ping - Antarmuka Permintaan Layanan Sertifikat Ping Direktori Aktif
  -pingadmin - Antarmuka Admin Layanan Direktori Direktori Aktif

C: \> atur PROMPT = $ P ($ t) $ G

C: \ (13: 04: 28.57)> certutil -ping
CertUtil: -ping perintah GAGAL: 0x80070002 (WIN32: 2)
CertUtil: Sistem tidak dapat menemukan file yang ditentukan.

C: \ (13: 04: 58.68)> certutil -pingadmin

CertUtil: -pingadmin command FAILED: 0x80070002 (WIN32: 2)
CertUtil: Sistem tidak dapat menemukan file yang ditentukan.

C: \ (13: 05: 28.79)> atur PROMPT = $ P $ G

C: \>

Penjelasan:

  • Perintah pertama menunjukkan kepada Anda bahwa ada –pingdan –pingadminparameter untuk certutil
  • Mencoba parameter ping gagal dengan batas waktu 30 detik (waktu saat ini terlihat pada prompt)

Ini masalah serius. Sekrup semua komunikasi aman di aplikasi saya. Jika ada yang tahu bagaimana hal ini bisa diperbaiki - silakan bagikan.

Terima kasih.

PS

1.cmd hanyalah kumpulan dari perintah-perintah ini:

certutil -? | findstr /i ping
set PROMPT=$P($t)$G
certutil -ping
certutil -pingadmin
set PROMPT=$P$G

EDIT1

Saya telah berhasil menjabarkan API windows tunggal yang menyebabkan masalah - DsGetDcName

Menurut windbg, sertifikat itu memanggilnya seperti ini:

PDOMAIN_CONTROLLER_INFO pdci;
DWORD ret = ::DsGetDcName(NULL, NULL, NULL, NULL, DS_DIRECTORY_SERVICE_PREFERRED, &pdci);

Di workstation saya waktu keluar selama 30 detik dan kemudian mengembalikan kode kesalahan 1355, yang ERROR_NO_SUCH_DOMAIN Tidak ada pengontrol domain tersedia untuk domain yang ditentukan atau domain tidak ada.

Di komputer lain, yang secara tidak sengaja merupakan windows server 2003, ia segera kembali dengan nama pengontrol domain yang benar di dalam DOMAIN_CONTROLLER_INFOstruktur yang dikembalikan .

Sekarang pertanyaannya adalah apa yang tidak ada pada workstation saya untuk API itu menemukan pengontrol domain yang benar?

menandai
sumber

Jawaban:

0

Silakan periksa yang berikut ini

  1. Bisakah Anda lari certutil -ping -config "cadnsname\CA logical name"dari host yang terpengaruh.
  2. Siapa yang memiliki izin untuk Meminta sertifikat di CA (apakah seseorang mengubah Pengguna yang Diotentikasi menjadi Pengguna Domain)?
  3. Lihatlah Izin DCOM untuk memastikan bahwa Pengguna yang Diotentikasi memiliki izin yang benar di CA. Izin DCOM di CA untuk grup Layanan Akses DCOM Sertifikat:

    Tingkat akses Izin -> Akses Lokal - Izinkan, Akses Jarak Jauh - Izinkan tingkat Izin Peluncuran dan Aktivasi -> Peluncuran Jarak Jauh - Izinkan, Aktivasi Jarak Jauh - Izinkan

Untuk detail lebih lanjut Anda bisa merujuk ke URL di bawah ini untuk pemecahan masalah.

http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

Mit Naik
sumber
Saya minta maaf untuk mengungkapkan ketidaktahuan saya, tetapi bagaimana saya bisa tahu CADNSName? Akan sangat membantu jika Anda menunjukkan bagaimana cara menemukan "cadnsname \ CA logical name" yang relevan. Bisakah Anda menjelaskan lebih banyak tentang langkah-langkah yang Anda sarankan? Terima kasih.
tandai
Sayangnya, saya gagal mengikuti langkah-langkah yang dijelaskan dalam artikel yang telah Anda lampirkan, karena mungkin ditujukan untuk mesin Windows Server dengan akses ke Active Directory. Milik saya adalah workstation Windows 7 tanpa akses tersebut.
tandai
Saya telah mengedit pertanyaan lebih lanjut.
tandai
certutil -adca
bernama