Cette section répertorie quelques problèmes courants susceptibles de se produire lorsque vous utilisez le composant logiciel enfichable Répondeur en ligne ou travaillez avec des groupes de répondeurs en ligne. Pour plus d’informations sur la résolution des problèmes liés aux répondeurs en ligne, voir la section relative à la résolution des problèmes liés aux services de certificats Active Directory (
Quels sont les problèmes rencontrés ?
-
Le service de répondeur en ligne n’a pas démarré
-
Le certificat de signature du répondeur en ligne est introuvable
-
Une tentative de création d’une configuration de révocation a échoué
-
Le certificat de signature de la configuration du répondeur en ligne va bientôt expirer
-
Le certificat de signature de la configuration de révocation a expiré
-
Une configuration de révocation de répondeur en ligne ne peut pas être chargée
-
Le service de répondeur en ligne n’a pas pu extraire une liste de révocation de certificats (CRL) pour la configuration de révocation spécifiée
Le service de répondeur en ligne n’a pas démarré.
-
Cause : Le service de répondeur en ligne peut ne pas démarrer en raison d’informations de Registre corrompues ou de ressources système insuffisantes.
-
Solution : Essayez de redémarrer le service de répondeur en ligne à partir du composant logiciel enfichable Services (Services.msc). Si le service de répondeur en ligne ne démarre pas, vérifiez si le journal des événements indique d’autres erreurs pouvant être liées à ce problème. Si vous ne disposez pas de ressources système suffisantes pour démarrer le service de répondeur en ligne, redémarrez l’ordinateur ou libérez des ressources système. Si les informations de Registre sont corrompues, vous devez utiliser le Gestionnaire de serveur pour désinstaller puis réinstaller le service de répondeur en ligne.
Le certificat de signature du répondeur en ligne est introuvable.
-
Cause : Le certificat de signature de réponse OCSP ne figure pas dans le magasin de certificats personnel du compte d’ordinateur ou, si le certificat de signature aurait dû être délivré via une inscription automatique, celle-ci n’a pas été effectuée.
-
Solution : Si le certificat de signature de réponse OCSP ne figure pas dans le magasin de certificats personnel de l’ordinateur local et que la révocation est configurée pour une inscription manuelle ou une découverte automatique de certificat de signature de réponse OCSP, inscrivez-vous à un certificat manuellement. Pour les configurations dans lesquelles le service de répondeur en ligne s’inscrit à son certificat, l’inscription manuelle ne fonctionne pas et vous devez identifier la cause de l’échec de l’inscription automatique. Certaines des causes possibles peuvent être les suivantes :
-
L’ordinateur sur lequel le service de répondeur en ligne s’exécute ne peut pas se connecter à une autorité de certification ayant été configurée pour délivrer des certificats en fonction du modèle de signature de réponse OCSP.
-
Le répondeur en ligne ne dispose pas des autorisations Lecture, Inscription et, si l’inscription automatique est utilisée, Inscription automatique au niveau du modèle de signature de réponse OCSP.
-
L’ordinateur sur lequel le service de répondeur en ligne s’exécute ne peut pas se connecter à une autorité de certification ayant été configurée pour délivrer des certificats en fonction du modèle de signature de réponse OCSP.
Une tentative de création d’une configuration de révocation a échoué.
-
Cause : Une tentative de création d’une configuration de révocation a échoué avec le message « Certificat de signature erroné sur le contrôleur du groupe ».
-
Solution : Vérifiez que le modèle de certificat de signature de réponse OCSP a été correctement configuré. Dans le cas contraire, configurez le modèle de certificat afin de permettre l’inscription manuelle pour ces certificats de signature.
Le certificat de signature de la configuration du répondeur en ligne va bientôt expirer.
-
Cause : Si l’inscription automatique n’est pas utilisée, un rappel invitant à renouveler un certificat expirant est automatiquement généré lorsqu’un certificat n’a plus qu’un pourcentage défini de sa durée de validité à vivre (par défaut, 10 pour cent de sa période de validité totale). Vous pouvez vérifier la période restante du certificat de signature actuel en utilisant le composant logiciel enfichable Certificats pour examiner le certificat de signature de réponse OCSP dans le magasin de certificats personnel de l’ordinateur ou le service de répondeur en ligne.
-
Solution : Si le modèle de certificat de signature de réponse OCSP a été configuré pour une inscription et un renouvellement automatiques, d’autres mesures ne sont peut-être pas nécessaires. Pour les configurations manuelles, vous pouvez renouveler le certificat de signature à l’aide du composant logiciel enfichable Certificats et de l’Assistant Renouvellement de certificat.
Le certificat de signature de la configuration de révocation a expiré.
-
Cause : Le renouvellement automatique du certificat de signature a échoué ou son renouvellement manuel n’a pas été effectué avant la date d’expiration.
-
Solution : Pour les configurations dans lesquelles le service de répondeur en ligne s’inscrit à son certificat, l’inscription manuelle ne fonctionne pas et vous devez identifier la cause de l’échec de l’inscription automatique. Certaines des causes possibles peuvent être les suivantes :
-
L’ordinateur sur lequel le service de répondeur en ligne s’exécute ne peut pas se connecter à une autorité de certification ayant été configurée pour délivrer des certificats en fonction du modèle de signature de réponse OCSP.
-
Le répondeur en ligne ne dispose pas des autorisations Lecture, Inscription et Inscription automatique au niveau du modèle de signature de réponse OCSP.
Si la configuration de révocation est définie pour une inscription manuelle du certificat de signature de réponse OCSP, localisez le certificat de signature dans le magasin de certificats personnel de l’ordinateur local du répondeur en ligne.
Pour les configurations manuelles, vous pouvez renouveler le certificat de signature à l’aide du composant logiciel enfichable Certificats et de l’Assistant Renouvellement de certificat.
Il est également possible que le certificat de signature de réponse OCSP n’ait pas pu être renouvelé, car la clé d’autorité de certification utilisée pour signer le certificat de signature de réponse OCSP d’origine a été renouvelée et n’est plus disponible. Pour que ce problème soit résolu, le certificat de signature de réponse OCSP doit être renouvelé avec une clé existante. Pour plus d’informations, voir Renouveler des certificats de signature de réponse OCSP avec une clé existante.
-
L’ordinateur sur lequel le service de répondeur en ligne s’exécute ne peut pas se connecter à une autorité de certification ayant été configurée pour délivrer des certificats en fonction du modèle de signature de réponse OCSP.
Une configuration de révocation de répondeur en ligne ne peut pas être chargée.
-
Cause : La configuration de révocation est corrompue.
-
Solution : Utilisez le composant logiciel enfichable Répondeur en ligne pour supprimer et recréer la configuration de révocation. Si ce problème se produit au niveau d’un membre de groupe, vous pouvez supprimer la configuration corrompue du membre de groupe, puis synchroniser le groupe pour recréer la configuration de révocation. Si ce problème se produit au niveau d’un contrôleur de groupe, définissez provisoirement un autre ordinateur comme contrôleur de groupe, synchronisez le groupe, puis redéfinissez l’ordinateur d’origine comme contrôleur de groupe.
Le service de répondeur en ligne n’a pas pu extraire une liste de révocation de certificats (CRL) pour la configuration de révocation spécifiée.
-
Cause : La publication de la liste de révocation de certificats (CRL) a échoué, les points de distribution CRL ne sont pas valides ou le service de répondeur en ligne n’a pas pu accéder à la liste de révocation de certificats publiée.
-
Solution : Pour identifier et résoudre les problèmes d’extraction CRL d’un répondeur en ligne :
-
Utilisez le composant logiciel enfichable Répondeur en ligne afin de vérifier que les adresses URL configurées pour les points de distribution de liste de révocation de certificats de base et différentielles sont valides.
-
Utilisez le composant logiciel enfichable Autorité de certification pour vérifier les adresses URL sur lesquelles l’autorité de certification publiera les listes de révocation de certificats de base et différentielles.
-
Sur l’ordinateur sur lequel la liste de révocation de certificats de base est publiée, examinez l’extension Liste de révocation de certificats la plus récente de la liste de révocation de certificats de base. Vérifiez que cette extension identifie un emplacement dans lequel se trouve la liste de révocation de certificats différentielle.
-
Si nécessaire, republiez la liste de révocation de certificats actuelle en tapant la commande suivante à l’invite de commandes :
certutil -crl
-
Vérifiez ensuite que le service de répondeur en ligne peut accéder à la liste de révocation de certificats. Dans le composant logiciel enfichable Répondeur en ligne, cliquez avec le bouton droit sur Configuration de groupe, puis cliquez sur Rafraîchir les données de révocation.
-
Utilisez le composant logiciel enfichable Répondeur en ligne afin de vérifier que les adresses URL configurées pour les points de distribution de liste de révocation de certificats de base et différentielles sont valides.