čtvrtek 22. června 2017

Active Directory Certificate Services neukazuje šablonu

Vytvořili jste si v AD CS( Windows Server 2012R2) duplikát některé z předpřipravených šablon, chcete ji aktivovat, ale šablona se nezobrazuje v přehledu pro aktivaci.

Příčinou je, že v dřívějších verzích bylo možné vlastní šablony aktivovat pouze pro verze Enterprise. Toto omezení je od 2008R2 vypnuté a šablonu si tedy můžete aktivovat v edici Standard. Problémem mohou být cesty upgradu ze starších systémů. Zkontrolujte jakou edici AD CS máte:

  1. Otevřete adsiedit.msc
  2. Navigujte se v cestě:CN=Configuration | CN=Services | CN=Public Key Services | CN=Enrollment Services
  3. Pravým tlačítkem na certifikační autoritu a zkontrolujte parametr Flags, který by měl být rovný 10. Já měl hodnotu dvě. Po změně na 10 začalo vše fungovat.

Vystavil v Žádné komentáře:
Štítky: ,

středa 21. června 2017

NPS - Byla přijata neočekávaná nebo chybně formátovaná zpráva - Event ID 6273 - kód 266

Chyba se zřejmě vyskytuje na více systémech, ale mým byl Windows Server SBS2011. Cílem bylo nakonfigurovat Wifi přes Radius s ověřováním notebooků skrze certifikát generovaný AD CS(Active Directory Certification Services). Problém bude i v ověřování přes heslo(MSCHAPv2).

Při pokusu o připojení napíše klient: K této síti se nebylo možné připojit.
Security Event log na NPS serveru ukazuje událost:

EventID:6273
Kód chyby: 266
Důvod:Byla přijata neočekávaná nebo chybně formátovaná zpráva.


Důvodem je příliš mnoho kořenových certifikačních autorit na NPS serveru, které jsou zasílány klientovy. Chyba vznikla po nějakém update od MS.

Řešení: Řešením je zakázání odesílání certifikačních autorit klientovi změnou registrů. Změna funguje okamžitě a není potřeba cokoliv restartovat.

  1. V registrech otevřeme cestu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
  2. Vyvoříme:
typ:DWORD
Název:SendTrustedIssuerList
hodnota: 0(false)


Nyní by připojení mělo fungovat bez problémů, za předpokladu, že vše ostatní je v pořádku
Vystavil v Žádné komentáře:
Štítky: ,

Fortigate 60E logování do paměti

Fortigate 60E - low-end model, který neobsahuje disk a umožňuje tedy provoz logovat do paměti, do Fortianalyzeru a FortiCloudu.

Pokud potřebujete logovat do paměti, jako na všech modelech je potřeba mít logování zapnuté, což by ve výchozím stavu mělo být povolené:



Bohužel pokud logujete do paměti, je ve výchozím stavu nastavena úroveň logování na Warning,takže neuvidíte skoro žádné logy na záložce Forward Traffic. Nastavení je třeba upravit přes konzoli pomocí následujících příkazů:

Config log memory filter
get //vypsání aktuální konfigurace viz. obrázek níže. Serverity=warning
set severity information
end


Nyní by se logy již měly začít po chvíli objevovat. Pokud logujete na disk, je ve výchozím stavu úroveň logování nastavena právě na information.

Vystavil v Žádné komentáře:
Štítky: ,
Přihlásit se k odběru: Příspěvky (Atom)