Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Игорь67  
#1 Оставлено : 21 августа 2018 г. 9:33:56(UTC)
Игорь67

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.07.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Чебоксары

Сказал(а) «Спасибо»: 1 раз
Всем привет. Если кто то сталкивался с такой проблемой, подскажите как решить. Суть вот в чём. При открытии и просмотре свойств сертификатов очень долгие висы. Компы на которых такое происходит входят в домен. Стоит отрубить сетку и всё начинает летать. Сертификаты и их свойства отзываются мгновенно. Тестил разными способами и в крипто про и в ie и через оснастку работы с сертификатами.
Offline Максим Коллегин  
#2 Оставлено : 21 августа 2018 г. 10:02:39(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,374
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 32 раз
Поблагодарили: 704 раз в 613 постах
Посмотрите procmon'ом сетевые запросы.
Знания в базе знаний, поддержка в техподдержке
Offline Игорь67  
#3 Оставлено : 21 августа 2018 г. 11:30:47(UTC)
Игорь67

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.07.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Чебоксары

Сказал(а) «Спасибо»: 1 раз
Хорошо, попробую. А вообще не в курсе на контроллере домена есть какая то проверка корректности сертификатов? И воообще можно как то отключить эту сетевую проверку? Спасибо.
Offline Игорь67  
#4 Оставлено : 21 августа 2018 г. 13:45:01(UTC)
Игорь67

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.07.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Чебоксары

Сказал(а) «Спасибо»: 1 раз
Запустил procmon, настроил фильтр на mmc.exe, запустил certmgr.mmc, открыл только сетевую активность, по нулям, открытие списка сертификатов из личного (2 всего) 2 минуты, открытие свойства одного из сертификатов - 1.15 минуты, переход по вкладкам сертификата (общие, состав, путь сертификации) тоже около 20 секунд. Что за ерунда. И это при отсутствии сетевых обращений. Зато стоило выдернуть сетку из компа, все стало работать мгновенно... Вся проблема в том, что если пользователи подписывают документы ЭЦП, им приходиться ждать минут по 5, пока откроется список сертификатов из хранилища...
Offline two_oceans  
#5 Оставлено : 23 августа 2018 г. 8:12:09(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Автор: Игорь67 Перейти к цитате
Хорошо, попробую. А вообще не в курсе на контроллере домена есть какая то проверка корректности сертификатов? И воообще можно как то отключить эту сетевую проверку? Спасибо.
По симптомам похоже что зачем-то ищется какой-то компьютер (контроллер домена? например, в домене может быть свой УЦ, сертификаты которого разворачиватся через групповую политику) и не находится (либо отказывает в подключении несколько раз). Наверно не нужно ограничивать фильтр на mmc.exe, так как соединение может идти от какой-то из системных служб (групповая политика?). Ну и то что компьютер не находится это тоже проблема - я бы еще и WireShark помониторил сеть на проблемном компьютере на предмет ошибок разрешения и нахождения. Ничего с контроллером домена не делали перед появлением тормозов? Хорошо бы провести диагностику проблем на контроллере - что никакие роли не ведут на неподключенные к сети компьютеры и записи DNS для домена в норме. Посмотрите какие IP для контроллера домена возвращаются из DNS, не вылетел ли компьютер на котором тормоза из домена?

Отредактировано пользователем 23 августа 2018 г. 8:12:55(UTC)  | Причина: Не указана

thanks 1 пользователь поблагодарил two_oceans за этот пост.
Игорь67 оставлено 30.08.2018(UTC)
Offline Игорь67  
#6 Оставлено : 30 августа 2018 г. 11:22:32(UTC)
Игорь67

Статус: Новичок

Группы: Участники
Зарегистрирован: 04.07.2018(UTC)
Сообщений: 4
Российская Федерация
Откуда: Чебоксары

Сказал(а) «Спасибо»: 1 раз
Всем спасибо за варианты решения проблемки!!! Начал копать начиная с сервака (стоит Server 2012 поднят AD ну и DNS сервер разумеется) В качестве DHCP сервера выступает роутер МикроТик(192.168.0.2), и в качестве DNS сервера на клиентах в настройках сетевого интерфейса был указан (ДУРОДОМ, спасибо предыдущему сисадмину) ОН ЖЕ!!! Т.е. и внешнюю переадресацию доменных имен и локальных выполнял роутер и доменные адреса в локальной сети просто не транслировались в ip-ники. Решение оказалось простым проосто правильно настроил на серваке и роутере DNS сервер. На всех клиентах в сетевом интерфейсе прописал в качестве основного DNS сервера ip своего сервера и убрал альтернативные. ВСЁ, Больше проблемы нет, всё просто летает!!!
Offline two_oceans  
#7 Оставлено : 31 августа 2018 г. 13:49:13(UTC)
two_oceans

Статус: Эксперт

Группы: Участники
Зарегистрирован: 05.03.2015(UTC)
Сообщений: 1,602
Российская Федерация
Откуда: Иркутская область

Сказал(а) «Спасибо»: 110 раз
Поблагодарили: 393 раз в 366 постах
Рад что помогло. Теоретически такую ситуацию (роутер как главный DNS, сервер домена как дополнительный) можно решить при помощи условной пересылки (если конечно прошивка конкретного роутера такую функцию поддерживает). Полагаю МикроТики должны поддерживать.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.