Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Statický DCOM port pro certifikační autoritu AD CS
květen 02
Statický DCOM port pro certifikační autoritu AD CS

Certifikační autorita (AD CS, Active Directory Certificate Services, nebo dříve jen Certificate Services) je přístupná ze sítě na protokolu DCOM. Ten používá ve výchozím stavu dynamické náhodné porty. Při každém restartu prostě běží na jiném TCP portu.

Tedy přesněji řečeno používá port TCP 135 (RPC endpoint mapper) a nějaký ten dynamický DCOM TCP port.

Kvůli přístupu přes různé firewally je paráda, že se to dá nastavit na port statický (pevný a trvalý). Postup má dva kroky

Musíte to zapnout jako příznak v konfiguraci autority:

certutil -setreg CA\InterfaceFlags +IF_NORPCICERTREQUEST

A pak je to číslo portu potřeba nastavit pomocí konzole Component Services (dcomcnfg) ve službě CertSrv Request:

To znamená - rozkliknete Component Services (dcomcnfg) - My Computer - DCOM Config a potom ve vlastnostech CertSrv Request na záložce Endpoints přidáte další TCP/IP port. Nevím proč, já si tam dávám pět jedniček 11111 :-)

No dobrá, dá se to udělat i v registrech v klíči HKEY_CLASSES_ROOT (HKCR):

HKEY_CLASSES_ROOT
  AppId
    {D99E6E74-FC88-11D0-B498-00A0C90312F3}
      EndPoints = REG_MULTI_SZ = ncacn_ip_tcp,0,11111

A ještě poznámka - nedivte se, projeví se to až po restartu. A taky se nedivte, že tam ten port hned neuvidíte. Port se otevírá sám až později, až v okamžiku, kdy autorita přijímá první DCOM požadavek po restartu. Ono to totiž neběží a spouští se to jako DCOM Remote Launch.

Comments

There are no comments for this post.

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments