Предварительная настройка перед установкой Certification Authority

Эта статья является частью серии статей про упрощенную установку Certification Authority (CA) в тестовом окружении.

Перед развертыванием Certification Authority имеет смысл внести несколько изменений в групповую политику домена. Это всё равно потребуется позже, и нет никаких причин сделать это предварительно.

Domain Computer Auto Enrollment Policy

Согласно пункту рекомендаций Best Practice Analyzer включите Domain Computer Auto Enrollment.

Domain User Auto Enrollment Policy

Согласно пункту рекомендаций Best Practice Analyzer включите Domain User Auto Enrollment.

Здесь не стоит ставить Expiration notification. Во первых, проверка в Best Practice Analyzer не пройдет, а во вторых, нет никакого смысла уведомлять пользователя, его сертификат будет автоматически перевыпущен. Что обидно, в инструкции по исправлению написано, что пункт Expiration notification можно включить. Тем не менее проверка не будет успешной если Expiration notification включено.

Firewall

Отключаем firewall на обеих машинах. Его можно настроить и потом, а сейчас его задача не мешаться. Поскольку в случае проблем, придется проверять, не firewall ли был причиной. И первый же повод проверять это, случится почти сразу после установки роли AD CS, в связи с появлением непонятного warning в event log’е, с пояснительной ссылкой на страницу в technet, инструкцию из которой просто невозможно выполнить:

To confirm that the CA has necessary permissions on the Domain Computers and Domain Users containers:

1. Click Start, point to Administrative Tools, and click Active Directory Sites and Services.
2. On the View menu, click Show Services Node.
3. Double-click Services, double-click Public Key Services, right-click Domain Computers, and click Properties.
4. ….

Но в Windows Server 2008 R2 в указанном месте нет строчки Domain Computers. Статью, будем надеяться, поправят, но сейчас она не сможет помочь.