IF your DC and CA use same server, when you use a domain user as NDES service account and configure it , system will propomt "Logon failure: the user has not been granted the requested logon type at this computer"
成都创新互联专注为客户提供全方位的互联网综合服务,包含不限于成都网站建设、网站建设、古蔺网络推广、小程序定制开发、古蔺网络营销、古蔺企业策划、古蔺品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;成都创新互联为所有大学生创业者提供古蔺建站搭建服务,24小时服务热线:028-86922220,官方网址:www.cdcxhl.comslove:
You must edit the "Default domain controllers policy" in Group Policy Editor.
Add the account that you will use for the NDES role to: Windows Settings/Security Settings/Local Policy/User Rights Assignment/Log on locally and log on as service.
This will allow you to set up the NDES role on a domain controller.
是域用户帐户
A. 是本地的 IIS_IUSRS 组的成员:你还可以使用 net localgroup IIS_IUSRS
将 NDES 服务帐户添加到本地 IIS_IUSRS 组。
B.在配置的 CA 上具有请求权限
在 NDES 要使用的 CA 上,使用具有管理 CA 权限的帐户打开证书颁发机构控制台。
打开证书颁发机构控制台。右键单击证书颁发机构,然后单击“属性”。
在“选择用户、计算机、服务帐户或组”文本框中,键入 NDES 服务帐户的名称、单击“检查名称”,然后单击“确定”。
确保选中 NDES 服务帐户。确保选中对应于“请求证书”的“允许”复选框。单击“确定”。
在“安全”选项卡上,你可以看到具有请求证书权限的帐户。默认情况下,组“已验证用户”具有此权限。你创建的服务帐户将成为“已验证用户”的成员(如果正在使用该帐户)。如果“已验证用户”具有请求证书权限,则不需要授予其他权限。但如果不是这样,则应在 CA 上授予 NDES 服务帐户请求证书权限。执行此操作的步骤:
单击“添加”。
C.在自动配置的 NDES 证书模板上具有读取和注册权限
D.在 Active Directory 中具有服务主体名称 (SPN) 集,
确保你使用的帐户是 Domain Admins 组的成员。以管理员身份打开 Windows PowerShell 或命令提示符。
使用以下命令语法为 NDES 服务帐户注册服务器主体名称 (SPN):setspn -s http/
。例如,若要在名为 CA1 的计算机上运行的 cpandl.com 域中注册登录名为 NdesService 的服务帐户,请运行以下命令: setspn -s http/CA1.cpandl.com cpandl\NdesService
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。