I det här avsnittet beskrivs några vanliga problem som kan uppstå när du använder snapin-modulen Certifikatutfärdare eller arbetar med certifikatutfärdare. Mer information om felsökning och problemlösning för certifikatutfärdare finns på sidan om felsökning av Active Directory-certifikattjänster (https://go.microsoft.com/fwlink/?LinkId=89215). Sidan kan vara på engelska.

Vad har du för problem?

Klienter registreras inte automatiskt för certifikat när automatisk registrering konfigureras.
  • Orsak: Grupprincipinformationen som används för automatiskt registrering har ännu inte replikerats till klientdatorerna. Som standard kan det ta upp till två timmar innan informationen har replikerats till alla datorer.

  • Lösning: Vänta på att grupprincipen ska slutföra replikeringen eller använd kommandoradsverktyget Gpupdate så att replikeringen sker omedelbart. Mer information om Gpupdate finns på https://go.microsoft.com/fwlink/?LinkId=94248. (Sidan kan vara på engelska.)

Det gick inte att installera en certifikatutfärdare som en företagscertifikatutfärdare eller så gick det inte att installera stöd för CA-webbregistrering för att upptäcka fristående certifikatutfärdare.
  • Orsak: Certifikatutfärdaren installerades av en användare som inte tillhör gruppen Företagsadministratörer eller Domänadministratörer. Därför var inte alternativet företagscertifikatutfärdare tillgängligt och informationen om certifikatutfärdaren kan inte publiceras till AD DS (Active Directory Domain Services).

  • Lösning: Logga in med ett användarkonto som är medlem i gruppen Företagsadministratörer eller Domänadministratörer när du ska installera funktionerna för certifikatutfärdaren och webbregistrering.

  • Orsak: Domänen var inte tillgänglig under installationen av certifikatutfärdaren.

  • Lösning: Kontrollera att du har nätverksanslutning till en domänkontrollant under installationen av certifikatutfärdaren.

Fel vid åtkomst av CA-webbsidor.
  • Orsak: Användaren som försöker nå webbsidorna tillhör inte Administratörer eller Privilegierade användare på den lokala datorn. När en ny version av programvara för webbregistrering finns för certifikatutfärdaren måste den installeras på klientdatorn. Användaren måste tillhöra Administratörer eller Privilegierade användare för att installera programmet.

  • Lösning: Logga in med ett användarkonto som tillhör Administratörer eller Privilegierade användare för att nå webbsidorna för registrering och hämta den nya versionen av programmet.

  • Orsak: Webbsidorna är inte installerade på certifikatutfärdaren.

  • Lösning: Kör certutil -vroot i Kommandotolken på certifikatutfärdaren för att installera webbregistreringssidorna.

En användare försöker logga in med smartkortet och får ett meddelande om att han eller hon inte kan loggas in i domänen eftersom systemets datorkonto i den primära domänen saknas eller att kontots lösenord inte stämmer.
  • Orsak: Datorkontot kan vara inaktiverat eller så är certifikatutfärdaren som utfärdade smartkortet inte betrodd av datorn.

  • Lösning:

    1. Kontrollera att datorkontot är aktiverat i domänen.

    2. Använd snapin-modulen Certifikat och kontrollera rotcertifikatet finns i arkivet Betrodda rotcertifikatutfärdare på användarens dator.

    3. Använd snapin-modulen Certifikat och kontrollera att domänkontrollanten har utfärdat ett domänkontrollantcertifikat som kan verifieras till en betrodd rot.

Vid försök att begära ett certifikat från en dator eller ett konto som tillhör en underordnad domän till den domän där certifikatutfärdaren finns visas ett felmeddelande om att ingen mall kunde hittas och att det inte finns några certifikatutfärdare som jag har behörighet att begära ett certifikat från eller att det uppstod ett fel vi åtkomst till Active Directory.
  • Orsak: De säkerhetsbehörigheter som behövs för certifikatmallarna har inte angetts.

  • Lösning: Ändra säkerhetsbehörigheterna för certifikatmallarna så att underordnade domänkonton som ska användas för registrering ingår. Information om hur du anger åtkomstkontroll för certifikatmallar finns i Utfärda certifikat baserade på certifikatmallar (https://go.microsoft.com/fwlink/?LinkId=142333 (sidan kan vara på engelska)).

    Tidsgränsen för viss cachelagring av åtkomstkontroller måste passeras efter att säkerhetsbehörigheterna har ändrats. Därför kan du behöva vänta en kort stund innan de nya säkerhetsbehörigheterna har replikerats över nätverket.

En registreringsagent kan inte registrera för en specifik certifikatmall åt en användare.
  • Orsak: Begränsningar kan ha konfigurerats för registreringsagenten för att förhindra att registreringsagenten registrerar för certifikat som är baserade på certifikatmallen för den här användargruppen.

  • Lösning: Om registreringsagenten ska registrera för certifikat som baseras på den här certifikatmallen eller för användargruppen kan det här vara avsiktligt. Om det inte är fallet följer du stegen i Upprätta begränsade registreringsagenter för att konfigurera rätt behörigheter för registreringsagenten för gruppen och certifikatmallen.

  • Orsak: Certifikatet för registreringsagenten konfigureras med en CNG-nyckel (Cryptography Next Generation) och certifikatet begärs från en Windows Server 2003–baserad certifikatutfärdare.

  • Lösning: Använd ett certifikat för registreringsagenten som är kompatibelt med Windows Server 2003–baserade certifikatutfärdare eller begär certifikatet från en certifikatutfärdare på en dator med Windows Server 2008 R2 eller Windows Server 2008.

Åtgärder som utförs av begränsade certifikathanterare eller registreringsagenter kan inte slutföras när ett domännamn byts.
  • Orsak: En certifikatutfärdare använder SAM-namnet (Security Accounts Manager) för den som begär certifikatet vid verifiering av att denne har behörighet att hantera certifikatbegäran för åtgärder som utförs av begränsade certifikathanterare. SAM-namnet lagras i Active Directory-databasen. SAM-namnet innehåller domännamnet och åtgärden som utförs av den begränsade certifikathanteraren kommer att misslyckas om namnet ändras (inte bara DNS-delen av namnet).

  • Lösning: Inaktivera eller konfigurera om behörigheterna för den begränsade certifikathanteraren innan du försöker registrera igen.

Det går inte att lägga till en ny certifikatmall av version 2 eller 3 till certifikatutfärdaren.
  • Orsak: Certifikatutfärdaren är installerad på en server med Windows Server 2008 R2 Standard eller Windows Server 2008 Standard. Version 2 och 3 av certifikatmallarna och automatiskt registrering av certifikat kan endast användas med certifikatutfärdare som har installerats på Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise eller Windows Server 2008 Datacenter.

  • Lösning: Uppgradera till Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise eller Windows Server 2008 Datacenter.

Jag har ett problem som inte beskrivs här.
  • Orsak: Kontrollera serverns händelselogg. Den innehåller ofta mer detaljerade felmeddelanden som kan hjälpa dig att analysera och lösa problemen.

  • Lösning: Mer information om händelser som loggas av Active Directory-certifikattjänster finns i avsnittet om felsökning av AD CS på https://go.microsoft.com/fwlink/?LinkId=89215. (Sidan kan vara på engelska.)

Innehåll