Active Directory 証明書サービスのトラブルシューティング

ここでは、証明機関スナップインの使用、または証明機関 (CA) の操作中に発生する可能性のある一般的な問題をいくつか示します。CA に関する問題のトラブルシューティングと解決方法の詳細については、Active Directory 証明書サービスのトラブルシューティングに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=89215) を参照してください。

どのような問題がありますか?

自動登録を構成しても、クライアントが証明書を自動的に登録しません。
CA をエンタープライズ CA としてインストールできませんでした。またはスタンドアロン CA を認識するために CA Web 登録サポートをインストールできませんでした。
CA Web ページにアクセスするときにエラーが発生しました。
ユーザーがスマートカードを使用してログオンしようとすると、"プライマリドメイン内にこのシステムのコンピューターアカウントがないか、アカウントのパスワードが間違っているため、このドメインにログオンできません。" というメッセージが表示されます。
CA が配置されているドメインの子ドメインに属しているコンピューターまたはアカウントから証明書を登録しようとすると、"テンプレートが見つかりません。証明書を要求するためのアクセス許可を提供する CA がないか、Active Directory にアクセスしているときにエラーが発生しました。" というメッセージが表示されます。
特定の証明書テンプレートのユーザーに代わって登録エージェントを登録できません。
ドメイン名を変更した後、制限付き証明書マネージャーまたは登録エージェントの操作を完了できません。
自分の CA に新しいバージョン 2 またはバージョン 3 の証明書テンプレートを追加できません。
ここに記載されていない問題があります。

自動登録を構成しても、クライアントが証明書を自動的に登録しません。

原因 : 自動登録に使用されるグループポリシー情報が、クライアントコンピューターにまだレプリケートされていません。既定では、この情報をすべてのコンピューターにレプリケートするのに最長で 2 時間かかる可能性があります。
解決方法 : グループポリシーがレプリケートを完了するまで待つか、Gpupdate コマンドラインツールを使用して、レプリケーションを強制的にすぐに実行します。詳細については、Gpupdate に関するサイト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=94248) を参照してください。

CA をエンタープライズ CA としてインストールできませんでした。またはスタンドアロン CA を認識するために CA Web 登録サポートをインストールできませんでした。

原因 : Enterprise Admins グループまたは Domain Admins グループのメンバーではないユーザーが CA をインストールしました。したがって、エンタープライズ CA を利用できなかったため、CA に関する情報を Active Directory ドメインサービス (AD DS) に発行できません。
解決方法 : Enterprise Admins グループまたは Domain Admins グループのメンバーであるユーザーとしてログオンし、CA および CA Web 登録サポートをインストールします。
原因 : CA のセットアップ中にドメインにアクセスできませんでした。
解決方法 : CA のセットアップ中に、ドメインコントローラーにネットワーク接続できることを確認します。

CA Web ページにアクセスするときにエラーが発生しました。

原因: Web ページにアクセスするユーザーが、ローカルコンピューターの Administrators グループまたは Power Users グループのメンバーではありません。CA で新しいバージョンの Web 登録ソフトウェアを使用できる場合は、クライアントコンピューターにそのソフトウェアをインストールする必要があります。このソフトウェアをインストールするには、ユーザーは Administrators グループまたは Power Users グループのメンバーである必要があります。
解決方法: Administrators グループまたは Power Users グループのメンバーであるユーザーとしてログオンし、Web 登録ページにアクセスして、新しいバージョンのソフトウェアをダウンロードします。
原因 : CA に Web ページがインストールされていません。
解決方法: CA のコマンドプロンプトで、certutil -vroot を実行して、Web 登録ページをインストールします。

ユーザーがスマートカードを使用してログオンしようとすると、"プライマリドメイン内にこのシステムのコンピューターアカウントがないか、アカウントのパスワードが間違っているため、このドメインにログオンできません。" というメッセージが表示されます。

原因 : コンピューターアカウントが無効になっているか、スマートカード証明書を発行した CA がコンピューターで信頼されていません。
解決方法:
1. ドメインでコンピューターアカウントが有効になっていることを確認します。
2. 証明書スナップインを使用して、ルート CA の証明書が、ユーザーのコンピューターの信頼されたルート証明機関のストアにあることを確認します。
3. 証明書スナップインを使用して、信頼されたルートに対して検証可能なドメインコントローラー証明書が、ドメインコントローラーに発行されていることを確認します。

CA が配置されているドメインの子ドメインに属しているコンピューターまたはアカウントから証明書を登録しようとすると、"テンプレートが見つかりません。証明書を要求するためのアクセス許可を提供する CA がないか、Active Directory にアクセスしているときにエラーが発生しました。" というエラーが表示されます。

原因 : 証明書テンプレートで必要なセキュリティアクセス許可が設定されていません。
解決方法 : 登録を許可する子ドメインアカウントを含むように、証明書テンプレートのセキュリティアクセス許可を変更します。証明書テンプレートのアクセス制御を設定するには、証明書テンプレートに基づく証明書の発行に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=142333) を参照してください。

セキュリティアクセス許可に変更が加えられた後、一部のアクセス制御キャッシュはタイムアウトする必要があるため、新しいセキュリティアクセス許可がネットワーク全体にレプリケートされるまで、しばらく待機する必要がある場合があります。

特定の証明書テンプレートのユーザーに代わって登録エージェントを登録できません。

原因 : このユーザーグループの証明書テンプレートに基づいて、登録エージェントが証明書を登録できないように、登録エージェント制限が構成されている可能性があります。
解決方法 : この証明書テンプレートに基づいて証明書を登録するか、またはこのユーザーのグループを登録するために登録エージェントを使用する場合、この動作は仕様による可能性があります。仕様ではない場合は、「制限付き登録エージェントを設定する」の手順に従って、このグループおよび証明書テンプレートの正しい登録エージェントのアクセス許可を構成します。
原因 : 登録エージェント証明書が Cryptography Next Generation (CNG) キーを使用して構成され、Windows Server 2003 ベースの CA から証明書が要求されています。
解決方法: Windows Server 2003 ベースの CA と互換性がある登録エージェント証明書を使用するか、Windows Server 2008 R2 または Windows Server 2008 を実行しているコンピューター上の CA から証明書を要求します。

ドメイン名を変更した後、制限付き証明書マネージャーまたは登録エージェントの操作を完了できません。

原因: 制限付きのオフィサー操作では、CA は Active Directory データベースに格納された要求者のセキュリティアカウントマネージャー (SAM) 名に依存して、オフィサーに要求を管理する権限があることを確認します。ただし、SAM 名にはドメイン名が含まれるため、(名前の DNS 部分だけではなく) ドメイン名が変更されると、制限付きのオフィサー操作が失敗します。
解決方法 : 登録操作を再試行する前に、制限付きのオフィサーアクセス許可を無効にするか、再構成します。

自分の CA に新しいバージョン 2 またはバージョン 3 の証明書テンプレートを追加できません。

原因 : Windows Server 2008 R2 Standard または Windows Server 2008 Standard を実行しているサーバーに CA がインストールされています。バージョン 2 およびバージョン 3 の証明書テンプレートと証明書自動登録を使用できるのは、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise、または Windows Server 2008 Datacenter にインストールされている CA のみです。
解決方法 : Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise、または Windows Server 2008 Datacenter にアップグレードします。

ここに記載されていない問題があります。

原因 : サーバーのイベントログを確認します。イベントログには通常、現在の問題を診断および解決するのに役立つ、詳細なエラーメッセージが記載されています。
解決方法 : Active Directory 証明書サービスによって記録されたイベントの詳細については、Active Directory 証明書サービスのトラブルシューティングに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=89215) を参照してください。