V této části naleznete několik častých problémů, s nimiž se můžete setkat při použití modulu snap-in Certifikační autorita nebo při práci s certifikačními autoritami. Další informace o řešení problémů s certifikačními autoritami naleznete v článku Poradce při potížích se službou AD CS (
S jakými potížemi jste se setkali?
-
Klienti neprovádějí automatický zápis certifikátů, ačkoli je tento zápis konfigurován.
-
Certifikační autoritu nebylo možné nainstalovat jako podnikovou certifikační autoritu nebo nebylo možné nainstalovat podporu pro webové žádosti o certifikát u certifikační autority pro rozpoznání samostatných certifikačních autorit.
-
Chyba přístupu na webové stránky certifikační autority
-
Uživatel se pokusil přihlásit pomocí čipové karty a obdržel následující zprávu: Systém vás nemůže přihlásit do této domény, protože chybí účet počítače systému v jeho primární doméně nebo je chybné heslo účtu.
-
Při pokusu o zápis k certifikační autoritě z počítače nebo účtu příslušejících do domény podřízené doméně certifikační autority došlo k následující chybě: Není možné nalézt šablonu. Neexistují žádné certifikační autority, od nichž máte oprávnění žádat certifikáty, nebo při přístupu ke službě Active Directory došlo k chybě.
-
Agent pro zápis nemůže u určité šablony certifikátu provést zápis pro uživatele.
-
Omezené operace správce certifikátů nebo agenta pro přihlášení nelze po změně názvu domény dokončit.
-
Do certifikační autority nelze přidat novou verzi 2 nebo 3 šablony certifikátu.
-
Došlo k problému, který zde není uveden.
Klienti neprovádějí automatický zápis certifikátů, ačkoli je tento zápis konfigurován.
-
Příčina: Informace o zásadách skupiny použité k automatickému zápisu dosud nebyly replikovány do počítačů klientů. Ve výchozím stavu může replikování těchto informací do všech počítačů trvat až 2 hodiny.
-
Řešení: Počkejte na dokončení replikace zásad skupiny nebo vynuťte okamžité provedení replikace pomocí nástroje příkazového řádku Gpupdate. Další informace naleznete v článku Nástroj příkazového řádku Gpupdate (
https://go.microsoft.com/fwlink/?LinkId=94248 (stránka může být v angličtině)).
Certifikační autoritu nebylo možné nainstalovat jako podnikovou certifikační autoritu nebo nebylo možné nainstalovat podporu pro webové žádosti o certifikát u certifikační autority pro rozpoznání samostatných certifikačních autorit.
-
Příčina: Certifikační autoritu nainstaloval uživatel, který není členem skupiny Enterprise Admins nebo Domain Admins, proto nebyla možnost podnikové certifikační autority k dispozici a informace o certifikační autoritě nelze publikovat do služby AD DS (Active Directory Domain Services).
-
Řešení: Přihlaste se jako uživatel, který je členem skupiny Enterprise Admins nebo Domain Admins, a nainstalujte certifikační autoritu a podporu pro webové žádosti o certifikát u certifikační autority.
-
Příčina: Při instalaci certifikační autority nebyla doména přístupná.
-
Řešení: Zajistěte, že při instalaci certifikační autority funguje připojení k řadiči domény v síti.
Chyba přístupu na webové stránky certifikační autority
-
Příčina: Uživatel, který přistupuje k webovým stránkám, není členem skupiny Administrators ani Power Users v místním počítači. Pokud je v certifikační autoritě k dispozici nová verze softwaru pro webový zápis, musí být tento software instalován do počítače klienta. K instalaci tohoto softwaru je nutné, aby byl uživatel členem skupiny Administrators nebo Power Users.
-
Řešení: Přihlaste se jako uživatel, který je členem skupiny Administrators nebo Power Users. Tím získáte přístup ke stránkám webového zápisu a budete moci stáhnout novou verzi softwaru.
-
Příčina: V certifikační autoritě nejsou instalovány webové stránky.
-
Řešení: V příkazovém řádku certifikační autority spusťte příkaz certutil -vroot, který nainstaluje stránky webového zápisu.
Uživatel se pokusil přihlásit pomocí čipové karty a obdržel následující zprávu: Systém vás nemůže přihlásit do této domény, protože chybí účet počítače systému v jeho primární doméně nebo je chybné heslo účtu.
-
Příčina: Účet počítače mohl být zablokován nebo certifikační autorita, která vystavila certifikát pro čipovou kartu, není pro počítač důvěryhodná.
-
Řešení:
-
Ujistěte se, že je účet počítače v doméně povolen.
-
Pomocí modulu snap-in Certifikáty ověřte, že je certifikát kořenové certifikační autority umístěn v úložišti důvěryhodných kořenových certifikátů CA počítače uživatele.
-
Pomocí modulu snap-in Certifikáty se přesvědčte, že řadiči domény byl vystaven certifikát, který lze ověřit u důvěryhodného kořenu.
-
Ujistěte se, že je účet počítače v doméně povolen.
Při pokusu o zápis k certifikační autoritě z počítače nebo účtu příslušejících do domény podřízené doméně certifikační autority došlo k následující chybě: Není možné nalézt šablonu. Neexistují žádné certifikační autority, od nichž máte oprávnění žádat certifikáty, nebo při přístupu ke službě Active Directory došlo k chybě.
-
Příčina: Pro šablony certifikátu nebyla nastavena potřebná oprávnění zabezpečení.
-
Řešení: Upravte zabezpečovací oprávnění šablon certifikátů tak, aby zahrnovala účty podřízených domén, kterým chcete povolit zápis k certifikační autoritě. Další informace o nastavení řízení přístupu pro šablony certifikátů najdete v článku Vystavování certifikátů založených na šablonách certifikátů (stránka může být v angličtině) (
https://go.microsoft.com/fwlink/?LinkID=142333 ).
Některým vyrovnávacím pamětem řízení přístupu musí po provedení změn zabezpečovacích oprávnění vypršet časový limit, takže je nutné chvíli počkat, než dojde k replikaci nových zabezpečovacích oprávnění v síti.
Agent pro zápis nemůže u určité šablony certifikátu provést zápis pro uživatele.
-
Příčina: Omezení agenta pro zápis mohou být nakonfigurována tak, že agentovi zabraňují v přihlášení certifikátů vytvořených na základě šablony certifikátů pro tuto skupinu uživatelů.
-
Řešení: Pokud chcete, aby agent přihlášení certifikáty přihlásil na základě této šablony certifikátu nebo této skupiny uživatelů, může být toto chování zamýšlené. Jestliže toto chování není zamýšlené, postupujte podle kroků v tématu Vytvoření agentů pro omezený zápis a nakonfigurujte správná oprávnění agenta pro přihlášení pro tuto skupinu a šablonu certifikátů.
-
Příčina: Certifikát agenta pro přihlášení je nakonfigurován pomocí klíče CNG (Cryptography Next Generation) a certifikát požaduje certifikační autorita systému Windows Server 2003.
-
Řešení: Použijte certifikát agenta pro přihlášení, který je kompatibilní s certifikačními autoritami systému Windows Server 2003, nebo požadujte certifikát od certifikační autority v počítači se systémem Windows Server 2008 R2 nebo Windows Server 2008.
Omezené operace správce certifikátů nebo agenta pro přihlášení nelze po změně názvu domény dokončit.
-
Příčina: V případě omezených operací využívá certifikační autorita název žadatele SAM (Security Accounts Manager), který je uložen v databázi služby Active Directory, za účelem ověření, že uživatel má oprávnění ke správě požadavku. Název SAM však obsahuje název domény, takže omezená operace se nezdaří, pokud je název domény změněn (místo změny pouze části DNS názvu).
-
Řešení: Před spuštěním nové operace přihlášení zakažte nebo znovu nakonfigurujte omezené oprávnění uživatele.
Do certifikační autority nelze přidat novou verzi 2 nebo 3 šablony certifikátu.
-
Příčina: Certifikační autorita je nainstalována na serveru se systémem Windows Server 2008 R2 Standard nebo Windows Server 2008 Standard. Šablony certifikátů verze 2 a 3 a automatické přihlášení certifikátů lze použít pouze s certifikačními autoritami nainstalovanými v systému Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise nebo Windows Server 2008 Datacenter.
-
Řešení: Proveďte upgrade na systém Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise nebo Windows Server 2008 Datacenter.
Došlo k problému, který zde není uveden.
-
Příčina: Zkontrolujte protokol událostí serveru. Protokol často obsahuje podrobné chybové zprávy, které mohou usnadnit diagnostiku a řešení problémů.
-
Řešení: Další informace o událostech, které jsou zaznamenány službou AD CS (Active Directory Certificate Services), naleznete v článku Poradce při potížích se službou AD CS (
https://go.microsoft.com/fwlink/?LinkId=89215 (stránka může být v angličtině)).