Kategorie szkoleń | Egzaminy | Kontakt

Pytanie

Migracja XP->7 (USMT a certyfikaty)

  • 5
  • 7
  • 347

Witam. Mam pewien problem podczas migracji systemów XP do 7 z wykorzystaniem SCCM-a i USMT. Problem polega na tym, że USMT przenosi certyfikaty konta komputera bez kluczy prywatnych i po zainstalowaniu systemu Windows 7 klient SCCM-a nie może połączyć się do serwera, bo nie ma odpowiedniego certyfikatu (klientowi wydaje się, że ma, ale nie ma do niego klucza prywatnego). Tymczasowe rozwiązanie polega na ręcznym usunięciu starego certyfikatu i wystawieniu nowego. 

Może ktoś się z tym spotkał i ma jakieś rozwiązanie?

Najprostszym rozwiązaniem byłoby, jakby USMT w ogóle nie migrował certyfikatów.

W logach klienta jest taki wpis:

 

Certificate [Thumbprint **************] issued to '****.e***a.local' doesn't have private key or caller doesn't have access to private key.
choyrack
  • Zapytał
  • @ choyrack | 11.03.2014
    • 6
    • 1
    • 4
Zaloguj się aby zadać pytanie
Pokrewne

Odpowiedzi (5)

  • 0

A może by tak przez GPO wymienić certyfikaty?

 

Marcin

Marcin_Dunaj
  • Odpowiedział
  • @ Marcin_Dunaj | 13.03.2014
    • 3
    • 1
    • 4
  • 3

Myślałem o GPO, ale nie będzie to takie proste:


1. Nie bardzo jest jak zidentyfikować stacje robocze, które są po migracji i mają certyfikat bez klucza prywatnego.
2. Autoenrollment nie działa, bo nie ma klucza prywatnego.
3. Ręcznie usunięcie klucza pomaga i stacja sama sobie żąda nowego certyfikatu, ale to nie jest rozwiązanie.

Problem rozwiązałem "wyłączając" całkowicie migrowanie certyfikatów dla komputera i użytkowników w USMT.
W pliku: capi2_certs-dl.man trzeba zakomentować lub usunąć te linijki:
Sekcja "Users":

 

<pattern type="File">%CSIDL_APPDATA%\Microsoft\SystemCertificates\My\Certificates[*]</pattern>
<pattern type="File">%CSIDL_APPDATA%\Microsoft\SystemCertificates\Request\Certificates[*]</pattern>

 

 

Sekcja "System":

 

<pattern type="Registry">HKLM\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\*[*]</pattern>
<pattern type="Registry">HKLM\SOFTWARE\Microsoft\SystemCertificates\Request\Certificates\*[*]</pattern>
<pattern type="Registry">HKLM\SOFTWARE\Microsoft\SystemCertificates\ACRS\CTLs\*[*]</pattern>

 

 

choyrack
  • Odpowiedział
  • @ choyrack | 13.03.2014
    • 6
    • 1
    • 4
  • 0

Witam. Odniosę się do Pańskiej odpowiedzi. Rzeczywiście, co do GPO, to może być problem z zidentyfikowaniem stacji po migracji, ale nie widzę problemu wystawienia nowego certyfikatu dla takiego komputera. Nawet jak opcja Autoenrollment miała by podmienić wszystkie certyfikaty dla komputerów, to nie powinno się tu nic złego wydarzyć. Rozwiązanie drugie to wykluczyć migrację certyfikatu, dokładnie tak, jak Pan zrobił.

Pozdrawiam.

  • Odpowiedział
  • @ | 13.03.2014
  • TRENER ALTKOM AKADEMII
  • 0

Witam.

Nie diagnozowałem dokładnie problemu z odnowieniem certyfikatów z opcją Autoenrollment, która jest ustawiona, ale nie działało.

choyrack
  • Odpowiedział
  • @ choyrack | 14.03.2014
    • 6
    • 1
    • 4
  • 1

Korzystając z USMT można skonfigurować własne pliki konfiguracyjne *.xml, które zabronią importowania certyfikatów komputera, np.:

 <?xml version="1.0" encoding="UTF-8"?>

 <migration urlid="http://www.microsoft.com/migration/1.0/migxmlext/customExclude">

    <component type="Documents" context="System">

       <displayName>SkipMachineCerts</displayName>

       <role role="Data">

          <rules>

             <include>

                <objectSet>

                   <pattern Type= "Registry">
                           HKLM\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\*[*]</pattern>

                </objectSet>

             </include>

      <unconditionalExclude>

                <objectSet>

                   <pattern type="Registry">
                          HKLM\SOFTWARE\Microsoft\SystemCertificates\My\Certificates\*[*]</pattern>

                </objectSet>

             </unconditionalExclude>

          </rules>

       </role>

    </component>

 </migration>

 Pobrane ze strony:

http://social.technet.microsoft.com/Forums/systemcenter/en-US/8904cf60-e39b-4a10-9e44-8ddf8a0d1850/usmt-and-client-certificate-problem?forum=configmgrosd

  • Odpowiedział
  • @ | 14.03.2014
  • TRENER ALTKOM AKADEMII
Komentarze
Witam
Twoja odpowiedź w 99% pokrywa się z tym co zaproponowałem wcześniej.
Skomentował : @ choyrack ,14.03.2014
  • 6
  • 1
  • 4

POWIĄZANE
w bazie wiedzy

quiz

Co wiesz o Windows i Microsoft?

Sprawdź, co wiesz o jednej z najbardziej znanych firm IT i ich systemie operacyjnym.

  • Windows Phone
  • Windows 7
  • Windows Desktop
webinarium

Windows 10 - tuż przed premierą

  • Systemy Operacyjne
  • Windows Desktop
blog

Zalety szkoleń Microsoft w nowoczesnym środowisku edukacyjnym

Wśród globalnych dostawców technologii trudno dziś znaleźć takich, którzy nie dostarczaliby autoryzowanych przez siebie szkoleń. Jednak mimo dynamicznego rozwoju technologii na przestrzeni ostatnich kilkunastu lat, nawet oni, niewiele zmienili w dotychczasowej formie szkoleń stacjonarnych.

  • Windows Server
  • SQL Server
  • Windows Desktop
  • Microsoft.net
  • Windows Azure