Bonjour !    
 
Voilà, ça fait près d'une semaine que j'essaie de me dépatouyer (^^) avec ce problème mais là, je cris au-secours lol
 
Je tente d'implanter une PKI en supplément d'un serveur VPN. J'ai 2 contrôleurs de domaine, un primaire et un secondaire. Le secondaire fait office de serveur VPN et le primaire d'autorité racine de certification. Il y quelques client XP.
 
J'ai appliqué une GPO pour l'inscription automatique de certificat machine. Tous les postes ont alors récupéré un certificat...sauf un : le contrôleur de domaine secondaire et donc mon serveur de VPN.   Le problème, c'est que je veux utiliser une authentification EAP/TLS pour la connexion des clients au serveur VPN. Et pour pouvoir valider l'authentification, j'ai besoin d'inscrire le certificat machine du serveur VPN qu'il ne réussit pas à récupérer auprès de l'autorité racine de certification.  
 
Du coup, le serveur VPN envoie à chaque fois un certificat par défaut aux clients et la connexion est impossible...    
 
J'ai été faire un tour au niveau de l'observateur d'évènements du VPN, et voici ce que j'ai :  
 
Erreur : AutoEnrollment
ID Even. : 13
Description : L'inscription automatique de certificat pour Système Local n'a pas pu inscrire un certificat Contrôleur de domaine (0x80070005) Accès Refusé.
 
Et j'ai également découvert que 2 messages venaient en boucle toutes les 5 minuetes et ce depuis un certain temps. J'avais eu ces même messages sur le DC primaire ya quelques temps mais un simple redémarrage du DC secondaire avait suffit. Ca a bien roulé pendant 2 ou 3 semaines mais maintenant c'est le secondaire qui fout sa merde :
 
Erreur : UserEnv
ID Even. : 1030
Description : Windows ne peut accéder à la liste des objets de stratégies de groupe. Veuillez consulter...
 
Erreur : UserEnv
ID Even. : 1058
Description : Windows ne peut pas accéder au fichier gpt.ini pour l'objet Stratégie de groupes cn={60533FE0-742D-4498-A2A0-89AB0A2DC83F},cn=policies,cn=system,DC=boby. Le fichier doit être présent à l'emplacement <\\boby.com\sysvol\boby.com\Policies\{60533FE0-742D-4498-A2A0-89AB0A2DC83F}\gpt.ini>. (Le chemin d'accès spécifié est introuvable.). Le traitement de la stratégie de groupe est interrompu
 
Je pense que l'id 1058 est p-e à la source de mon problème. Mais je vois vraiment pas comment arrêter ces messages    
 
D'avance merci pour votre aide  

up

Bon...le pb des erreurs UserEnv est réglé sur le VPN. J'ai ajouté une entrée dans mon DNS. Je suis sûr et certain à 200% qu'elle y était avant. ^^
Sinon, maintenant je retrouve mes erreurs UserEnv sur le contrôleur principal :X Et je ne peux plus ouvrir "Stratégie de sécurité du domaine / contrôleur de domaine", il me dit que j'ai pas le droit. J'ai également remarqué que les droits au niveau du dossier Sysvol pour Créateur Propriétaire étaient à 0 et quand je mets Contrôle Total, ce con de Windows les remets à 0.
 
Quelqu'un aurait une idée ?  

Je suis bien embarassé, j'ai les mêmes problèmes.
Les mêmes erreurs et je n'arrive pas à m'en sortir.
 
En fait j'ai un SBS 2003 DC principal
Un serveur 2003 paramétré en TSE à coté
Un autre 2003 avec ISA.
 
Pour effectuer la publication owa par ISA, j'ai utilisé la procèdure http://www.isaserver.org/tutorials/2004owafba.html
 
Maintenant j'ai des dysfonctionnements. Par exemple une impression qui bloque (sur le SBS) se met à bloquer tous le monde sur tous les partages sur le SBS. Certains PC ne subbissent plus les stratégies. Je n'arrive plus toujours à modifier mes stratégies.
 
J'ai tenté de supprimmer et de recreer une stratégies, il m'a fallu une dizaine d'essais pour y arriver!!
Par contre, c'était celle qui me provoquait les erreurs 1030 et 1058. Maintenant elle passe correctement. Mais une autre a pris le relais!
 
Je ne sais plus comment remettre de l'ordre.

En fait ce n'étais pas si dur.
C'est le SP1 de windows 2003 qui empéche l'erollement automatique des certificats.
J'ai ajouté mon 2e DC dans le groupe qui va bien et c'est reparti (le groupe, j'en ai pas le nom sous la main, mais ca se trouve)
 
Et c'est reparti. Plus qu'un p'tit souci avec une erreur de promotion de DC et une autre avec mon OWA qui marche pas   ;-(

 
En effet
 
http://support.microsoft.com/defau [...] r%3B903220

Salut
puisque vous abordez ce sujet, j'aurai besoin de votre aide pour un probleme que je passais bcp de temps a chercher la solution mais en vain.
j'ai un serveur exchange 2003+win server 2003+ j'ai mis en place une PKI, bon j'arrive a echanger des emails signes+cryptes sous outlook 2003 apres avoir demande un certificat aupres de l'Autorite racine de certification,mais lorsque je veux signer des emails sous OWA la j'arrive pas car on me dit que je dois telecharger le sontrole SMIME"sur la page option d'OWA" mais lorsque je clik dessus on m'indique "Erreur sur la page"
avez vous une idee??
merci

 
Tu as essayé ca ?
 
http://support.microsoft.com/kb/883543/en-us

Salut
merci pour ta reponse, oui j'ai lu cet article et bcp d'autres de microsoft mais en vain...
ce controle SMIME se telecharge du serveur Exchange,est ce que je devrais parametrer qlq chose sur Exchange pour permettre aux clients de telecharger ce controle?
merci

 
Nop. Seule chose est-tu en Front-End Back-End ?