In questa sezione vengono elencati alcuni problemi comuni che possono verificarsi quando si utilizza lo snap-in Autorità di certificazione o si lavora con le Autorità di certificazione (CA). Per ulteriori informazioni su come risolvere i problemi relativi alle CA, vedere la pagina sulla risoluzione dei problemi relativi a Servizi certificati Active Directory all'indirizzo
Problema riscontrato
-
I client non registrano i certificati automaticamente dopo la configurazione della registrazione automatica
-
Non è stato possibile installare una CA come Autorità di certificazione dell'organizzazione (enterprise), oppure non è stato possibile installare il supporto della registrazione Web delle CA in modo da riconoscere una CA autonoma (Standalone)
-
Errore durante l'accesso alle pagine Web della CA
-
Un utente tenta di accedere con la smart card e riceve il messaggio seguente: "Impossibile accedere al dominio. Account computer del sistema nel dominio primario assente oppure password dell'account non corretta."
-
Quando si tenta di registrare un certificato da un computer o da un account appartenente a un dominio figlio del dominio in cui si trova la CA, viene visualizzato l'errore seguente: "Impossibile trovare modelli. Non sono presenti CA a cui è consentito richiedere certificati o si è verificato un errore durante l'accesso ad Active Directory."
-
Un agente di registrazione non riesce a registrare un modello di certificato specifico per conto di un utente
-
Un gestore di certificati o un agente di registrazione con restrizioni non riesce a portare a termine operazioni dopo la modifica del nome di un dominio
-
L'utente non riesce ad aggiungere alla propria CA un nuovo modello di certificato versione 2 o 3
-
È stato rilevato un problema non riportato in questo elenco
I client non registrano i certificati automaticamente dopo la configurazione della registrazione automatica.
-
Causa: le informazioni di Criteri di gruppo utilizzate per la registrazione automatica non sono ancora state replicate nei computer client. Per impostazione predefinita, possono essere necessarie fino a due ore per replicare queste informazioni in tutti i computer.
-
Soluzione: attendere che Criteri di gruppo porti a termine la replica oppure utilizzare lo strumento da riga di comando Gpupdate per forzare la replica immediata. Per ulteriori informazioni su Gpupdate, vedere la pagina all'indirizzo
https://go.microsoft.com/fwlink/?LinkId=94248 .
Non è stato possibile installare una CA come Autorità di certificazione dell'organizzazione (enterprise), oppure non è stato possibile installare il supporto della registrazione Web delle CA in modo da riconoscere una CA autonoma (Standalone).
-
Causa: la CA è stata installata da un utente che non fa parte del gruppo Enterprise Admins o Domain Admins; l'opzione relativa alle CA dell'organizzazione (enterprise) non era pertanto disponibile e le informazioni sulla CA non possono essere pubblicate in Servizi di dominio Active Directory.
-
Soluzione: accedere come utente membro del gruppo Enterprise Admins o Domain Admins per installare la CA e il supporto della registrazione Web delle CA.
-
Causa: il dominio non era accessibile durante l'installazione della CA.
-
Soluzione: accertarsi che vi sia connettività di rete verso un controller di dominio durante l'installazione della CA.
Errore durante l'accesso alle pagine Web della CA.
-
Causa: l'utente che accede alle pagine Web non è membro del gruppo Administrators o Power Users del computer locale. Quando sulla CA è disponibile una nuova versione del software di registrazione Web, questo deve essere installato sul computer client. L'utente che installa il software deve essere membro del gruppo Administrators o Power Users.
-
Soluzione: accedere come utente membro del gruppo Administrators o Power Users per accedere alle pagine di registrazione Web e scaricare l'ultima versione del software.
-
Causa: le pagine Web non sono installate sulla CA.
-
Soluzione: dal prompt dei comandi nella CA, eseguire il comando certutil -vroot per installare le pagine di registrazione Web.
Un utente tenta di accedere con la smart card e riceve il messaggio seguente: "Impossibile accedere al dominio. Account computer del sistema nel dominio primario assente oppure password dell'account non corretta."
-
Causa: l'account del computer può essere disattivato, oppure la CA che ha rilasciato il certificato della smart card non è considerata attendibile dal computer.
-
Soluzione:
-
verificare che l'account del computer sia attivato nel dominio.
-
Utilizzare lo snap-in certificati per verificare che il certificato della CA radice sia presente nell'elenco locale delle Autorità di certificazione radice sul computer dell'utente.
-
Utilizzare lo snap-in certificati per verificare che al controller di dominio sia stato rilasciato un certificato riconducibile a una radice attendibile.
-
verificare che l'account del computer sia attivato nel dominio.
Quando si tenta di registrare un certificato da un computer o da un account appartenente a un dominio figlio del dominio in cui si trova la CA, viene visualizzato l'errore seguente: "Impossibile trovare modelli. Non sono presenti CA a cui è consentito richiedere certificati o si è verificato un errore durante l'accesso ad Active Directory."
-
Causa: nei modelli di certificato non sono impostate le autorizzazioni di sicurezza necessarie.
-
Soluzione: modificare le autorizzazioni di sicurezza per i modelli di certificato, includendo gli account del dominio figlio dal quale si desidera consentire la registrazione. Per impostare il controllo di accesso per i modelli di certificato, vedere la pagina relativa all'emissione di certificati basati su modelli di certificato (
https://go.microsoft.com/fwlink/?LinkID=142333 ).
Dopo le modifiche alle autorizzazioni di protezione, per la loro replica in rete può essere necessario attendere il timeout di alcune cache dei controlli di accesso.
Un agente di registrazione non riesce a registrare un modello di certificato specifico per conto di un utente.
-
Causa: possono essere state configurate restrizioni per l'agente di registrazione, per impedire che registri certificati basati sul modello di certificato per questo gruppo di utenti.
-
Soluzione: questo comportamento può essere intenzionale, se si intende impedire all'agente di registrazione di registrare certificati basati su questo modello di certificato o per questo gruppo di utenti. Se non è intenzionale, eseguire i passaggi descritti in Definire agenti di registrazione con restrizioni per configurare le autorizzazioni corrette dell'agente di registrazione per questo gruppo e modello di certificato.
-
Causa: il certificato Agente di registrazione è configurato con una chiave CNG (Cryptography Next Generation) e il certificato viene richiesto da una CA basata su Windows Server 2003.
-
Soluzione: utilizzare un certificato Agente di registrazione compatibile con le CA basate su Windows Server 2003 oppure richiedere il certificato a una CA in un computer che esegue Windows Server 2008 R2 o Windows Server 2008.
Un gestore di certificati o un agente di registrazione con restrizioni non riesce a portare a termine operazioni dopo la modifica del nome di un dominio.
-
Causa: in caso di operazioni eseguite da responsabili con restrizioni, le CA fanno riferimento al nome presente nel sistema di gestione degli account di sicurezza (SAM) del richiedente archiviato nel database di Active Directory per verificare che il responsabile disponga dei diritti per gestire la richiesta. Il nome SAM, tuttavia, contiene il nome di dominio e l'operazione del responsabile con restrizioni non viene eseguita se è cambiato il nome di dominio (e non solo la porzione DNS del nome).
-
Soluzione: disattivare o riconfigurare le autorizzazioni del responsabile con restrizioni prima di ritentare l'operazione di registrazione.
L'utente non riesce ad aggiungere alla propria CA un nuovo modello di certificato versione 2 o 3.
-
Causa: la CA è installata in un server che esegue Windows Server 2008 R2 Standard o Windows Server 2008 Standard. I modelli di certificato versione 2 e 3 e la registrazione automatica dei certificati possono essere utilizzati solo con CA installate in Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise oppure Windows Server 2008 Datacenter.
-
Soluzione: eseguire l'aggiornamento a Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise o a Windows Server 2008 Datacenter.
È stato rilevato un problema non riportato in questo elenco.
-
Causa: controllare il registro eventi del server, che contiene spesso messaggi di errore più dettagliati che possono aiutare nella diagnosi e nella soluzione del problema riscontrato.
-
Soluzione: Per ulteriori informazioni sugli eventi registrati da Servizi certificati Active Directory, vedere la pagina sulla risoluzione dei problemi relativi a Servizi certificati Active Directory all'indirizzo
https://go.microsoft.com/fwlink/?LinkId=89215 .