In diesem Abschnitt werden die bekanntesten Probleme aufgelistet, die auftreten können, wenn Sie das Zertifizierungsstellen-Snap-In oder Zertifizierungsstellen verwenden. Weitere Informationen zur Problembehandlung und zum Lösen von Problemen mit Zertifizierungsstellen finden Sie im Artikel zur Problembehandlung von Active Directory-Zertifikatsdiensten (
Welches Problem ist aufgetreten?
-
Clients registrieren sich nach der Konfiguration der automatischen Registrierung nicht automatisch für Zertifikate
-
Eine Zertifizierungsstelle konnte nicht als Unternehmenszertifizierungsstelle installiert werden, oder die Unterstützung von Zertifizierungsstellen für Webregistrierung zur Erkennung einer eigenständigen Zertifizierungsstelle konnte nicht installiert werden
-
Fehler beim Zugriff auf die Webseiten der Zertifizierungsstelle
-
Ein Benutzer versucht, sich mit der Smartcard anzumelden, und erhält folgende Meldung: "Das System kann Sie an dieser Domäne nicht anmelden, da das Computerkonto des Systems in seiner primären Domäne fehlt oder das Kennwort für das Konto falsch ist"
-
Wenn Sie versuchen, sich von einem Computer oder einem Konto in einer Domäne, die der Domäne untergeordnet ist, auf der sich die Zertifizierungsstelle befindet, für ein Zertifikat zu registrieren, wird folgende Meldung angezeigt: "Es wurden keine Vorlagen gefunden. Es sind keine Zertifizierungsstellen vorhanden, von denen Sie ein Zertifikat anfordern dürfen, oder beim Zugriff auf Active Directory ist ein Fehler aufgetreten."
-
Ein Registrierungs-Agent kann sich nicht im Namen eines Benutzers für eine bestimmte Zertifikatvorlage registrieren.
-
Eingeschränkte Zertifikatverwaltungs- oder Registrierungs-Agent-Vorgänge können nicht abgeschlossen werden, nachdem eine Domäne umbenannt wurde
-
Ich kann meiner Zertifizierungsstelle keine neue Zertifikatvorlage, Version 2 oder Version 3, hinzufügen
-
Mein Problem ist nicht aufgelistet
Clients registrieren sich nach der Konfiguration der automatischen Registrierung nicht automatisch für Zertifikate.
-
Ursache: Die für die automatische Registrierung verwendeten Gruppenrichtlinieninformationen wurden noch nicht auf den Clientcomputern repliziert. Es kann standardmäßig bis zu zwei Stunden dauern, bis diese Informationen auf allen Computern repliziert wurden.
-
Lösung: Warten Sie, bis die Gruppenrichtlinie die Replikation abgeschlossen hat, oder erzwingen Sie mithilfe des Gpupdate-Befehlszeilentools die sofortige Replikation. Weitere Informationen finden Sie im Thema zum Gpupdate-Befehlszeilentool (
https://go.microsoft.com/fwlink/?LinkId=94248 , möglicherweise in englischer Sprache).
Eine Zertifizierungsstelle konnte nicht als Unternehmenszertifizierungsstelle installiert werden, oder die Unterstützung von Zertifizierungsstellen für Webregistrierung zur Erkennung einer eigenständigen Zertifizierungsstelle konnte nicht installiert werden.
-
Ursache: Die Zertifizierungsstelle wurde von einem Benutzer installiert, der kein Mitglied der Gruppe Organisations-Admins oder Domänen-Admins ist. Deshalb war die Option Unternehmenszertifizierungsstelle nicht verfügbar, und es können keine Informationen zur Zertifizierungsstelle in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) veröffentlicht werden.
-
Lösung: Melden Sie sich als Mitglied der Gruppe Organisations-Admins oder Domänen-Admins an, um die Zertifizierungsstelle und die Unterstützung von Zertifizierungsstellen für Webregistrierung zu installieren.
-
Ursache: Während der Einrichtung der Zertifizierungsstelle konnte nicht auf die Domäne zugegriffen werden.
-
Lösung: Stellen Sie sicher, dass während der Einrichtung einer Zertifizierungsstelle eine Netzwerkverbindung mit einem Domänencontroller besteht.
Fehler beim Zugriff auf die Webseiten der Zertifizierungsstelle.
-
Ursache: Der Benutzer, der auf die Webseiten zugreift, ist auf dem lokalen Computer kein Mitglied der Gruppe Administratoren oder Hauptbenutzer. Wenn auf der Zertifizierungsstelle eine neuere Version der Webregistrierungssoftware verfügbar ist, muss diese Software vom Clientcomputer installiert werden. Der Benutzer muss ein Mitglied der Gruppe Administratoren oder Hauptbenutzer sein, um die Software installieren zu können.
-
Lösung: Melden Sie sich als Benutzer an, der Mitglied der Gruppe Administratoren oder Hauptbenutzer ist, um auf die Webregistrierungsseiten zuzugreifen und die neuere Version der Software herunterzuladen.
-
Ursache: Auf der Zertifizierungsstelle sind keine Webseiten installiert.
-
Lösung: Führen Sie an einer Eingabeaufforderung auf der Zertifizierungsstelle certutil -vroot aus, um die Webregistrierungsseiten zu installieren.
Ein Benutzer versucht, sich mit der Smartcard anzumelden, und erhält folgende Meldung: "Das System kann Sie an dieser Domäne nicht anmelden, da das Computerkonto des Systems in seiner primären Domäne fehlt oder das Kennwort für das Konto falsch ist."
-
Ursache: Das Computerkonto wurde möglicherweise deaktiviert, oder der Zertifizierungsstelle, die das Smartcardzertifikat ausgestellt hat, wird vom Computer nicht vertraut.
-
Lösung:
-
Überprüfen Sie, ob das Computerkonto in der Domäne aktiviert ist.
-
Überprüfen Sie mithilfe des Zertifikate-Snap-Ins, ob sich das Zertifikat der Stammzertifizierungsstelle im Speicher für vertrauenswürdige Stammzertifizierungsstellen auf dem Computer des Benutzers befindet.
-
Überprüfen Sie mithilfe des Zertifikate-Snap-Ins, ob für den Domänencontroller ein Domänencontrollerzertifikat ausgestellt wurde, das auf einen vertrauenswürdigen Stamm überprüft werden kann.
-
Überprüfen Sie, ob das Computerkonto in der Domäne aktiviert ist.
Wenn Sie versuchen, sich von einem Computer oder einem Konto in einer Domäne, die der Domäne untergeordnet ist, auf der sich die Zertifizierungsstelle befindet, für ein Zertifikat zu registrieren, wird folgende Meldung angezeigt: "Es wurden keine Vorlagen gefunden. Es sind keine Zertifizierungsstellen vorhanden, von denen Sie ein Zertifikat anfordern dürfen, oder beim Zugriff auf Active Directory ist ein Fehler aufgetreten."
-
Ursache: Die erforderlichen Sicherheitsberechtigungen wurden für die Zertifikatvorlagen nicht festgelegt.
-
Lösung: Ändern Sie die Sicherheitsberechtigungen für die Zertifikatvorlagen, um die untergeordneten Domänenkonten einzuschließen, von denen eine Registrierung möglich sein soll. Weitere Informationen zum Festlegen der Zugriffssteuerung finden Sie im Thema zum Ausstellen von auf Zertifikatvorlagen basierenden Zertifikaten unter
https://go.microsoft.com/fwlink/?LinkID=142333 (möglicherweise in englischer Sprache) .
Bei einigen Zugriffssteuerungscaches kommt es nach der Änderung der Sicherheitsberechtigungen zu einem Timeout. Sie müssen möglicherweise einen Moment warten, bis die neuen Sicherheitsberechtigungen im Netzwerk repliziert werden.
Ein Registrierungs-Agent kann sich nicht im Namen eines Benutzers für eine bestimmte Zertifikatvorlage registrieren.
-
Ursache: Es wurden möglicherweise Einschränkungen für Registrierungs-Agents konfiguriert, um zu verhindern, dass sich der Registrierungs-Agent für Zertifikate registriert, die auf der Zertifikatvorlage für diese Benutzergruppe basieren.
-
Lösung: Dieses Verhalten kann entwurfsbedingt sein, wenn sich der Registrierungs-Agent für Zertifikate basierend auf dieser Zertifikatvorlage oder für diese Benutzergruppe registrieren soll. Ist dieses Verhalten nicht entwurfsbedingt, folgen Sie den Schritten im Thema Einrichten eingeschränkter Registrierungs-Agents, um die richtigen Registrierungs-Agent-Berechtigungen für diese Gruppe und diese Zertifikatvorlage zu konfigurieren.
-
Ursache: Das Registrierungs-Agent-Zertifikat wurde mit einem CNG-Schlüssel (Cryptography Next Generation) konfiguriert, und das Zertifikat wird von einer Windows Server 2003-basierten Zertifizierungsstelle angefordert.
-
Lösung: Verwenden Sie ein Registrierungs-Agent-Zertifikat, das mit Windows Server 2003-basierten Zertifizierungsstellen kompatibel ist, oder fordern Sie das Zertifikat von einer Zertifizierungsstelle auf einem Computer unter Windows Server 2008 R2 oder Windows Server 2008 an.
Eingeschränkte Zertifikatverwaltungs- oder Registrierungs-Agent-Vorgänge können nicht abgeschlossen werden, nachdem eine Domäne umbenannt wurde.
-
Ursache: Für eingeschränkte Officervorgänge ist eine Zertifizierungsstelle auf den Namen der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) des Anforderers angewiesen, der in der Active Directory-Datenbank gespeichert ist, um überprüfen zu können, ob der Officer über die Rechte zum Verwalten der Anforderung verfügt. Der Name der Sicherheitskontenverwaltung enthält jedoch den Domänennamen, und der eingeschränkte Officervorgang kann nicht ausgeführt werden, wenn der Domänenname geändert wird (anstatt des DNS-Teils des Namens).
-
Lösung: Deaktivieren Sie die eingeschränkten Officerberechtigungen, oder konfigurieren Sie diese neu, bevor Sie den Registrierungsvorgang erneut ausführen.
Ich kann meiner Zertifizierungsstelle keine neue Zertifikatvorlage, Version 2 oder Version 3, hinzufügen.
-
Ursache: Die Zertifizierungsstelle wurde auf einem Server unter Windows Server 2008 R2 Standard oder Windows Server 2008 Standard installiert. Zertifikatvorlagen und die automatische Zertifikatregistrierung der Version 2 und 3 können nur mit Zertifizierungsstellen verwendet werden, die auf Computern unter Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter installiert sind.
-
Lösung: Aktualisieren Sie auf Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise oder Windows Server 2008 Datacenter.
Mein Problem ist nicht aufgelistet.
-
Ursache: Überprüfen Sie das Ereignisprotokoll des Servers. Es enthält meist detailliertere Fehlermeldungen, die Ihnen bei der Diagnose und Lösung Ihres Problems helfen können.
-
Lösung: Weitere Informationen zu Ereignissen, die von den Active Directory-Zertifikatsdiensten protokolliert werden, finden Sie im Thema zur Problembehandlung von Active Directory-Zertifikatsdiensten (
https://go.microsoft.com/fwlink/?LinkId=89215 , möglicherweise in englischer Sprache).