Situacija je, otprilike, sledeća:

Jedan ISA 2004 server u domenu (Backend)i na njemu CSS (nije bas po PS-u, ali kada drugacije ne moze...), drugi ISA 2004 server u Workgroupu (Frontend) i koristi Backend ISA kao CSS.

S obzirom da je nemoguće koristiti domensku autentifikaciju u ovakvoj konfiguraciji, Frontend ISA autentifikuje CSS-a pomoću sertifikata prilikom kreiranja LDAPS konekcije. Ovakva konfiguracija zahteva dva sertifikata. Root CA sertifikat koji se instalira u Trusted Root (Local Computer) oba ISA servera i jedan Server Authentication sertifikat koji se instalira u Personal (Local Computer) na CSS-u.

Kada Frontend ISA pokusa da se konektuje na Backend ISA, dobićete error u logu Backenda koji glasi otprilike ovako:

"A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x6."

Ova greška je posledica toga što nalog pod kojim ADAM radi, a to je Network Service, nema prava pristupa mašinskim ključevima. Da bi smo rešili ovaj problem, idemo u:

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA i na folderu MachineKeys damo Full Control grupi Network Service.

Sada autentifikacija između Frontend i Backend ISA servera radi normalno, međutim tu zapravo počinje problem iz naslova ovog posta.

Posto ste Server Authentication sertifikat izdali na godinu dana, a tih godinu dana je proslo, a niste na vreme obnovili sertifikat, doslo je do prekida komunikacije između ISA servera. Promene napravljene u konzoli Backenda se više ne propagiraju ka Frontendu i obrnuto. Logovi se rumene od errora i tu shvatamo da treba menjati sertifikate.

Preskočiću deo oko izdavanja samih sertifikata (na kraju posta su korisni linkovi), i pretpostavićemo  da su "taze" sertifikati na dohvat ruke.

Import samih sertifikata možete raditi pomoću ISACertTool alata ili preko kastomizovane MMC konzole.

Unošenje novog Root sertifikata u Local Computer Trusted Root cert store prolazi bez problema, međutim, kada pokušate import Server Authentication sertifikata, dolazi do sledećeg problema:

1. Ukoliko koristite ISACertTool, dobićete ovakvu poruku:

"ERROR: Failed while trying to install the certificate to the Configuration Stora
ge service store, error code = 0x80070056."

2. Ukoliko koristite MMC, dobićete ovakvu poruku:

"An internal error occured. This can be either the user profile is not accessible or the private key that you are importing might require a cryptographic service provider that is not installed on your system"

Prva poruka nije baš deskriptivne prirode, a druga usmerava u potpuno pogrešnom pravcu. Jedino što je tačno, je to da zaista ne možemo importovati sertifikat.

Problem leži u dozvolama na folderu:

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

Uklonite grupu Network Service i sada bez problema možete importovati Server Authentication sertifikat.

Nakon uspešne instalacije novog sertifikata, vratite dozvole grupi "Network Service" i to je to.

Korisni linkovi:

http://www.microsoft.com/technet/isa/2004/plan/workgroup_ee.mspx

http://blogs.technet.com/isablog/

Pozdrav!