Ошибка 0x80094011: клиент Windows XP не может получить сертификат из ADCS
Если у вас в сети все еще есть старые клиентские ПК под управлением Windows XP, вы можете столкнуться со следующей ошибкой при попытке запроса сертификата из центра сертификации Microsoft - Active Directory Certification Services (ADCS), работающем на Windows Server 2012 R2:
EventID 13
Источник AutoEnrollment
0x80094011
The permissions on this certification authority do not allow the current user to enroll for certificates (эту ошибку можно найти в Application Event Log на клиентском компьютере).
Причины ошибки 0x80094011
Это связано с новыми настройками безопасности, действующими для Windows Server 2012 R2. Когда центр сертификации (ЦС) получает запрос на сертификат, то шифрование запроса может применяться ЦС посредством RPC_C_AUTHN_LEVEL_PKT. В Windows Server 2008 R2 и более ранних версиях этот параметр по умолчанию не включен в ЦС. В ЦС версии Windows Server 2012 или Windows Server 2012 R2 этот параметр усиленной безопасности включен по умолчанию.
Повышенный уровень безопасности RPC_C_AUTHN_LEVEL_PKT включается в центрах сертификации Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2 следующей командой (и перезагрузить сервис потом):
certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST
Как отключить RPC_C_AUTHN_LEVEL_PKT
Понижение уровня безопасности ЦС для обеспечения совместимости с клиентами Windows XP.
certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST net stop certsvc net start certsvc
Более подробно про новый механизм безопасности ADCS на Windows Server 2012 R2 (и другие новые возможности) можно прочитать в статье Новые возможности служб сертификатов в Windows Server.
- Просмотров: 2534