il certutil -ping non riesce con 30 secondi di timeout – cosa fare?

Il negozio di certificati sulla mia casella Win7 è costantemente appeso. Osservare:


 C: \> 1.cmd

 C: \> certutil -?  |  findstr / i ping
   -ping - Interfaccia di richiesta di servizi di certificazione di Active Directory di Ping
   -pingadmin - Interfaccia amministrativa Ping Active Directory Certificate Services

 C: \> impostare PROMPT = $ P ($ t) $ G

 C: \ (13: 04: 28.57)> certutil-ping
 CertUtil: command Ping FAILED: 0x80070002 (WIN32: 2)
 CertUtil: Il sistema non riesce a trovare il file specificato.

 C: \ (13: 04: 58.68)> certutil-pingadmin

 CertUtil: -pingadmin command FAILED: 0x80070002 (WIN32: 2)
 CertUtil: Il sistema non riesce a trovare il file specificato.

 C: \ (13: 05: 28.79)> imposta PROMPT = $ P $ G

 C: \>

spiegazioni:

  • Il primo command mostra che ci sono parametri –ping e –pingadmin per certutil
  • Il tentativo di qualsiasi parametro ping non riesce con un timeout di 30 secondi (l'ora corrente viene visualizzata nel prompt)

Questo è un problema serio. Blocca tutta la comunicazione protetta nella mia applicazione. Se qualcuno sa come questo può essere risolto – per favore condividi.

Grazie.

PS

1.cmd è semplicemente un lotto di questi comandi:

 certutil -? | findstr /i ping set PROMPT=$P($t)$G certutil -ping certutil -pingadmin set PROMPT=$P$G 

EDIT1

Sono riuscito a individuare l'API delle singole windows che provoca il problema – DsGetDcName

Secondo il windbg, il certutil-ping lo invoca così:

 PDOMAIN_CONTROLLER_INFO pdci; DWORD ret = ::DsGetDcName(NULL, NULL, NULL, NULL, DS_DIRECTORY_SERVICE_PREFERRED, &pdci); 

Sulla mia workstation esce per 30 secondi e restituisce il codice di errore 1355, che è ERROR_NO_SUCH_DOMAIN Nessun controller di dominio è disponibile per il dominio specificato o il dominio non esiste.

Su un'altra macchina, che è accidentalmente un server Windows 2003, restituisce quasi immediatamente il nome del controller di dominio corretto all'interno della struttura restituita DOMAIN_CONTROLLER_INFO .

Ora la domanda è che cosa manca nella mia workstation per quella API per trovare il controller di dominio corretto?

  • VMotion usando iSCSI LUN su OpenFiler
  • Attivazione di Windows 7: KMS vs MAK
  • Come posso installare Windows 7 senza masterizzare un DVD o utilizzare un'unità USB?
  • Installare un programma dalla networking
  • IIS 7.5 (Windows 7) - Errore HTTP 401.3 - Non autorizzato
  • Imansible installare Powershell 4
  • Imansible uccidere il process in Windows 7
  • Aggiornare le licenze esistenti di Windows 7 Pro a Ent?
  • One Solution collect form web for “il certutil -ping non riesce con 30 secondi di timeout – cosa fare?”

    Si prega di verificare quanto segue

    1. È ansible eseguire certutil -ping -config "cadnsname\CA logical name" dagli host interessati.
    2. Chi ha le autorizzazioni a richiedere certificati presso la CA (qualcuno ha modificato gli utenti autenticati agli utenti di dominio)?
    3. Guarda le autorizzazioni DCOM per garantire che gli utenti autenticati dispongano delle autorizzazioni corrette presso la CA. Autorizzazioni DCOM per la CA per il servizio di certificato DCOM Access group:

      Livello autorizzazioni di accesso – Accesso locale – Consenti, Accesso remoto – Consenti livello di autorizzazioni di avvio e triggerszione -> Avvio remoto – Consenti, triggerszione remota – Consenti

    Per ulteriori dettagli è ansible fare riferimento all'indirizzo sotto per la risoluzione dei problemi.

    http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.