Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Ошибки CryptoPro.Diagnostics. Потребовался перезапуск службы Центра регистрации
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 61
Сказал(а) «Спасибо»: 29 раз
|
Автор: Захар Тихонов Хорошо. 1. А в Агенте управления ключами эти ключи (0,1,2,3,5) загружены на выпуск CRL? 2. Были ли они загружены во время сбоя? 3. На каком ключе ЦС выпущены сертификаты веб сервера ЦС и клиентский сертификат ЦР?
А также, почему бы вам не вывести из эксплуатации ключи с индексом 0,1,2?
да, все ключи загружены и были загружены на момент сбоя, как минимум, пара ключей будет выведена в скором времени, т.к. истекают сроки действия сертификатов. сертификаты веб-сервера ЦС и клиентский сертификат ЦР выпущены на последнем ключе (они перевыпускались при смене сертификата ЦС) Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС? И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Автор: monditorium Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС?
Технически нет. Но если большая БД (очень большая) и слабые по производительности сервер ЦС, то из-за того что потребуется выпустить на каждом ключе ЦС свой CRL может быть ошибка, что сервер не справится за таймаут SQL. Обычно в работе 2 ключа ЦС. Новый подписывает сертификаты и CRL. Предыдущий подписывает CRL для пользовательских сертификатов (которые были выпущены на нем). Автор: monditorium И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР? Нет. На практике: Папка с CRL пустая - ЦР перенесет с ЦС. Если в папке есть действующие, актуальные CRL - обновляться они ежеминутно (перезаписываться) не будут. Если на ЦС выпустить новый CRL, то ЦР обновит их в папке (перезапишет на актуальные). Можете приложить журнал с ЦР, в котором будут события во время ошибки. И укажите точно время ошибки. А также, укажите: 1. сервер в домене? 2. служба ЦР запущена от какой учетной записи? 3. БД ЦР локальная или на выделенном сервере (если на выделенном, то какая аутентификация)? |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 61
Сказал(а) «Спасибо»: 29 раз
|
Автор: Захар Тихонов Автор: monditorium Имеются ли какие-либо рекомендации по тому какое должно быть количество ключей на ЦС?
Технически нет. Но если большая БД (очень большая) и слабые по производительности сервер ЦС, то из-за того что потребуется выпустить на каждом ключе ЦС свой CRL может быть ошибка, что сервер не справится за таймаут SQL. Обычно в работе 2 ключа ЦС. Новый подписывает сертификаты и CRL. Предыдущий подписывает CRL для пользовательских сертификатов (которые были выпущены на нем). Автор: monditorium И может ли большое количество ключей повлиять на то, что произошёл сбой на сервере ЦР? Нет. На практике: Папка с CRL пустая - ЦР перенесет с ЦС. Если в папке есть действующие, актуальные CRL - обновляться они ежеминутно (перезаписываться) не будут. Если на ЦС выпустить новый CRL, то ЦР обновит их в папке (перезапишет на актуальные). Можете приложить журнал с ЦР, в котором будут события во время ошибки. И укажите точно время ошибки. А также, укажите: 1. сервер в домене? 2. служба ЦР запущена от какой учетной записи? 3. БД ЦР локальная или на выделенном сервере (если на выделенном, то какая аутентификация)? Ошибки стали возникать в 09:43 events.rar (10kb) загружен 1 раз(а).Сервер в домене, служба ЦР запущена от доменной учётной записи Администратор БД ЦР на выделенном сервере, аутентификация по доменной учётной записи Администратор
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
MSDTC настроен на сервере ЦР и сервере SQL? Может были изменения групповых политик или сетевых, в данный промежуток времени? Судя по журналу проблемы с доступностью БД на изменение были. |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 61
Сказал(а) «Спасибо»: 29 раз
|
Автор: Захар Тихонов MSDTC настроен на сервере ЦР и сервере SQL? Может были изменения групповых политик или сетевых, в данный промежуток времени? Судя по журналу проблемы с доступностью БД на изменение были. Подскажите, пожалуйста, что подразумевается под "настройкой MSDTC" ? То что эта служба должна быть активна?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а). |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 61
Сказал(а) «Спасибо»: 29 раз
|
Автор: Захар Тихонов При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а). Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).Если галочки нет, то это плохо?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Автор: monditorium Автор: Захар Тихонов При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а). Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).Если галочки нет, то это плохо? Да, должно быть на ЦР и на сервере SQL настроено вот так 2.png (30kb) загружен 13 раз(а). (если не консультироваться с ТП microsoft по настройке данной службы) |
|
1 пользователь поблагодарил Захар Тихонов за этот пост.
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.08.2019(UTC) Сообщений: 61
Сказал(а) «Спасибо»: 29 раз
|
Автор: Захар Тихонов Автор: monditorium Автор: Захар Тихонов При настройке с Windows аутентификацией, вы должны были настроить в свойствах (на вкладке безопасность) разрешения к сети. 1.png (1,026kb) загружен 5 раз(а). Это делается где-то здесь? Snimok.PNG (34kb) загружен 12 раз(а).Если галочки нет, то это плохо? Да, должно быть на ЦР и на сервере SQL настроено вот так 2.png (30kb) загружен 13 раз(а). (если не консультироваться с ТП microsoft по настройке данной службы) Сейчас проверили настройки на серверах ЦР и СУБД: Snimok.PNG (103kb) загружен 11 раз(а).различие от эталонного скриншота в двух установленных галочках в пункте "Клиент и администрирование" и в установленной галочке "Включить XA-транзакции". Необходимо ли данные галочки убрать и могла ли повлиять такая настройка к проблеме, возникшей с ЦР?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 17.08.2015(UTC) Сообщений: 3,187 Откуда: Калининград Сказал «Спасибо»: 38 раз Поблагодарили: 568 раз в 545 постах
|
Разрешение - это не запрет. Все же я предполагаю что были изменения в сети или применение новых групповых политик. Уточните у вашего системного администратора, были ли изменения в этом.
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 2.0
»
Ошибки CryptoPro.Diagnostics. Потребовался перезапуск службы Центра регистрации
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close