IF your DC and CA use same server, when you use a domain user as NDES service account and configure it , system will propomt "Logon failure: the user has not been granted the requested logon type at this computer"
slove:
You must edit the "Default domain controllers policy" in Group Policy Editor.
Add the account that you will use for the NDES role to: Windows Settings/Security Settings/Local Policy/User Rights Assignment/Log on locally and log on as service.
This will allow you to set up the NDES role on a domain controller.
是域用户帐户
A. 是本地的 IIS_IUSRS 组的成员:你还可以使用 net localgroup IIS_IUSRS <domain>\<username> /Add
将 NDES 服务帐户添加到本地 IIS_IUSRS 组。
B.在配置的 CA 上具有请求权限
在 NDES 要使用的 CA 上,使用具有管理 CA 权限的帐户打开证书颁发机构控制台。
打开证书颁发机构控制台。右键单击证书颁发机构,然后单击“属性”。
在“选择用户、计算机、服务帐户或组”文本框中,键入 NDES 服务帐户的名称、单击“检查名称”,然后单击“确定”。
确保选中 NDES 服务帐户。确保选中对应于“请求证书”的“允许”复选框。单击“确定”。
在“安全”选项卡上,你可以看到具有请求证书权限的帐户。默认情况下,组“已验证用户”具有此权限。你创建的服务帐户将成为“已验证用户”的成员(如果正在使用该帐户)。如果“已验证用户”具有请求证书权限,则不需要授予其他权限。但如果不是这样,则应在 CA 上授予 NDES 服务帐户请求证书权限。执行此操作的步骤:
单击“添加”。
C.在自动配置的 NDES 证书模板上具有读取和注册权限
D.在 Active Directory 中具有服务主体名称 (SPN) 集,
确保你使用的帐户是 Domain Admins 组的成员。以管理员身份打开 Windows PowerShell 或命令提示符。
使用以下命令语法为 NDES 服务帐户注册服务器主体名称 (SPN):setspn -s http/<computername> <domainname>\<accountname>
。例如,若要在名为 CA1 的计算机上运行的 cpandl.com 域中注册登录名为 NdesService 的服务帐户,请运行以下命令: setspn -s http/CA1.cpandl.com cpandl\NdesService
原文地址:http://ygning.blog.51cto.com/68443/1658459