варианты, пошаговые инструкции — Сервисы на vc.ru
Выясняем, как дистанционно открыть ИП и что для этого нужно
За нелегальное предпринимательство человек рискует получить штраф или лишение свободы на срок до пяти лет. Чтобы избежать проблем, нужно официально регистрировать бизнес и вовремя платить налоги. Интенсивная цифровизация экономики позволяет делать это в разы проще и быстрее, чем ещё шесть-семь лет назад. Рассмотрим несколько вариантов открытия ИП.
Четыре варианта дистанционного открытия ИП
Рассмотрим основные сценарии дистанционного получения свидетельства «Индивидуальный предприниматель» – от самого быстрого и простого до наиболее сложного и медленного.
1. Через профильную компанию – удостоверяющий центр оформления электронных подписей
Открыть ИП за 1-5 дней можно, не выходя из дома, если прибегнуть к помощи такой организации.
Отметим, не каждый удостоверяющий центр предоставляет услугу регистрации ИП. В «Такскоме» такую услугу оказывают специалисты отдела по работе с государственными органами.
1.
Подготовьте два документа: паспорт и СНИЛС.
2. Закажите в удостоверяющем центре услугу оформления ИП.
3. Специалист центра приедет к вам, сверит ваши документы для выпуска электронной подписи.
4. Удостоверяющий центр сам подготовит документы и отправит их в налоговую.
Заказчику услуги не нужно платить госпошлину.
Как открыть ИП с помощью Госуслуг: инструкция
Скорее всего речь не о базах данных, а о старых экземплярах …
Там точно все вывернуто с ног на голову. Нет ограничения на …
Про бекапы информационной базы — это какая то чушь. Один экз…
А что откат официально как то проводили.Есть куча механизмом…
Причем любят постоянно и все время в разных позах? 😉
А при чем тут архивы, блин стандартная практика, что бы не п…
«Общая суть тут в том, что при обновлении на компьютере…
«АНО, единственным учредителем которого является админи…
Дирик наверняка денег зажал на доплицензии, вот ему сисадмин.
Собственно, где деньги понятно. АНО получила «вкусный&q…
Что значит «вынуждено»? Вам никто ведь не запрещал…
Описанная схема и сейчас работает. Никто не застрахован, ЭЦП…
Рубрика «настучали»
Обычно не бухгалтер инициатор обналов и тп. Руководство дает…
а директор слепоглухонемой олигофрен, с 14 года знать ничего…
Она не Васильева, не простят.
Совсем обалдели…До чего еще докатимся? На автомобильные пр…
от клопов, крыс и всех паразитов в мире вместе взятых!
https://www.rbc.ru/politics/02/08/2015/55be0d669a79475c58ad2…
ОНИ ВООБЩЕ НИЧЕГО НЕ ВИДЯТ.
И это не только в Москве. Мне не…
Может кому- то забыли отстегнуть? Такие косяки не прощают….
Там, где работодатель не шибко желает стимулировать наемных …
Кое-кому очень хочется побыстрей получить следующую партию з…
Это ж распилиада-2014. Она вся — грандиозное преступление….
да, согласна. вроде бы тема мотивации сотрудников избита. но…
совмещали ОСНО и ЕНВД в одном юр.лице.Совмещать с УСН невозм…
Ох! Если бы все было так просто. Однако, есть категория &quo…
интересный взгляд на вещи.
С2014 возбудили и до сих пор не возбудились как положено. Не…
Регистрация ИП через ГосУслуги пошаговая инструкция 2019
«Госуслуги» — удобный сервис, освобождающий нас от необходимости идти в налоговую и тратить время и силы на подачу документов.
В статье я привела подробную инструкцию по оформлению предпринимательства онлайн и указала на все важные детали процедуры.
Регистрация ИП через Госуслуги в 2019 году: пошаговая инструкция
Зарегистрировать ИП возможно следующими способами:
- в налоговой инспекции — самостоятельно, посредством представителя;
- в МФЦ — самостоятельно, посредством представителя;
- на сайте ФНС России — через специальный сервис;
- через портал «Госуслуги».
Для оформления ИП на сайте государственных услуг, разработанном Правительством России, необходимо иметь на нем аккаунт. Его легко создать:
- Откройте сайт gosuslugi.ru.
- Нажмите на кнопку регистрации.
- Нужно заполнить всего 4 графы — фамилия, имя, телефон и электронный адрес.
- Далее подтвердите номер телефона и/или электронную почту. В случае номера вам придет СМС-сообщение, в случае почты — письмо со ссылкой для активации.
- Теперь придумайте пароль. Чем пароль сложнее, тем ваш аккаунт надежнее защищен.
- После ввода пароля аккаунт признается упрощенным. Нужно повысить его статус для получения доступа ко всем возможностям портала.
- Следующий статус — стандартная учетная запись. Для перехода к ней введите в аккаунте реквизиты паспорта и номер страхового свидетельства.
- Нажмите на кнопку автоматической проверки данных в базе МВД. Обычно проверка занимает несколько дней, но может и затянуться на более длительный период. В последнем случае напишите в техническую поддержку портала, а также обратитесь в МВД России через сайт Министерства. Как правило, после такого обращения проблема решается.
- После проверки вам будет присвоен стандартный уровень. Осталось подтвердить личность, и вы сможете подать заявление на открытие ИП онлайн.
- Подтверждение личности на выбор производится визитом в центр обслуживания (МФЦ и другие госорганы) или запросом кода почтовым отправлением.
- После получения высшего статуса вам доступны все сервисы портала.
Как открыть ИП на «Госуслугах» пошагово:
- Войдите в свой аккаунт.
- В строке поиска введите фразу «регистрация ИП». В выданных результатах найдите сервис и нажмите на него.
- Перед вами откроется страница услуги. Здесь вы увидите ссылку на подробную информацию о процедуре, — пройдя по ней, вы ознакомитесь с деталями, нормативно-правовой базой и другой информацией.
- Нажмите на кнопку «Получить услугу».
5. Вас переведут на новую страницу. Здесь выберите блок для индивидуальных предпринимателей. Есть описание сервиса и виды регистрационных действий — создание и закрытие ИП, внесение изменений. Для открытия предпринимательства нужно заполнить заявление по строгой форме Р21001. Если вы уже начинали заполнять заявку, вы найдете черновик ниже в таблице «Мои заявления».
6. Если вы впервые пользуетесь услугой, нажмите на кнопку «Заполнить новое заявление».
7. Дайте согласие на обработку ваших личных данных. Такое подтверждение необходимо для соблюдения ваших гражданских и конституционных прав.
8.
Выберите форму для подачи — Р21001.
9. Отобразится новая страница. Здесь требуется ответить на вопрос и уточнить детали — просто поставить флажок в нужном пункте. Заявление можно сдать лично, почтой, т. е. в бумажном виде, а также — в электронном с подписью или без подписи. Если электронное заявление будет подтверждено цифровой подписью, вы освобождаетесь от госпошлины.
10. Если выбрать личный визит, вы должны посетить ИФНС или МФЦ лично и в присутствии оператора подписать заявление. Если выбрать почтовое отправление, то подпись на заявлении нужно заверить у нотариуса, а также заверить копии всех иных документов и вложить опись. Письмо направляется с уведомлением о вручении.
Какой паке документов нужен для открытия ИП? Об этом подробно .11. Если выбрать электронное отправление без подписания, то ваша заявка будет рассматриваться в течение 3 дней, а затем вам нужно будет явиться в инспекцию для подписания документа, который инспектор распечатает.
12. Если выбрать электронную форму с цифровой подписью, то результат будет направлен вам так же в электронном виде на e-mail, если вы не выберете иной способ получения.
Посещать инспекцию не требуется.
13. Нажмите «Далее».
14. Укажите информацию в представленных графах — электронный адрес, сведения о гражданстве, адрес. Адресом укажите либо постоянную прописку по паспорту, либо временную. Чтобы ввести адрес, нажмите на графу и в появившемся поле заполните строки — индекс, регион, населенный пункт, улица, дом, квартира.
15. Нажмите «Далее».
16. Здесь нужно указать ИНН. Если вы указывали ИНН в личном кабинете, то он автоматически перенесется сюда. Если нет, введите его вручную. Здесь же есть ссылка на сервис для поиска идентификационного номера, если вы его не знаете.
17. Выберите пол и проверьте правильность написания фамилии, имени, отчества.
18. Ниже просмотрите разделы о рождении и паспортные реквизиты. Информация перенесется сюда из личного кабинета, кроме кода подразделения — его нужно указать собственноручно.
19. На новой странице выберите основной ОКВЭД — главный вид деятельности, который вы выбрали для бизнеса.
Нажмите на поле, появится окно со списком, в каждом пункте есть подпункты. Найдите ваш вариант.
Как создать учетную запись ИП/юрлица на портале «Госуслуги»
Как создать учетную запись ИП/юрлица на портале «Госуслуги».
Иллюстрация: архив портала gosuslugi.ru
Подробнее о том, как устроен «Личный кабинет» организации и ИП, читайте здесь.
Маршрут. Как создать учетную запись гражданина на портале «Госуслуги»
Прежде чем создавать «Личный кабинет» ИП/юрлица на портале «Госуслуги», руководитель должен зарегистрироваться на нем как гражданин и подтвердить свою учетную запись.
1. Регистрация упрощенной учетной записи.
Нажмите кнопку «Зарегистрироваться» на главной странице портала «Госуслуги» (на синем фоне справа). Введите свои данные: фамилию, имя, мобильный телефон и адрес электронной почты.
Кликните на кнопку регистрации, и вам придет SMS с кодом подтверждения.
2. Создание стандартной учетной записи.
Вам стал доступен профиль пользователя. Заполните его — укажите СНИЛС, паспортные данные. Они пройдут проверку в ФМС России и Пенсионном фонде РФ. Это может занять от нескольких часов до нескольких дней. Но, как правило, на практике проверка занимает не более часа. Уведомление о ее завершении придет вам на почту.
3. Подтверждение учетной записи.
Учетную запись на портале «Госуслуги» можно подтвердить несколькими способами.
- Лично. Обратитесь с паспортом и СНИЛС в ближайший Центр обслуживания.
- Онлайн. Сервис доступен для тех, кто пользуется интернет-банкингом Сбербанка, «Почта Банка» и «Тинькофф-банка».
- Почтой. Закажите получение кода подтверждения по почте.
Маршрут. Как создать «Личный кабинет» ИП/юрлица на портале «Госуслуги»
«Личный кабинет» ИП может создать только сам индивидуальный предприниматель.
Учетную запись юрлица имеет право создавать его руководитель или представитель предприятия, имеющий право действовать от его имени без доверенности.
Войдите на портал «Госуслуги» под своим логином и паролем.
Добавить ИП или юрлицо можно из «Личного кабинета» — в правом верхнем углу есть кнопка «Добавить организацию». Нажмите ее и в появившемся окне выберите правовую форму вашего бизнеса — ИП или юрлицо.
Второй путь добавления «Личного кабинета» — со специальных навигационных страниц для ИП и юрлиц. Находясь на главной странице портала, в правом верхнем углу выберите вкладку «Для юридических лиц» или «Для индивидуальных предпринимателей» в зависимости от правовой формы вашего бизнеса.
Листайте вниз до раздела «Личный кабинет ИП на портале»/»Кабинет юридического лица на портале». Нажмите кнопку «Внести данные об ИП»/»Создать организацию».
Если вы индивидуальный предприниматель, внесите в форму номер вашего ИНН и ОГРНИП. Система автоматически проверит их в Едином госреестре налогоплательщиков и в Едином госреестре ИП.
Если вы создаете «Личный кабинет» юридического лица, то вам потребуется электронная подпись.
Присоедините к компьютеру носитель ключа электронной подписи, нажмите кнопку «Продолжить». Система запустит поиск сертификата электронной подписи, и данные об организации заполнятся автоматически, останется только ввести информацию о контактах.
После ее подтверждения вы сможете работать в «Личном кабинете» организации.
Получить квалифицированную электронную подпись можно в любом аккредитованном удостоверяющем центре. Сейчас в Алтайском крае действует пять аккредитованных удостоверяющих центров, где можно получить такую подпись. Полный перечень приведен на сайте Минкомсвязи (minsvyaz.ru).
Полезные лайфхаки
1. Как получить реквизиты организации в любое время и в любом месте?
У портала «Госуслуги» есть мобильная версия, адаптированная для смартфонов и планшетов.
Вы можете войти на портал в любом месте, где есть доступ к интернету, с помощью своего гаджета и посмотреть в «Личном кабинете» все данные предприятия, которые туда внесли.
Реквизиты ИП или юрлица также можно посмотреть в мобильном приложении «Госуслуги Бизнес». Для этого зайдите в основное меню (его иконка в левом верхнем углу) и нажмите на название организации.
2. Как переключаться между профилями без повторного ввода пароля?
Переключаться между профилями физлица, ИП и юрлица на «Госуслугах» можно без повторного ввода логина и пароля. Тип аккаунта переключается прямо на странице услуги, которую вы заказываете.
Изменение типа аккаунта работает и в «Личном кабинете» — достаточно поменять вкладку «Персональный профиль» на вкладку с названием вашей организации, или наоборот.
Инфографика. Развитие электронных госуслуг в Алтайском крае
Иллюстрация: архив портала gosuslugi.ru
22-е место в России занимает Алтайский край по количеству заказанных гражданами федеральных госуслуг в электронной форме через портал «Госуслуги».
12-е место занимает Алтайский край по количеству региональных и муниципальных услуг, заказанных гражданами в электронной форме через портал «Госуслуги».
Источник: «Ростелеком». Данные получены на дату 27.08.2018.
Регистрация ИП через Госуслуги без ЭЦП: пошаговая инструкция
Зарегистрироваться в качестве индивидуального предпринимателя можно несколькими способами, но наиболее популярной становится процедура на сайте госуслуг. Стоит учитывать, что у этого процесса есть свои особенности и нюансы.
Как зарегистрировать ИП через госуслуги
На портале есть различные услуги. Можно ли зарегистрировать ИП – да, но только после полной регистрации. С положительной стороны можно отметить, что заявка обрабатывается в разы быстрее, чем на аналогичных сайтах. Но есть нюанс – придется собрать весь пакет документов перед тем, как зарегистрироваться. Это очень сильно увеличит скорость принятия решения. Сколько по времени проходит регистрация своего дела – стандарт три рабочих дня.
Также необходимо учитывать, что потребуется оплата госпошлины. Госпошлина за регистрацию ИП равна 800 рублям. Оплачивать ее потребуется уже при самом процессе регистрации. После этого реквизиты вписываются в требуемую графу.
Есть список предварительных дел, которые необходимо сделать, в том числе зарегистрироваться на самом сайте и сделать себе электронную почту. Стоит учитывать, что пройти процедуру можно и на других сервисах онлайн, но при обращении через портал можно использовать много полезных функций, в том числе работу с СЭЗ. Если подать заявление неправильно, возникнет ошибка отправки в ведомство. Есть несколько вариантов, которые помогут исправить возникшую ситуацию:
- Обращение на электронную почту сайта;
- Пройти регистрацию заново;
- Обратиться за разъяснениями в налоговый орган, при отсутствии ошибок.
Самостоятельно зарегистрировать ИП в Москве или другом крупном городе может любой предприниматель, но для этого не должно быть никаких нарушений и судебных взысканий, в том числе от налоговых органов. Причины отказа в регистрации обычно являются такими нарушениями. Но есть еще несколько вариантов:
- Лицо не имеет права на создание ИП (чиновники, военные, недееспособные)
- Отсутствие требуемого возраста;
- Нет разрешения на деятельность трудового характера на территории РФ;
- Наличие ошибок в заявлении;
- Нет лицензии на определенный тип бизнеса, например, медуслуги;
- Лицо банкрот или является ИП в статусе ликвидации;
- Наличие ИП;
- Неправильно собран и подан документационный пакет;
- Судебный запрет.
Справки все должны быть заверены и иметь полную информацию. Именно по этой причине сбор документационного пакета во многом определяет возможность отказа.
Регистрация ИП через госуслуги: пошаговая инструкция 2018 г
Регистрация имеет свой порядок, который необходимо соблюдать. Это позволит не упустить важных деталей и сделать все правильно.
Пошаговые действия:
- Регистрация на портала или авторизация, в зависимости от наличия аккаунта. Для того, чтобы зарегистрироваться потребуется несколько документов подтверждающих личность. Есть возможность пройти регистрацию в любом многофункциональном центре. Также для действий на портале потребуется подпись электронного типа. Стоит учитывать, что ее создание может занять до двух недель, поэтому об этом стоит позаботиться заранее;
- Заполнение заявления о желании регистрации в качестве предпринимателя индивидуального типа;
- Оплата госпошлины. Это можно сделать сразу на сайте с помощью банковских карт или онлайн-кошелька;
- Заявление требуется отправить, предварительно проверив на наличие ошибок. Статус рассмотрения можно видеть здесь же – на сайте. После завершения рассмотрения приходит результат. Выбор в виде заказного письма или вариант с электронной почтой выбирать можно самостоятельно. При положительном решении придет уведомление о необходимости посетить один из налоговых органов;
- В налоговой службе происходит получение документов, которые смогут подтвердить статус ИП.
Для того, чтобы зарегистрироваться потребуется несколько документов подтверждающих личность. Есть возможность пройти регистрацию в любом многофункциональном центре. Также для действий на портале потребуется подпись электронного типа. Стоит учитывать, что ее создание может занять до двух недель, поэтому об этом стоит позаботиться заранее;
При подаче заявления есть несколько условий, которые необходимы для получения положительного ответа. Сюда входит:
- Для заверения документов нужен нотариус, который имеет необходимый опыт;
- Все предварительные вопросы по регистрации лучше обсудить с работниками налоговой, так как в случае неучитывания определенных моментов может последовать отказ;
- Открыть расчетный счет можно сразу после утверждения ИП прямо на сайте;
- Попросить, чтобы с документационным пакетом выдали и уведомление о регистрации в ПФР, так как это значительно сократит время получение этого документа.
Через сайт получить ответ намного быстрее, чем через стандартные органы. Главной особенностью является предварительная подготовка, которая позволит получить ответ очень быстро. Чем больше процедур было проведено до регистрации, тем больше шансов на принятие положительного решения.
Регистрация ИП через госуслуги без электронной подписи
В первую очередь электронная подпись потребуется для ускорения процесса.
Если она отсутствует, то архив документационного пакета с документами будет не отправить вместе с заявлением. ЭЦП можно заменить самостоятельным походом с документами в ближайший орган по месту жительства.
То есть весь порядок регистрации остается тем же, за исключением того, что документационный пакет вместе с копией заявления должен быть доставлен в тот же день в налоговый орган по договоренности. Записаться на прием возможно также на потрале.
Документы
Документы имеют несколько особенностей при предоставлении их в налоговые органы. Сюда входит:
- Обязательное наличие заверенных ксерокопий;
- Правильное заполнение;
- Предоставление всей информации, то есть пакет документов должен быть полным, в противоположном случае потребуется дополнить его или придет отказ;
- Чем лучше документы подготовлены, тем проще налоги платить с УСН.
Документационный пакет является стандартным. Он включает в себя:
- Документы, которые подтверждают личность;
- Для иностранных лиц паспорт и наличие разрешения;
- Данные о месте проживания и регистрации;
- Квитанция о госпошлине;
- Все копии о семейном состоянии и наличие опекунов (если меньше 18 лет)
- Дополнительный пакет по требованию – справки об отсутствии судимости и наличии лицензирования.
Стоит учитывать, что налоговые органы могут запросить любой документ дополнительно, поэтому стоит заранее подготовиться. Также строго отправку документов требуется осуществлять в полноценном объеме.
Регистрация ИП через портал госуслуг является значительной экономией времени и сил. При желании можно очень быстро получить решение по запросу. Также необходимо учитывать, что к регистрации следует полностью подготовиться и всю процедуру произвести правильно, так как в противоположном случае возможен отказ.
Поделиться «Регистрация ИП через Госуслуги»
Юрист, эксперт по бухгалтерскому учету и налогообложениюБесплатная юридическая консультация по всей России по телефону: 8 (800) 555-67-55Доб. 416
Post Views: 461
пошаговая инструкция в 2020 году
Чтобы заниматься развитием бизнеса и не иметь проблем с фискальными и контролирующими органами новичку потребуется пройти процедуру регистрации индивидуального предпринимателя.
Самый простой способ — доверить процесс специализированным фирмам, которые под ключ оформят ИП. Помимо простоты, этот вариант и самый дорогой, но есть варианты, которые не потребуют существенных финансовых вливаний: поход в налоговую инспекцию, МФЦ () или портал Госуслуги. Тема сегодняшнего разговора – регистрация ИП через Госуслуги.
СодержаниеПоказать
Что нужно для открытия ИП через Госуслуги
- Первое, что нужно сделать, чтобы зарегистрировать бизнес — выбрать код деятельности по общероссийскому классификатору видов экономической деятельности (далее ОКВЭД). В ней перечислены все виды деятельности и за ними закреплен собственный номер.
- Выбрав основной код, можно добавить второстепенные, если планируете в будущем расширить бизнес.
- Определитесь с системой налогообложения (далее СН). Распространенными являются: УСН (упрощенная СН), ПСН (патентная СН), ОСНО (общая СН) и ЕНВД (единый налог на вменяемый доход).
- Получить ИНН, если не получали (легко сделать через МФЦ).
- Оплатить государственную пошлину. Сделайте это после оформления заявки на сайте Госуслуги (со скидкой) или воспользуйтесь сервисом ФНС.
- Процесс невозможен без ЭЦП. Подпись в электронном виде получается заранее, ею подкрепляется перечень бумаг, который будет направлен через сайт. Подпись в дальнейшем потребуется для подписи налоговых отчетов. Узнать, где заказать ЭЦП можно на Госуслугах.
В зависимости от ситуации список бумаг меняется. Но перечень документов в 2020 году такой:
- паспорт и его копия;
- заявка по форме об открытии ИП. Скачать бланк можно на нашем сайте, но при регистрации через портал он не нужен;
- чек, подтверждающий уплату пошлины;
- доверенность, если процесс курирует другой человек.
Как зарегистрировать ИП через Госуслуги: пошаговая инструкция
Итак, нужен компьютер, выход в интернет и аутентификация на Едином портале. Если вы не зарегистрированы — воспользуйтесь .
Шаг 1. Поиск услуги
На главной странице размещен список предоставляемых услуг. Здесь можно пойти двумя путями, нажать на раздел «Налоги и финансы» либо «Бизнес, предпринимательство, НКО», схема действий одинакова. Переходим в раздел и выбираем популярную услугу под названием «Регистрация юридических лиц и предпринимателей».
Нужную услуге найдем на следующей странице, в списке госуслуг, которые предоставляются в электронном виде. Сайт выдает подробную информации о сроках оформления, способах заполнения и размере госпошлины. Выбираем «Зарегистрироваться онлайн» и жмем «Получить услугу».
Выбираем какой статус планируем получить — индивидуальный предприниматель. В нашем случае сервис уведомляет, что доступны 3 типа заявок Р21001, Р24001 и Р26001. Жмем «Заполнить новое заявление». На следующей странице даем согласие на обработку персональных данных и выбираем первую строку (Р21001). Не забывайте обращать внимание на подсказки в правом верхнем углу, они помогут правильно пройти заполнение анкеты.
Шаг 2. Сведения о данных индивидуального предпринимателя
Заявка состоит из трех этапов. Первый – информация о будущем ИП. Сначала вводим паспортные данные, контакты и адрес проживания.
Затем сервис запрашивает сведения о будущем бизнесмене. Если ИНН не вписан при регистрации на портале, вносим его здесь. Вносим сведения из паспорта – ФИО, дату и место рождения, реквизиты удостоверения личности.
Проблема пула приложенийSP2016 — статьи TechNet — США (английский)
Недавно я обнаружил, что пул приложений останавливается при первом просмотре сайта. Сайт выдает ошибку 503 и недоступен. Я начинаю изучать и рыться в журналах по этому поводу. Так же, как установлен фоновый SharePoint 2016 на сервере Windows 2016.
Мое первое подозрение было связано с токеном безопасности, но его пул приложений также останавливается в момент просмотра веб-службы. Та же ошибка 503.Итак, я безуспешно ремонтировал и повторно инициализировал STA.
Итак, что создает эту проблему? К счастью, при проверке средства просмотра событий в разделе «Система» появляется предупреждение и ошибка WAS:
.«Пул приложений SecurityTokenServiceApplicationPool отключен. Служба активации Windows (WAS) не создала рабочий процесс для обслуживания пула приложений, так как идентификатор пула приложений недействителен ».
Следуют:
«Пул приложений SecurityTokenServiceApplicationPool отключен.Служба активации Windows (WAS) обнаружила сбой при запуске рабочего процесса для обслуживания пула приложений ».
Обычно хорошим решением этой проблемы было повторный ввод новой учетной записи и ввод пароля в расширенных параметрах пула приложений IIS, но на этот раз нет.
Итак, что же заставляет все пулы приложений останавливаться с первой попытки? Вот хорошая показательная причина из журналов:
«Идентификатор пула приложений SecurityTokenServiceApplicationPool недействителен.Имя пользователя или пароль, указанные для удостоверения, могут быть неправильными, или у пользователя могут отсутствовать права на пакетный вход. Если личность не исправлена, заявка пул будет отключен, когда пул приложений получит свой первый запрос. Если права на пакетный вход вызывают проблему, необходимо изменить удостоверение в хранилище конфигурации IIS после того, как права были предоставлены до службы активации Windows. (WAS) может повторить попытку входа в систему. Если удостоверение остается недействительным после обработки первого запроса для пула приложений, пул приложений будет отключен.Поле данных содержит номер ошибки ».
А, проверив Локальную политику безопасности, Локальную политику и назначение пользователя, вы найдете политику для «Входить в качестве пакетного задания», идентификационные данные ваших учетных записей приложений должны быть указаны ниже. После обновления правил будет полезно повторно ввести идентификационные данные пул приложений и выполните IISReset.
Это было исправление!
Настроить инфраструктуру для поддержки профилей сертификатов SCEP с Microsoft Intune — Azure
- 20 минут на чтение
В этой статье
Intune поддерживает использование простого протокола регистрации сертификатов (SCEP) для проверки подлинности подключений к вашим приложениям и корпоративным ресурсам.SCEP использует сертификат центра сертификации (CA) для защиты обмена сообщениями для запроса на подпись сертификата (CSR). Если ваша инфраструктура поддерживает SCEP, вы можете использовать профили сертификата Intune SCEP (тип профиля устройства в Intune) для развертывания сертификатов на ваших устройствах. Соединитель Microsoft Intune требуется для использования профилей сертификатов SCEP с Intune при использовании центра сертификации служб сертификации Active Directory. Коннектор не требуется при использовании сторонних центров сертификации.
Информация в этой статье может помочь вам настроить вашу инфраструктуру для поддержки SCEP при использовании служб сертификации Active Directory. После настройки инфраструктуры вы можете создавать и развертывать профили сертификатов SCEP с помощью Intune.
Предпосылки для использования SCEP для сертификатов
Перед тем как продолжить, убедитесь, что вы создали и развернули профиль доверенного сертификата на устройствах, которые будут использовать профили сертификатов SCEP. Профили сертификатов SCEP напрямую ссылаются на профиль доверенного сертификата, который вы используете для подготовки устройств с помощью сертификата доверенного корневого ЦС.
Серверы и роли серверов
Следующая локальная инфраструктура должна работать на серверах, которые присоединены к домену вашей Active Directory, за исключением прокси-сервера веб-приложения.
Центр сертификации — используйте центр сертификации предприятия (CA) служб сертификации Microsoft Active Directory, который работает в корпоративной версии Windows Server 2008 R2 с пакетом обновления 1 или более поздней версии. Версия Windows Server, которую вы используете, должна оставаться в поддержке Microsoft.Автономный ЦС не поддерживается. Для получения дополнительной информации см. Установка центра сертификации. Если ваш центр сертификации работает под управлением Windows Server 2008 R2 SP1, необходимо установить исправление из KB2483564.
Роль сервера NDES — необходимо настроить роль сервера службы регистрации сетевых устройств (NDES) в Windows Server 2012 R2 или более поздней версии. В следующем разделе этой статьи мы расскажем, как установить NDES.
- Сервер, на котором размещается NDES, должен быть присоединен к домену и находиться в том же лесу, что и ваш центр сертификации предприятия.
- Вы не можете использовать NDES, установленный на сервере, на котором размещен Enterprise CA.
- Вы установите Microsoft Intune Connector на том же сервере, на котором размещается NDES.
Чтобы узнать больше о NDES, см. Руководство по службе регистрации сетевых устройств в документации Windows Server и Использование модуля политики со службой регистрации сетевых устройств.
Microsoft Intune Connector — Microsoft Intune Connector требуется для использования профилей сертификатов SCEP с Intune.Эта статья поможет вам установить этот соединитель.
Разъем поддерживает режим Федерального стандарта обработки информации (FIPS). FIPS не требуется, но когда он включен, вы можете выдавать и отзывать сертификаты.
- Соединитель имеет те же сетевые требования, что и управляемые устройства.
- Соединитель должен работать на том же сервере, что и роль сервера NDES, сервере под управлением Windows Server 2012 R2 или более поздней версии.
- Для соединителя требуется .NET 4.5 Framework, которая автоматически включается в Windows Server 2012 R2. Конфигурация усиленной безопасности
- Internet Explorer должна быть отключена на сервере, на котором размещены NDES и Microsoft Intune Connector.
Поддержка NDES в Интернете
Чтобы разрешить устройствам в Интернете получать сертификаты, вы должны опубликовать URL-адрес NDES за пределами вашей корпоративной сети. Для этого можно использовать прокси-сервер приложения Azure AD или прокси-сервер веб-приложений . Вы также можете использовать другой обратный прокси по вашему выбору.
Прокси приложения Azure AD — вы можете использовать прокси приложения Azure AD вместо выделенного прокси-сервера веб-приложения (WAP) для публикации своего URL-адреса NDES в Интернете. Это позволяет устройствам, подключенным к интрасети и Интернету, получать сертификаты. Дополнительные сведения см. В разделе «Интеграция с прокси-сервером приложения Azure AD на сервере службы регистрации сетевых устройств (NDES)».
Прокси-сервер веб-приложения — Используйте сервер под управлением Windows Server 2012 R2 или более поздней версии в качестве прокси-сервера веб-приложения (WAP) для публикации URL-адреса NDES в Интернете.Это позволяет устройствам, подключенным к интрасети и Интернету, получать сертификаты.
Сервер, на котором размещается WAP, должен установить обновление, которое включает поддержку длинных URL-адресов, используемых службой регистрации сетевых устройств. Это обновление включено в накопительный пакет обновления за декабрь 2014 г. или отдельно из KB3011135.
WAP-сервер должен иметь сертификат SSL, который соответствует имени, опубликованному для внешних клиентов, и доверять сертификату SSL, который используется на компьютере, на котором размещена служба NDES.Эти сертификаты позволяют серверу WAP разорвать SSL-соединение от клиентов и создать новое SSL-соединение со службой NDES.
Для получения дополнительной информации см. Планирование сертификатов для WAP и общую информацию о серверах WAP.
Счета
Учетная запись службы NDES — Перед настройкой NDES определите учетную запись пользователя домена для использования в качестве учетной записи службы NDES. Вы укажете эту учетную запись при настройке шаблонов в выпускающем ЦС, прежде чем настраивать NDES.
Эта учетная запись должна иметь следующие права на сервере, на котором размещается NDES:
- Локальный вход
- Войти как услуга
- Вход в систему как пакетное задание
Дополнительные сведения см. В разделе Создание учетной записи пользователя домена для работы в качестве учетной записи службы NDES.
Доступ к компьютеру, на котором размещена служба NDES. — Вам потребуется учетная запись пользователя домена с разрешениями для установки и настройки ролей сервера Windows на сервере, на котором вы устанавливаете NDES.
Доступ к центру сертификации. — Вам понадобится учетная запись пользователя домена с правами для управления центром сертификации.
Требования к сети
Мы рекомендуем публиковать службу NDES через обратный прокси-сервер, например прокси-сервер приложения Azure AD, прокси-сервер веб-доступа или сторонний прокси. Если вы не используете обратный прокси-сервер, разрешите трафик TCP на порт 443 со всех хостов и IP-адресов в Интернете для службы NDES.
Разрешить все порты и протоколы, необходимые для связи между службой NDES и любой поддерживающей инфраструктурой в вашей среде. Например, компьютер, на котором размещена служба NDES, должен взаимодействовать с центром сертификации, DNS-серверами, контроллерами домена и, возможно, другими службами или серверами в вашей среде, такими как Configuration Manager.
Сертификаты и шаблоны
При использовании SCEP используются следующие сертификаты и шаблоны.
| Объект | Детали |
|---|---|
| Шаблон сертификата SCEP | Шаблон, который вы настроите в выпускающем ЦС, который будет использоваться для выполнения запросов SCEP устройств. |
| Сертификат аутентификации клиента | Запрошено из вашего центра сертификации или общедоступного центра сертификации. Вы устанавливаете этот сертификат на компьютер, на котором размещена служба NDES, и он используется соединителем Microsoft Intune Connector. Если в сертификате установлен клиент , и проверка подлинности сервера Использование ключей ( Enhanced Key Usages ) в шаблоне CA, который вы используете для выдачи этого сертификата. Затем вы можете использовать один и тот же сертификат для аутентификации сервера и клиента. |
| Сертификат аутентификации сервера | Сертификат веб-сервера, запрошенный из выдающего ЦС или общедоступного ЦС. Вы устанавливаете и привязываете этот сертификат SSL в IIS на компьютере, на котором размещается NDES. Если в сертификате установлен клиент , и проверка подлинности сервера Использование ключей ( Enhanced Key Usages ) в шаблоне CA, который вы используете для выдачи этого сертификата. Затем вы можете использовать один и тот же сертификат для аутентификации сервера и клиента. |
| Сертификат доверенного корневого центра сертификации | Чтобы использовать профиль сертификата SCEP, устройства должны доверять вашему доверенному корневому центру сертификации (CA). Используйте профиль доверенного сертификата в Intune, чтобы предоставить сертификат доверенного корневого ЦС пользователям и устройствам. – Используйте один сертификат доверенного корневого ЦС для каждой платформы операционной системы и свяжите этот сертификат с каждым создаваемым профилем доверенного сертификата. — При необходимости можно использовать дополнительные сертификаты доверенного корневого ЦС.Например, вы можете использовать дополнительные сертификаты для обеспечения доверия центру сертификации, который подписывает сертификаты аутентификации сервера для ваших точек доступа Wi-Fi. Создайте дополнительные сертификаты доверенного корневого ЦС для выдающих ЦС. В профиле сертификата SCEP, который вы создаете в Intune, обязательно укажите профиль доверенного корневого ЦС для выдающего ЦС. Сведения о профиле доверенного сертификата см. В разделах Экспорт сертификата доверенного корневого ЦС и Создание профилей доверенных сертификатов в Использование сертификатов для проверки подлинности в Intune . |
Настроить центр сертификации
В следующих разделах вы:
- Настройте и опубликуйте необходимый шаблон для NDES
- Установите необходимые разрешения для отзыва сертификата.
В следующих разделах требуется знание Windows Server 2012 R2 или более поздней версии, а также служб сертификации Active Directory (AD CS).
Доступ к выпускающему CA
Войдите в свой выдающий ЦС с учетной записью домена с правами, достаточными для управления ЦС.
Откройте консоль управления Microsoft Management Console (MMC) центра сертификации. Либо Запустите ‘certsrv.msc’, либо в Server Manager щелкните Инструменты , а затем щелкните Центр сертификации .
Выберите узел Шаблоны сертификатов , щелкните Действие > Управление .
Создайте шаблон сертификата SCEP
Создайте шаблон сертификата v2 (с совместимостью с Windows 2003) для использования в качестве шаблона сертификата SCEP.Вы можете:
- Используйте оснастку Certificate Templates для создания нового настраиваемого шаблона.
- Скопируйте существующий шаблон (например, шаблон веб-сервера), а затем обновите копию для использования в качестве шаблона NDES.
Настройте следующие параметры на указанных вкладках шаблона:
Сохраните шаблон сертификата.
Создать шаблон сертификата клиента
Соединитель Microsoft Intune требует сертификата с Client Authentication Enhanced Key Usage и Subject name, равными FQDN компьютера, на котором установлен соединитель.Требуется шаблон со следующими свойствами:
- Расширения > Политики приложений должны содержать Проверка подлинности клиента
- Имя субъекта > Поставка в запросе .
Если у вас уже есть шаблон, который включает эти свойства, вы можете использовать его повторно, в противном случае создайте новый шаблон, скопировав существующий или создав собственный шаблон.
Создайте шаблон сертификата сервера
Для связи между управляемыми устройствами и IIS на сервере NDES используется протокол HTTPS, который требует использования сертификата.Вы можете использовать шаблон сертификата веб-сервера для выдачи этого сертификата. Или, если вы предпочитаете иметь специальный шаблон, требуются следующие свойства:
- Расширения > Политики приложений должны содержать Проверка подлинности сервера
- Имя субъекта > Поставка в запросе .
Примечание
Если у вас есть сертификат, который удовлетворяет обоим требованиям шаблонов сертификатов клиента и сервера, вы можете использовать один сертификат как для IIS, так и для Microsoft Intune Connector.
Предоставить разрешения для отзыва сертификата
Чтобы Intune могла отзывать сертификаты, которые больше не требуются, необходимо предоставить разрешения в центре сертификации.
В соединителе Microsoft Intune вы можете использовать системную учетную запись сервера NDES или определенную учетную запись, такую как служебная учетная запись NDES .
На консоли центра сертификации щелкните правой кнопкой мыши имя CA и выберите Properties .
На вкладке Безопасность щелкните Добавить .
Grant Выпуск сертификатов и управление ими разрешение:
- Если вы решите использовать системную учетную запись сервера NDES , предоставьте разрешения для сервера NDES.
- Если вы решите использовать учетную запись службы NDES , предоставьте разрешения для этой учетной записи.
Изменить срок действия шаблона сертификата
Изменить срок действия шаблона сертификата необязательно.
После создания шаблона сертификата SCEP его можно отредактировать, чтобы просмотреть период действия на вкладке Общие .
По умолчанию Intune использует значение, настроенное в шаблоне, но вы можете настроить ЦС, чтобы позволить запрашивающей стороне вводить другое значение, чтобы это значение можно было установить из консоли Intune.
Планируйте использовать срок действия пять дней или больше. Когда срок действия составляет менее пяти дней, высока вероятность того, что сертификат перейдет в состояние, близкое к истечению или с истекшим сроком действия, что может привести к тому, что агент MDM на устройствах отклонит сертификат до его установки.
Важно
Для iOS / iPadOS и macOS всегда используйте значение, заданное в шаблоне.
Чтобы настроить значение, которое можно установить из консоли Intune
В центре сертификации выполните следующие команды:
certutil -setreg Policy \ EditFlags + EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvcВ выпускающем ЦС используйте оснастку центра сертификации для публикации шаблона сертификата.Выберите узел Шаблоны сертификатов , выберите действие > Новый > Шаблон сертификата для выпуска , а затем выберите шаблон сертификата, созданный в предыдущем разделе.
Убедитесь, что шаблон опубликован, просмотрев его в папке Шаблоны сертификатов .
Настроить NDES
Следующие ниже процедуры помогут настроить службу регистрации сетевых устройств (NDES) для использования с Intune.Для получения дополнительной информации о NDES см. Руководство по службе регистрации сетевых устройств.
Установите службу NDES
На сервере, на котором будет размещена служба NDES, войдите в систему как Enterprise Administrator , а затем с помощью мастера добавления ролей и компонентов установите NDES:
В мастере выберите Службы сертификации Active Directory , чтобы получить доступ к службам ролей AD CS. Выберите Network Device Enrollment Service , снимите флажок Certification Authority и завершите работу мастера.
Подсказка
В Процесс установки не выбирайте Закройте . Вместо этого выберите Настроить службы сертификации Active Directory на целевом сервере . Откроется мастер настройки AD CS , который вы будете использовать для следующей процедуры в этой статье: Настройка службы NDES . После открытия конфигурации AD CS вы можете закрыть мастер добавления ролей и компонентов.
Когда NDES добавляется на сервер, мастер также устанавливает IIS.Убедитесь, что IIS имеет следующие конфигурации:
Веб-сервер > Безопасность > Фильтрация запросов
Веб-сервер > Разработка приложений > ASP.NET 3.5
При установке ASP.NET 3.5 устанавливается .NET Framework 3.5. При установке .NET Framework 3.5 установите как базовую функцию .NET Framework 3.5 , так и HTTP-активацию .
Веб-сервер > Разработка приложений > ASP.НЕТТО 4,5
При установке ASP.NET 4.5 устанавливается .NET Framework 4.5. При установке .NET Framework 4.5 установите базовую функцию .NET Framework 4.5 , ASP.NET 4.5 и функцию WCF Services > HTTP Activation .
Инструменты управления > Совместимость управления с IIS 6 > Совместимость с метабазами IIS 6
Инструменты управления > Совместимость управления с IIS 6 > Совместимость с IIS 6 WMI
На сервере добавьте учетную запись службы NDES в качестве члена локальной группы IIS_IUSR .
На компьютере, на котором размещена служба NDES, выполните следующую команду в командной строке с повышенными привилегиями. Следующая команда устанавливает SPN учетной записи службы NDES:
setspn -s http /<Имя домена> \ <Имя учетной записи службы NDES> Например, если компьютер, на котором размещена служба NDES, называется Server01 , ваш домен — Contoso.com , а учетная запись службы — NDESService , используйте:
setspn –s http / Server01.contoso.com contoso \ NDESService
Настроить службу NDES
На компьютере, на котором размещена служба NDES, откройте мастер AD CS Configuration , а затем выполните следующие обновления:
Подсказка
Если вы продолжите с последней процедуры и нажали Настроить службы сертификации Active Directory на целевом сервере , этот мастер уже должен быть открыт.В противном случае откройте диспетчер сервера, чтобы получить доступ к конфигурации после развертывания для служб сертификации Active Directory.
- В Role Services выберите Network Device Enrollment Service .
- В учетной записи службы для NDES укажите учетную запись службы NDES.
- В ЦС для NDES щелкните Выберите , а затем выберите центр сертификации, в котором вы настроили шаблон сертификата.
- В Криптография для NDES установите длину ключа в соответствии с требованиями вашей компании.
- В Подтверждение выберите Настроить , чтобы завершить работу мастера.
После завершения работы мастера обновите следующий раздел реестра на компьютере, на котором размещена служба NDES:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MSCEP \Чтобы обновить этот ключ, укажите Цель шаблонов сертификатов (находится на вкладке Обработка запросов ). Затем обновите соответствующую запись реестра, заменив существующие данные на имя шаблона сертификата (не отображаемое имя шаблона), указанное вами при создании шаблона сертификата.
В следующей таблице назначение шаблона сертификата сопоставляется со значениями в реестре:
Шаблон сертификата Назначение (на вкладке Обработка запросов) Значение реестра для редактирования Значение, отображаемое в консоли администратора Intune для профиля SCEP Подпись Подпись Шаблон Цифровая подпись Шифрование EncryptionTemplate Шифрование ключа Подпись и шифрование Шаблон общего назначения Шифрование ключа
Цифровая подписьНапример, если цель вашего шаблона сертификата — Encryption , измените значение EncryptionTemplate , чтобы оно было именем вашего шаблона сертификата.
Настройте фильтрацию запросов IIS, чтобы добавить в IIS поддержку длинных URL-адресов (запросов), которые получает служба NDES.
В диспетчере IIS выберите Веб-сайт по умолчанию > Фильтрация запросов > Изменить параметр функции , чтобы открыть страницу Изменить параметры фильтрации запроса .
Настройте следующие параметры:
- Максимальная длина URL (байты) = 65534
- Максимальная строка запроса (байты) = 65534
Выберите OK , чтобы сохранить эту конфигурацию и закрыть диспетчер IIS.
Проверьте эту конфигурацию, просмотрев следующий раздел реестра, чтобы убедиться, что он имеет указанные значения:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ HTTP \ ParametersСледующие значения установлены как записи DWORD:
- Имя: MaxFieldLength , с десятичным значением 65534
- Имя: MaxRequestBytes , с десятичным значением 65534
Перезапустите сервер, на котором размещена служба NDES.Не используйте iisreset ; iireset не вносит необходимых изменений.
Перейдите к http: // Server_FQDN /certsrv/mscep/mscep.dll . Вы должны увидеть страницу NDES, подобную следующему изображению:
Если веб-адрес возвращает 503 Служба недоступна , проверьте программу просмотра событий компьютера. Эта ошибка обычно возникает, когда пул приложений остановлен из-за отсутствия разрешения для учетной записи службы NDES.
Установка и привязка сертификатов на сервере, на котором размещается NDES
На сервере NDES есть два сертификата, которые требуются для конфигурации. Эти сертификаты: Сертификат проверки подлинности клиента и Сертификат проверки подлинности сервера , как указано в разделе «Сертификаты и шаблоны».
Подсказка
В следующей процедуре вы можете использовать один сертификат как для проверки подлинности сервера , и проверки подлинности клиента , если этот сертификат настроен для соответствия критериям обоих вариантов использования.Что касается имени субъекта, оно должно соответствовать требованиям сертификата аутентификации клиента .
Сертификат аутентификации клиента
Этот сертификат используется во время установки Microsoft Intune Connector.
Запросите и установите сертификат проверки подлинности клиента из внутреннего ЦС или общедоступного центра сертификации.
Сертификат должен соответствовать следующим требованиям:
- Использование расширенного ключа : это значение должно включать Проверка подлинности клиента .
- Имя субъекта : Установите CN (общее имя) со значением, которое должно быть равно полному доменному имени сервера, на котором вы устанавливаете сертификат (сервер NDES).
Сертификат аутентификации сервера
Этот сертификат используется в IIS. Это простой сертификат веб-сервера, который позволяет клиенту доверять URL-адресу NDES.
Запросите сертификат проверки подлинности сервера у внутреннего центра сертификации или общедоступного центра сертификации, а затем установите сертификат на сервере.
В зависимости от того, как вы предоставляете NDES доступ в Интернет, существуют разные требования.
Хорошая конфигурация:
- A Имя субъекта : Установите CN (общее имя) со значением, которое должно быть равно полному доменному имени сервера, на котором вы устанавливаете сертификат (сервер NDES).
- A Альтернативное имя субъекта : Установите записи DNS для каждого URL-адреса, на который отвечает ваш NDES, например для внутреннего FQDN и внешних URL-адресов.
Примечание
Если вы используете прокси-сервер приложения Azure AD, соединитель прокси-сервера приложения AAD будет переводить запросы с внешнего URL-адреса на внутренний URL-адрес.Таким образом, NDES будет отвечать только на запросы, направленные на внутренний URL-адрес, обычно на полное доменное имя сервера NDES.
В этой ситуации внешний URL-адрес не требуется.
Привязать сертификат проверки подлинности сервера в IIS:
После установки сертификата проверки подлинности сервера откройте IIS Manager и выберите веб-сайт по умолчанию . На панели Действия выберите Привязки .
Выберите Добавить , установите Тип на https , а затем подтвердите, что порт — 443 .
Для сертификата SSL укажите сертификат аутентификации сервера.
Установите соединитель Microsoft Intune
Соединитель Microsoft Intune устанавливается на сервере, на котором работает служба NDES. Не поддерживается использование NDES или Microsoft Intune Connector на том же сервере, что и ваш выдающий центр сертификации (CA).
Для установки соединителя сертификатов
Войдите в центр администрирования Microsoft Endpoint Manager.
Выберите Администрирование клиента > Соединители и токены > Соединители сертификата > Добавьте .
Загрузите и сохраните коннектор для файла SCEP. Сохраните его в месте, доступном с сервера, на котором вы собираетесь установить коннектор.
После завершения загрузки перейдите на сервер, на котором размещена роль службы регистрации сетевых устройств (NDES). Тогда:
Подтвердите это.NET 4.5 Framework установлена, поскольку это требуется для Microsoft Intune Connector. .NET 4.5 Framework автоматически включается в Windows Server 2012 R2 и более новые версии.
Используйте учетную запись с правами администратора на сервере для запуска установщика ( NDESConnectorSetup.exe ). Программа установки также устанавливает модуль политики для NDES и веб-службы точки регистрации сертификатов (CRP) IIS. Веб-служба CRP, CertificateRegistrationSvc , работает как приложение в IIS.
При установке NDES для автономного Intune служба CRP автоматически устанавливается вместе с соединителем сертификатов.
При запросе сертификата клиента для соединителя сертификатов выберите Выберите и выберите сертификат для проверки подлинности клиента , который вы установили на сервере NDES на шаге № 3 процедуры. Установите и привяжите сертификаты на сервере, на котором размещается NDES, из ранее в этой статье.
После выбора сертификата проверки подлинности клиента вы вернетесь на поверхность ** Сертификат клиента для Microsoft Intune Connector **.Хотя выбранный вами сертификат не отображается, выберите Далее , чтобы просмотреть свойства этого сертификата. Выберите Далее , а затем Установить .
Примечание
Перед запуском соединителя Microsoft Intune Connector необходимо внести следующие изменения для клиентов GCC High.
Внесите изменения в два файла конфигурации, перечисленные ниже, которые обновят конечные точки службы для среды GCC High. Обратите внимание, что эти обновления изменяют URI с .com с по .us суффиксы . Всего существует три обновления URI, два обновления в файле конфигурации NDESConnectorUI.exe.config и одно обновление в файле NDESConnector.exe.config.
Имя файла:
\ Microsoft Intune \ NDESConnectorUI \ NDESConnectorUI.exe.config Пример: (% programfiles% \ Microsoft Intune \ NDESConnectorUI \ NDESConnectorUI.exe.config)
Имя файла:
\ Microsoft Intune \ NDESConnectorSvc \ NDESConnector.exe.config Пример: (% programfiles% \ Microsoft Intune \ NDESConnectorSvc \ NDESConnector.exe.config)
Если эти изменения не будут завершены, клиенты GCC High получат сообщение об ошибке: «Доступ запрещен» «У вас нет прав для просмотра этой страницы»
После завершения работы мастера, но до закрытия мастера, Запустите интерфейс коннектора сертификатов .
Если закрыть мастер перед запуском пользовательского интерфейса соединителя сертификатов, его можно снова открыть, выполнив следующую команду:
<путь_установки> \ NDESConnectorUI \ NDESConnectorUI.exe
В соединителе сертификатов UI:
Выберите Войти и введите свои учетные данные администратора службы Intune или учетные данные администратора клиента с разрешением глобального администрирования.
Используемой учетной записи должна быть назначена действующая лицензия Intune.
После входа в систему Microsoft Intune Connector загружает сертификат из Intune. Этот сертификат используется для проверки подлинности между соединителем и Intune.Если у используемой учетной записи нет лицензии Intune, соединителю (NDESConnectorUI.exe) не удается получить сертификат от Intune.
Если ваша организация использует прокси-сервер и прокси-сервер необходим для доступа к Интернету сервера NDES, выберите Использовать прокси-сервер . Затем введите имя прокси-сервера, порт и учетные данные для подключения.
Выберите вкладку Advanced , а затем введите учетные данные для учетной записи, которая имеет разрешение Issue and Manage Certificates в выпускающем центре сертификации. Примените свои изменения.
Теперь вы можете закрыть пользовательский интерфейс соединителя сертификатов.
Откройте командную строку, введите services.msc , а затем Введите . Щелкните правой кнопкой мыши службу соединителя Intune > Перезапустите .
Чтобы убедиться, что служба запущена, откройте браузер и введите следующий URL-адрес. Он должен вернуть ошибку 403 : https: //
Примечание
Соединитель Microsoft Intune поддерживает TLS 1.2. Если сервер, на котором размещен соединитель, поддерживает TLS 1.2, используется TLS 1.2. Если сервер не поддерживает TLS 1.2, используется TLS 1.1.
Следующие шаги
Создание профиля сертификата SCEP
Устранение проблем с соединителем Microsoft Intune
4771 (F) Ошибка предварительной аутентификации Kerberos. (Windows 10) — Безопасность Windows
- 11 минут на чтение
В этой статье
Применимо к
- Windows 10
- Windows Server 2016
Подкатегория: Аудит службы проверки подлинности Kerberos
Описание события:
Это событие генерируется каждый раз, когда Центру распространения ключей не удается выдать билет предоставления билетов Kerberos (TGT).Эта проблема может возникать, если на контроллере домена не установлен сертификат для проверки подлинности смарт-карты (например, с шаблоном «Контроллер домена» или «Проверка подлинности контроллера домена»), срок действия пароля пользователя истек или введен неверный пароль. .
Это событие генерируется только на контроллерах домена.
Это событие не генерируется, если для учетной записи установлен параметр «Не требовать предварительной проверки подлинности Kerberos».
Примечание Для получения рекомендаций см. Рекомендации по мониторингу безопасности для этого события.
XML события:
- <Событие xmlns = "http://schemas.microsoft.com/win/2004/08/events/event">
- <Система>
4771
0
0
14339
0
0x8010000000000000
166708
<Корреляция />
Безопасность
DC01.contoso.local
<Безопасность />
-
папа
S-1-5-21-3457937927-28394-823803824-1104
krbtgt / CONTOSO.LOCAL
0x40810010
0x10
15
:: ffff: 10.0.0.12
49254
Требуемые роли сервера: Контроллер домена Active Directory.
Минимальная версия ОС: Windows Server 2008.
Версии событий: 0.
Описание полей:
Информация об аккаунте:
Идентификатор безопасности [Type = SID] : SID объекта учетной записи, для которого был запрошен билет (TGT).Средство просмотра событий автоматически пытается разрешить SID и отобразить имя учетной записи. Если SID не может быть разрешен, вы увидите исходные данные в событии.
Например: CONTOSO \ dadmin или CONTOSO \ WIN81 $.
Примечание Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверенного лица (участника безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, который выдается центром, например контроллером домена Active Directory, и хранится в базе данных безопасности.Каждый раз, когда пользователь входит в систему, система извлекает SID этого пользователя из базы данных и помещает его в маркер доступа для этого пользователя. Система использует SID в токене доступа для идентификации пользователя во всех последующих взаимодействиях с безопасностью Windows. Когда SID использовался в качестве уникального идентификатора для пользователя или группы, он больше не может использоваться для идентификации другого пользователя или группы. Дополнительные сведения об идентификаторах безопасности см. В разделе Идентификаторы безопасности.
Сервисная информация:
Сетевая информация:
Адрес клиента [Type = UnicodeString] : IP-адрес компьютера, с которого был получен запрос TGT.Вот несколько примеров форматов:
IPv6 или IPv4 адрес.
:: ffff: IPv4_адрес .
:: 1 — локальный.
Порт клиента [Type = UnicodeString]: номер порта источника клиентского сетевого подключения (соединение запроса TGT).
- 0 для локальных (localhost) запросов.
Дополнительная информация:
Примечание В таблице ниже «MSB 0» используется нумерация битов, поскольку в документах RFC используется этот стиль.В стиле «MSB 0» нумерация битов начинается слева.
Наиболее распространенные значения:
0x40810010 — возможность пересылки, возобновляемая, каноническая, возобновляемая-ok
0x40810000 — возможность пересылки, возобновляемая, канонизация
0x60810010 — Перенаправляемый, Перенаправляемый, Возобновляемый, Канонизация, Возобновляемый-ok
Бит Название флага Описание 0 Зарезервировано – 1 Передача (только TGT).Сообщает службе выдачи билетов, что она может выдать новый TGT — на основе представленного TGT — с другим сетевым адресом на основе представленного TGT. 2 Отправлено Указывает, что либо TGT был перенаправлен, либо билет был выпущен из перенаправленного TGT. 3 Возможность проксирования (только TGT). Сообщает службе выдачи билетов, что она может выпускать билеты с сетевым адресом, который отличается от адреса в TGT. 4 Прокси Указывает, что сетевой адрес в билете отличается от адреса в TGT, используемом для получения билета. 5 Allow-postdate Публикуемые билеты НЕ ДОЛЖНЫ поддерживаться в KILE (расширение протокола Microsoft Kerberos). 6 Дата публикации Публикуемые билеты НЕ ДОЛЖНЫ поддерживаться в KILE (расширение протокола Microsoft Kerberos). 7 Неверно Этот флаг указывает, что билет недействителен и перед использованием он должен быть подтвержден KDC.Серверы приложений должны отклонять билеты, для которых установлен этот флаг. 8 Возобновляемый Используется в сочетании с полями «Время окончания» и «Продлить до», чтобы вызвать периодическое продление билетов с длительным сроком службы в KDC. 9 Начальный Указывает, что билет был выпущен с использованием обмена службой аутентификации (AS), а не выпущен на основе TGT. 10 Предварительная аутентификация Указывает, что клиент был аутентифицирован KDC перед выдачей билета.Этот флаг обычно указывает на наличие аутентификатора в билете. Он также может отмечать наличие учетных данных, полученных при входе в систему со смарт-картой. 11 Opt-hardware-auth Этот флаг изначально предназначался для обозначения того, что во время предварительной аутентификации использовалась аппаратная аутентификация. Этот флаг больше не рекомендуется в протоколе Kerberos V5. KDC НЕ ДОЛЖНЫ выпускать билет с установленным этим флагом. KDC НЕ ДОЛЖНЫ сохранять этот флаг, если он установлен другим KDC. 12 Проверено политикой транзита KILE НЕ ДОЛЖЕН проверять транзитные домены на серверах или KDC. Серверы приложений ДОЛЖНЫ игнорировать флаг TRANSITED-POLICY-CHECKED. 13 Допустим в качестве делегата KDC ДОЛЖЕН установить флаг OK-AS-DELEGATE, если учетная запись службы доверена для делегирования. 14 Запрос-анонимный KILE не использует этот флаг. 15 Каноническое имя Чтобы запросить отсылки, клиент Kerberos ДОЛЖЕН явно запросить параметр KDC «канонизировать» для AS-REQ или TGS-REQ. 16-25 Не используется – 26 Отключено-пройдено-проверка По умолчанию KDC будет проверять пройденное поле TGT на соответствие политике локальной области, прежде чем он выдаст производные билеты на основе TGT. Если в запросе установлен этот флаг, проверка пройденного поля отключена. Билеты, выпущенные без выполнения этой проверки, будут отмечены значением сброса (0) флага TRANSITED-POLICY-CHECKED, указывающим серверу приложений, что переданное поле должно быть проверено локально.KDC приветствуются, но не обязаны учитывать параметр
DISABLE-TRANSITED-CHECK.
Не должен использоваться, потому что флаг Transited-policy-selected не поддерживается KILE. 27 Возобновляемые источники энергии Опция RENEWABLE-OK указывает, что возобновляемый билет будет приемлемым, если билет с запрошенным сроком действия не может быть предоставлен иным образом, и в этом случае возобновляемый билет может быть выпущен с периодом продления, равным запрошенному времени окончания. Значение поля «продление до» может по-прежнему ограничиваться локальными лимитами или лимитами, выбранными отдельным принципалом или сервером. 28 Enc-tkt-in-skey Нет информации. 29 Не используется – 30 Обновить Параметр RENEW указывает, что текущий запрос предназначен для продления. Предоставленный билет зашифрован секретным ключом сервера, на котором он действителен. Эта опция будет учтена только в том случае, если для продлеваемого билета установлен флаг RENEWABLE и если время в его поле возобновления до не прошло.Обновляемый билет передается в поле padata как часть заголовка аутентификации. 31 Подтвердить Эта опция используется только службой выдачи билетов. Параметр VALIDATE указывает, что запрос предназначен для проверки билета с заданной датой. Не должны использоваться, потому что билеты с датой публикации не поддерживаются KILE.
Таблица 6. Флаги билета Kerberos.
- Код ошибки [Type = HexInt32] : шестнадцатеричный код ошибки неудачной операции по выдаче TGT.В таблице ниже содержится список наиболее распространенных кодов ошибок для этого события:
Код Кодовое имя Описание Возможные причины 0x10 KDC_ERR_PADATA_TYPE_NOSUPP KDC не поддерживает тип PADATA (данные предварительной аутентификации) Предпринята попытка входа со смарт-картой, и не удается найти нужный сертификат. Эта проблема может возникнуть из-за того, что запрашивается неправильный центр сертификации (ЦС) или невозможно связаться с надлежащим ЦС, чтобы получить сертификаты проверки подлинности контроллера домена или контроллера домена для контроллера домена.
Это также может произойти, если на контроллере домена не установлен сертификат для смарт-карт (шаблоны проверки подлинности контроллера домена или контроллера домена). 0x17 KDC_ERR_KEY_EXPIRED Срок действия пароля истек — измените пароль, чтобы сбросить его Срок действия пароля пользователя истек. 0x18 KDC_ERR_PREAUTH_FAILED Информация предварительной аутентификации недействительна Был введен неверный пароль.
- Тип предварительной аутентификации [Type = UnicodeString]: код типа предварительной аутентификации, который использовался в запросе TGT.
## Таблица 5. Типы предварительной аутентификации Kerberos. Тип Название типа Описание 0 – Вход в систему без предварительной аутентификации. 2 PA-ENC-TIMESTAMP Этот тип нормален для стандартной парольной аутентификации. 11 PA-ETYPE-INFO Тип предварительной аутентификации ETYPE-INFO отправляется KDC в сообщении KRB-ERROR, указывающем на необходимость дополнительной предварительной аутентификации. Обычно он используется для уведомления клиента о том, какой ключ использовать для шифрования зашифрованной отметки времени с целью отправки значения предварительной аутентификации PA-ENC-TIMESTAMP.
Никогда не видел этот тип предварительной аутентификации в среде Microsoft Active Directory. 15 PA-PK-AS-REP_OLD Используется для аутентификации при входе со смарт-картой. 16 PA-PK-AS-REQ Запрос отправлен в KDC в сценариях проверки подлинности смарт-карты. 17 PA-PK-AS-REP Этот тип также следует использовать для проверки подлинности смарт-карты, но в некоторых средах Active Directory он никогда не отображается. 19 PA-ETYPE-INFO2 Тип предварительной аутентификации ETYPE-INFO2 отправляется KDC в сообщении KRB-ERROR, указывающем на необходимость дополнительной предварительной аутентификации.Обычно он используется для уведомления клиента о том, какой ключ использовать для шифрования зашифрованной отметки времени с целью отправки значения предварительной аутентификации PA-ENC-TIMESTAMP.
Никогда не видел этот тип предварительной аутентификации в среде Microsoft Active Directory. 20 PA-SVR-REFERRAL-INFO Используется в билетах рефералов KDC. 138 PA-ENCRYPTED-CHALLENGE Войдите в систему с использованием защиты Kerberos (FAST). Поддерживается начиная с контроллеров домена Windows Server 2012 и клиентов Windows 8. — Этот тип отображается в событиях «Ошибка аудита».
Информация о сертификате:
Имя издателя сертификата [Type = UnicodeString] : имя центра сертификации, выдавшего сертификат смарт-карты. Заселено в Выдано поле в справке. Всегда пусто на 4771 событие.
Серийный номер сертификата [Type = UnicodeString] : Серийный номер сертификата смарт-карты.Его можно найти в поле Серийный номер сертификата. Всегда пусто на 4771 событие.
Отпечаток сертификата [Type = UnicodeString] : Отпечаток сертификата смарт-карты. Можно найти в поле Thumbprint сертификата. Всегда пусто на 4771 событие.
Рекомендации по мониторингу безопасности
Для 4771 (F): ошибка предварительной аутентификации Kerberos.
Требуемый тип контроля Рекомендация Учетные записи с высокой стоимостью : У вас могут быть доменные или локальные учетные записи с высокой стоимостью, для которых вам нужно отслеживать каждое действие.
Примерами важных учетных записей являются администраторы баз данных, встроенная учетная запись локального администратора, администраторы домена, учетные записи служб, учетные записи контроллеров домена и т. Д. Отслеживайте это событие с помощью «Security ID» , который соответствует высокодоходной учетной записи или учетным записям. Аномалии или вредоносные действия : у вас могут быть особые требования для обнаружения аномалий или мониторинга потенциальных вредоносных действий. Например, вам может потребоваться отслеживать использование учетной записи в нерабочее время. Когда вы отслеживаете аномалии или вредоносные действия, используйте «Security ID» (с другой информацией), чтобы отслеживать, как и когда используется конкретная учетная запись. Неактивные учетные записи : у вас могут быть неактивные, отключенные или гостевые учетные записи или другие учетные записи, которые никогда не должны использоваться. Отслеживайте это событие с помощью «Security ID» , который соответствует учетным записям, которые никогда не должны использоваться. Список разрешенных учетных записей : у вас может быть определенный список разрешенных учетных записей, которые являются единственными, которым разрешено выполнять действия, соответствующие определенным событиям. Если это событие соответствует действию «только белый список», проверьте «Идентификатор безопасности» для учетных записей, которые находятся за пределами разрешенного списка. Соглашения об именах учетных записей : В вашей организации могут быть определенные соглашения об именах для имен учетных записей. Отслеживайте « Subject \ Account Name» на предмет имен, не соответствующих правилам именования.
Вы можете отслеживать все события 4771, если адрес клиента находится не из вашего внутреннего диапазона IP-адресов или не из диапазонов частных IP-адресов.
Если вы знаете, что Имя учетной записи должно использоваться только из известного списка IP-адресов, отслеживайте все значения Адрес клиента для этого Имя учетной записи в 4771 событиях. Если Адрес клиента не из разрешенного списка, сгенерируйте предупреждение.
Все Адрес клиента = :: 1 означает локальную аутентификацию. Если вы знаете список учетных записей, которые должны входить в систему на контроллерах домена, вам необходимо отслеживать все возможные нарушения, где Адрес клиента = :: 1 и Имя учетной записи не разрешено для входа на любой контроллер домена. .
Все 4771 события со значением поля Client Port > 0 и <1024 должны быть проверены, поскольку для исходящего соединения использовался хорошо известный порт.
Также следите за полями, показанными в следующей таблице, чтобы обнаружить перечисленные проблемы:
Поле Проблема для обнаружения Тип предварительной аутентификации Значение , а не 15 , если учетная запись должна использовать смарт-карту для аутентификации.Для получения дополнительной информации см. Таблицу 5. Типы предварительной проверки подлинности Kerberos. Тип предварительной аутентификации Значение — , а не 2 , если в организации используется только стандартная аутентификация по паролю. Для получения дополнительной информации см. Табл. 5. Типы предварительной аутентификации Kerberos. Тип предварительной аутентификации Значение , а не 138 , если защита Kerberos включена для всех соединений Kerberos в организации.Для получения дополнительной информации см. Табл. 5. Типы предварительной аутентификации Kerberos. Код неисправности 0x10 (KDC не поддерживает тип PADATA (данные предварительной аутентификации)). Эта ошибка может помочь вам быстрее определить проблемы, связанные со смарт-картой, при проверке подлинности Kerberos. Код неисправности 0x18 ((Информация предварительной аутентификации недействительна), если вы видите, например, N событий за последние N минут.Эта проблема может указывать на грубую атаку на пароль учетной записи, особенно для очень важных учетных записей.
Какова политика EASA в отношении сертификатов допуска к эксплуатации для технического обслуживания самолетов? Каковы обязанности обслуживающих организаций и CAMO, связанных с таким обслуживанием?
Будьте в курсе новостей о COVID-19 от EASA Подробнее Подписаться
EASA Агентство авиационной безопасности Европейского Союза
Выберите раздел: EASA LightEASA Pro
Главное меню Верхняя панель
Меню
Перейти к содержанию- Дом
- Агенство
- Агенство
- Годовые программы и отчеты
- COVID-19
- Хартия авиационной промышленности по COVID-19
- Ресурсы EASA COVID-19
- COVID-19 Информация о путешествии
- Ссылки
- Организационная структура агентства
- Организационная структура агентства
- Исполнительный директор
- Исполнительная дирекция
- Главный инженер
- Управление сертификации
- Техническая органограмма
CS-FSTD (A) — Выпуск 2 | EASA
Будьте в курсе новостей о COVID-19 от EASA Подробнее Подписаться
EASA Агентство авиационной безопасности Европейского Союза
Выберите раздел: EASA LightEASA Pro
Главное меню Верхняя панель
Меню
Перейти к содержанию- Дом
- Агенство
- Агенство
- Годовые программы и отчеты
- COVID-19
- Хартия авиационной промышленности по COVID-19
- Ресурсы EASA COVID-19
- COVID-19 Информация о путешествии
- Ссылки
- Организационная структура агентства
- Организационная структура агентства
- Исполнительный директор
- Исполнительная дирекция
- Главный инженер
- Управление сертификации
- Техническая органограмма
- Управление стандартов полетов
- Управление ресурсов и поддержки
- Дирекция по стратегии и безопасности