Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

3 Страницы<123
Опции
К последнему сообщению К первому непрочитанному
Offline monditorium  
#21 Оставлено : 17 марта 2021 г. 10:16:49(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
Хорошо.
1. А в Агенте управления ключами эти ключи (0,1,2,3,5) загружены на выпуск CRL?
2. Были ли они загружены во время сбоя?
3. На каком ключе ЦС выпущены сертификаты веб сервера ЦС и клиентский сертификат ЦР?

А также, почему бы вам не вывести из эксплуатации ключи с индексом 0,1,2?


да, все ключи загружены и были загружены на момент сбоя,

как минимум, пара ключей будет выведена в скором времени, т.к. истекают сроки действия сертификатов.
сертификаты веб-сервера ЦС и клиентский сертификат ЦР выпущены на последнем ключе (они перевыпускались при смене сертификата ЦС)

Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС?
И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР?
Offline Захар Тихонов  
#22 Оставлено : 17 марта 2021 г. 10:49:48(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: monditorium Перейти к цитате

Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС?


Технически нет. Но если большая БД (очень большая) и слабые по производительности сервер ЦС, то из-за того что потребуется выпустить на каждом ключе ЦС свой CRL может быть ошибка, что сервер не справится за таймаут SQL.
Обычно в работе 2 ключа ЦС. Новый подписывает сертификаты и CRL. Предыдущий подписывает CRL для пользовательских сертификатов (которые были выпущены на нем).

Автор: monditorium Перейти к цитате
И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР?


Нет. На практике: Папка с CRL пустая - ЦР перенесет с ЦС. Если в папке есть действующие, актуальные CRL - обновляться они ежеминутно (перезаписываться) не будут. Если на ЦС выпустить новый CRL, то ЦР обновит их в папке (перезапишет на актуальные).

Можете приложить журнал с ЦР, в котором будут события во время ошибки. И укажите точно время ошибки.
А также, укажите:
1. сервер в домене?
2. служба ЦР запущена от какой учетной записи?
3. БД ЦР локальная или на выделенном сервере (если на выделенном, то какая аутентификация)?
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
monditorium оставлено 17.03.2021(UTC)
Offline monditorium  
#23 Оставлено : 17 марта 2021 г. 12:45:17(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
Автор: monditorium Перейти к цитате

Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС?


Технически нет. Но если большая БД (очень большая) и слабые по производительности сервер ЦС, то из-за того что потребуется выпустить на каждом ключе ЦС свой CRL может быть ошибка, что сервер не справится за таймаут SQL.
Обычно в работе 2 ключа ЦС. Новый подписывает сертификаты и CRL. Предыдущий подписывает CRL для пользовательских сертификатов (которые были выпущены на нем).

Автор: monditorium Перейти к цитате
И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР?


Нет. На практике: Папка с CRL пустая - ЦР перенесет с ЦС. Если в папке есть действующие, актуальные CRL - обновляться они ежеминутно (перезаписываться) не будут. Если на ЦС выпустить новый CRL, то ЦР обновит их в папке (перезапишет на актуальные).

Можете приложить журнал с ЦР, в котором будут события во время ошибки. И укажите точно время ошибки.
А также, укажите:
1. сервер в домене?
2. служба ЦР запущена от какой учетной записи?
3. БД ЦР локальная или на выделенном сервере (если на выделенном, то какая аутентификация)?


Ошибки стали возникать в 09:43 events.rar (10kb) загружен 1 раз(а).
Сервер в домене,
служба ЦР запущена от доменной учётной записи Администратор
БД ЦР на выделенном сервере, аутентификация по доменной учётной записи Администратор
Offline Захар Тихонов  
#24 Оставлено : 17 марта 2021 г. 13:14:00(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
MSDTC настроен на сервере ЦР и сервере SQL?
Может были изменения групповых политик или сетевых, в данный промежуток времени? Судя по журналу проблемы с доступностью БД на изменение были.
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
monditorium оставлено 17.03.2021(UTC)
Offline monditorium  
#25 Оставлено : 17 марта 2021 г. 13:18:16(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
MSDTC настроен на сервере ЦР и сервере SQL?
Может были изменения групповых политик или сетевых, в данный промежуток времени? Судя по журналу проблемы с доступностью БД на изменение были.


Подскажите, пожалуйста, что подразумевается под "настройкой MSDTC" ?
То что эта служба должна быть активна?
Offline Захар Тихонов  
#26 Оставлено : 17 марта 2021 г. 13:27:14(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а).
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
monditorium оставлено 17.03.2021(UTC)
Offline monditorium  
#27 Оставлено : 17 марта 2021 г. 13:37:14(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а).


Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).

Если галочки нет, то это плохо?
Offline Захар Тихонов  
#28 Оставлено : 17 марта 2021 г. 13:47:48(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Автор: monditorium Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а).


Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).

Если галочки нет, то это плохо?


Да, должно быть на ЦР и на сервере SQL настроено вот так 2.png (30kb) загружен 13 раз(а).
(если не консультироваться с ТП microsoft по настройке данной службы)
Техническую поддержку оказываем тут.
Наша база знаний.
thanks 1 пользователь поблагодарил Захар Тихонов за этот пост.
monditorium оставлено 17.03.2021(UTC)
Offline monditorium  
#29 Оставлено : 17 марта 2021 г. 14:39:18(UTC)
monditorium

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.08.2019(UTC)
Сообщений: 61

Сказал(а) «Спасибо»: 29 раз
Автор: Захар Тихонов Перейти к цитате
Автор: monditorium Перейти к цитате
Автор: Захар Тихонов Перейти к цитате
При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а).


Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).

Если галочки нет, то это плохо?


Да, должно быть на ЦР и на сервере SQL настроено вот так 2.png (30kb) загружен 13 раз(а).
(если не консультироваться с ТП microsoft по настройке данной службы)


Сейчас проверили настройки на серверах ЦР и СУБД:
Snimok.PNG (103kb) загружен 11 раз(а).

различие от эталонного скриншота в двух установленных галочках в пункте "Клиент и администрирование" и в установленной галочке "Включить XA-транзакции".
Необходимо ли данные галочки убрать и могла ли повлиять такая настройка к проблеме, возникшей с ЦР?
Offline Захар Тихонов  
#30 Оставлено : 17 марта 2021 г. 16:00:19(UTC)
Захар Тихонов

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 17.08.2015(UTC)
Сообщений: 3,175
Мужчина
Тонга
Откуда: Калининград

Сказал «Спасибо»: 38 раз
Поблагодарили: 566 раз в 543 постах
Разрешение - это не запрет.
Все же я предполагаю что были изменения в сети или применение новых групповых политик. Уточните у вашего системного администратора, были ли изменения в этом.
Техническую поддержку оказываем тут.
Наша база знаний.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
3 Страницы<123
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.