A következő szakasz felsorolja azt a néhány általános problémát, amelyekkel a Hitelesítésszolgáltató beépülő modullal, illetve a hitelesítésszolgáltatókkal végzett munka közben találkozhat. A hitelesítésszolgáltatókkal kapcsolatos problémák elhárításáról és megoldásáról az Active Directory tanúsítványszolgáltatások hibaelhárítási útmutatójában talál további információkat (
Milyen probléma merült fel?
-
Az automatikus igénylés konfigurálását követően az ügyfelek nem igénylik automatikusan a tanúsítványokat
-
Egy hitelesítésszolgáltatót nem sikerült vállalati hitelesítésszolgáltatóként telepíteni, vagy a hitelesítésszolgáltatók weben keresztüli igénylésének támogatása a telepítés után után nem ismeri fel az egyedülálló hitelesítésszolgáltatókat.
-
A hitelesítésszolgáltató weblapjainak elérésekor hiba történik
-
Az intelligens kártyával bejelentkezni próbáló felhasználók az alábbi üzenetet kapják: „A rendszer nem tudja beléptetni ebbe a tartományba, mert az elsődleges tartományban hiányzik a rendszer számítógépfiókja, vagy helytelen a fiók jelszava.”
-
A hitelesítésszolgáltató tartományának egyik gyermektartományához tartozó számítógépről való tanúsítványigényléskor a következő üzenet jelenik meg: „Nem található sablon. Nincs olyan hitelesítésszolgáltató, amelytől joga lenne tanúsítványt igényelni, vagy hiba történt az Active Directory elérése közben.”
-
Egy tanúsítványigénylő megbízott nem tud tanúsítványt igényelni egy adott felhasználó részéről egy adott tanúsítványsablonhoz.
-
A tartomány átnevezése után a korlátozott tanúsítványkezelői vagy tanúsítványigénylő megbízotti műveletek nem hajthatók végre.
-
Nem adható hozzá új 2. verziójú vagy 3. verziójú tanúsítványsablon a hitelesítésszolgáltatóhoz
-
Egyéb, itt fel nem sorolt probléma
Az automatikus igénylés konfigurálását követően az ügyfelek nem igénylik automatikusan a tanúsítványokat.
-
Ok: Az automatikus igényléshez használt csoportházirend-információ replikálása az ügyfélszámítógépeken még nem történt meg. Az információ valamennyi számítógépen való replikálása alapértelmezés szerint maximálisan 2 óráig tarthat.
-
Megoldás: Várja meg, amíg a csoportházirend replikálása befejeződik, vagy a Gpupdate parancssori eszköz segítségével indítsa el manuálisan a replikációt. További információt a Gpupdate eszközzel kapcsolatban a
https://go.microsoft.com/fwlink/?LinkId=94248 webhelyen talál. (Előfordulhat, hogy a lap angolul jelenik meg.)
Egy hitelesítésszolgáltatót nem sikerült vállalati hitelesítésszolgáltatóként telepíteni, vagy a hitelesítésszolgáltatók weben keresztüli igénylésének támogatása a telepítése után nem ismeri fel az egyedülálló hitelesítésszolgáltatókat
-
Ok: A hitelesítésszolgáltatót olyan felhasználó telepítette, aki nem tagja a Vállalati rendszergazdák vagy a Tartománygazdák csoportnak; a vállalati hitelesítésszolgáltató lehetőség ezért nem állt rendelkezésre, és a hitelesítésszolgáltatóval kapcsolatos adatok nem tehetők közzé az Active Directory tartományi szolgáltatásokban (AD DS).
-
Megoldás: A hitelesítésszolgáltató és a hitelesítésszolgáltatók weben keresztüli igénylése támogatásának telepítéséhez olyan felhasználó nevében jelentkezzen be, amely a Vállalati rendszergazdák vagy a Tartománygazdák csoport tagja.
-
Ok: A hitelesítésszolgáltató telepítésekor a tartomány nem volt elérhető.
-
Megoldás: Ellenőrizze, hogy a hitelesítésszolgáltató telepítése közben kapcsolódik-e valamelyik tartományvezérlőhöz.
A hitelesítésszolgáltató weblapjainak elérésekor hiba történik.
-
Ok: A weblapokhoz hozzáférő felhasználó nem tagja a helyi számítógép Rendszergazdák vagy Kiemelt felhasználók csoportjának. Ha a hitelesítésszolgáltatón megjelenik a webalapú igénylési szoftver újabb verziója, az ügyfélszámítógépnek telepítenie kell a szoftvert. A szoftver telepítéséhez a felhasználó a Rendszergazdák vagy a Kiemelt felhasználók csoport tagja kell, hogy legyen.
-
Megoldás: A webalapú igénylési lapok eléréséhez és a szoftver újabb verziójának letöltéséhez olyan felhasználó nevében jelentkezzen be, aki a Rendszergazdák vagy a Kiemelt felhasználók csoport tagja.
-
Ok: A weblapok nincsenek telepítve a hitelesítésszolgáltatón.
-
Megoldás: A webalapú igénylésre szolgáló weblapok telepítéséhez a hitelesítésszolgáltató parancssorából futtassa a certutil -vroot parancsot.
Az intelligens kártyával bejelentkezni próbáló felhasználók az alábbi üzenetet kapják: „A rendszer nem tudja beléptetni ebbe a tartományba, mert az elsődleges tartományban hiányzik a rendszer számítógépfiókja, vagy helytelen a fiók jelszava. ”
-
Ok: Elképzelhető, hogy a számítógépfiók le van tiltva, vagy az intelligens kártya tanúsítványát kibocsátó hitelesítésszolgáltatót a számítógép nem tekinti megbízhatónak.
-
Megoldás:
-
Ellenőrizze, hogy a számítógépfiók a tartományon belül engedélyezve van-e.
-
A Tanúsítványkezelő beépülő modul segítségével ellenőrizze, hogy a legfelső szintű hitelesítésszolgáltató tanúsítványa szerepel-e a felhasználó számítógépén található Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolójában.
-
A Tanúsítványkezelő beépülő modul segítségével ellenőrizze, hogy a tartományvezérlő által kiadott tartományvezérlő-tanúsítványokról igazolható-e, hogy egy megbízható legfelső szintű hitelesítésszolgáltatóhoz tartoznak.
-
Ellenőrizze, hogy a számítógépfiók a tartományon belül engedélyezve van-e.
A hitelesítésszolgáltató tartományának egyik gyermektartományhoz tartozó számítógépről való tanúsítványigényléskor a következő hibaüzenet jelenik meg: „Nem található sablon. Nincs olyan hitelesítésszolgáltató, amelytől joga lenne tanúsítványt igényelni, vagy hiba történt az Active Directory elérése közben.”
-
Ok: Nincsenek beállítva a szükséges biztonsági engedélyek a tanúsítványsablonokra.
-
Megoldás: Módosítsa a tanúsítványsablonokhoz tartozó biztonsági engedélyeket oly módon, hogy azoknak a gyermektartományoknak a fiókjait is tartalmazza, amelyekről az igénylést engedélyezni kívánja. A tanúsítványsablonokhoz való hozzáférés szabályozásáról a Tanúsítványsablonon alapuló tanúsítványok kiadása című témakörben találhat információt a következő webhelyen:
https://go.microsoft.com/fwlink/?LinkID=142333 (előfordulhat, hogy a lap angol nyelven jelenik meg) .
A biztonsági engedélyek módosítása után egyes hozzáférés-szabályozó gyorsítótárak időtúllépést fognak jelezni, ezért elképzelhető, hogy az új biztonsági engedélyek hálózaton történő replikálása előtt egy rövid ideig várnia kell.
Egy tanúsítványigénylő megbízott nem tud tanúsítványt igényelni egy adott felhasználó részéről egy adott tanúsítványsablonhoz.
-
Ok: Elképzelhető, hogy a tanúsítványigénylő megbízotton korlátozásokat állítottak be, hogy megakadályozzák, hogy a tanúsítványigénylő megbízott a tanúsítványsablon alapján az adott felhasználócsoport számára tanúsítványokat igényeljen.
-
Megoldás: Elképzelhető, hogy a tanúsítványigénylő megbízott így lett kialakítva, mert a cél az, hogy kizárólag az adott tanúsítványsablon vagy azadott felhasználói csoport számára történő tanúsítványigénylés történjen. Amennyiben ez a viselkedés nem a kialakításból fakad, a csoporttal és a tanúsítványsablonnal kapcsolatos megfelelő tanúsítványigénylői megbízotti engedélyek konfigurálásához lásd: Korlátozott tanúsítványigénylő megbízottak létrehozása
-
Ok: A tanúsítványigénylő megbízotthoz tartozó tanúsítvány konfigurálása Cryptography Next Generation (CNG) kulccsal történt, és a tanúsítvány igénylése egy Windows Server 2003 rendszeren alapuló hitelesítésszolgáltatótól történik.
-
Megoldás: Használjon a Windows Server 2003 rendszeren alapuló hitelesítésszolgáltatókkal kompatibilis tanúsítványigénylő megbízotti tanúsítványt, vagy igényelje a tanúsítványt egy Windows Server 2008 R2 vagy Windows Server 2008 rendszert futtató számítógépen található hitelesítésszolgáltatótól.
A tartomány átnevezése után a korlátozott tanúsítványkezelői vagy tanúsítványigénylő megbízotti műveletek nem hajthatók végre.
-
Ok: A korlátozott tanúsítványfelelősi műveletek esetében a hitelesítésszolgáltató az igénylő Active Directory adatbázisban tárolt Biztonsági fiókkezelő (SAM) neve alapján ellenőrzi, hogy a tanúsítványfelelős rendelkezik-e a kérés kezeléséhez szükséges jogokkal. A biztonsági fiókkezelőhöz tartozó név azonban a tartománynevet is tartalmazza, és ha (ahelyett, hogy csak név DNS-részét módosítanák) a tartománynevet megváltoztatják, a korlátozott tanúsítványfelelősi művelet nem fog sikerrel járni.
-
Megoldás: Tiltsa le vagy konfigurálja újra a korlátozott tanúsítványkezelői engedélyeket, majd ismét kísérelje meg az igénylési műveletet.
Nem adható hozzá új 2. verziójú vagy 3. verziójú tanúsítványsablon a hitelesítésszolgáltatóhoz
-
Ok: A hitelesítésszolgáltató Windows Server 2008 R2 Standard vagy Windows Server 2008 Standard rendszert futtató kiszolgálón van telepítve. A 2. és a 3. verziójú tanúsítványsablonok és az automatikus tanúsítványigénylés csak a Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise vagy Windows Server 2008 Datacenter rendszerre telepített hitelesítésszolgáltatókon használható.
-
Megoldás: Frissítsen Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise vagy Windows Server 2008 Datacenter operációs rendszerre.
Egyéb, itt fel nem sorolt probléma
-
Ok: Ellenőrizze a kiszolgáló eseménynaplóját. Itt gyakran részletesebb hibaüzeneteket is találhat, amelyek segíthetnek a probléma azonosításában és megoldásában.
-
Megoldás: Az Active Directory tanúsítványszolgáltatások által naplózott eseményekről az Active Directory tanúsítványszolgáltatások hibaelhárítási útmutatójában talál további információkat (
https://go.microsoft.com/fwlink/?LinkId=89215 ) (előfordulhat, hogy a lap angol nyelven jelenik meg).