In deze sectie wordt een aantal veelvoorkomende problemen besproken die kunnen optreden als u de module Certificeringsinstantie gebruikt of met certificeringsinstanties (CA's) werkt. Raadpleeg het onderwerp over probleemoplossing voor Active Directory Certificate Services (https://go.microsoft.com/fwlink/?LinkId=89215) voor meer informatie over het oplossen van problemen met CA's (pagina is mogelijk Engelstalig).

Wat is er aan de hand?

Clients worden niet automatisch ingeschreven op certificaten nadat automatische inschrijving is geconfigureerd.
  • Oorzaak: De groepsbeleidsgegevens die voor automatische inschrijving worden gebruikt, zijn nog niet naar de clientcomputers gerepliceerd. Het kan standaard tot twee uur duren voordat deze gegevens naar alle computers zijn gerepliceerd.

  • Oplossing: Wacht tot Groepsbeleid klaar is met de replicatie of gebruik het opdrachtregelprogramma Gpupdate om de replicatie meteen uit te voeren. Zie Gpupdate (https://go.microsoft.com/fwlink/?LinkId=94248) voor meer informatie.

Een CA kon niet als ondernemings-CA worden geïnstalleerd of ondersteuning voor internetregistratie voor CA's kon niet worden geïnstalleerd om een zelfstandige CA te herkennen.
  • Oorzaak: De CA is geïnstalleerd door een gebruiker die geen lid is van de groep Ondernemingsadministrators of de groep Domeinadministrators. Daarom was de optie voor ondernemings-CA niet beschikbaar en kunnen geen gegevens over de CA naar Active Directory Domain Services (AD DS) worden gepubliceerd.

  • Oplossing: meld u aan als een gebruiker die lid is van de groep Ondernemingsadministrators of de groep Domeinadministrators, om de CA en ondersteuning voor internetregistratie voor CA's te installeren.

  • Oorzaak: het domein was niet toegankelijk tijdens de installatie van de CA.

  • Oplossing: zorg ervoor dat u een netwerkverbinding met een domeincontroller hebt tijdens de installatie van de CA.

Fout bij het openen van de webpagina's voor certificeringsinstanties.
  • Oorzaak: De gebruiker die de webpagina's probeert te openen, is geen lid van de groep Administrators of Hoofdgebruikers op de lokale computer. Wanneer een nieuwere versie van de software voor internetregistratie beschikbaar is op de CA, moet die software op de clientcomputer worden geïnstalleerd. De gebruiker moet lid zijn van de groep Administrators of Hoofdgebruikers om de software te installeren.

  • Oplossing: meld u aan als een gebruiker die lid is van de groep Administrators of Hoofdgebruikers, om de pagina's voor internetregistratie te openen en download de nieuwere versie van de software.

  • Oorzaak: de webpagina's zijn niet geïnstalleerd op de CA.

  • Oplossing: voer certutil -vroot uit vanaf een opdrachtprompt op de CA om de pagina's voor internetregistratie te installeren.

Een gebruiker probeert zich met een smartcard aan te melden en ontvangt een bericht met de volgende strekking: 'Het systeem kan u niet aanmelden op dit domein omdat het computeraccount van het systeem in het primaire domein ontbreekt of het wachtwoord voor het account niet juist is.'
  • Oorzaak: het computeraccount is mogelijk uitgeschakeld of de CA die het smartcardcertificaat heeft verleend, wordt niet vertrouwd door de computer.

  • Oplossing:

    1. Controleer of het computeraccount is ingeschakeld in het domein.

    2. Gebruik de module Certificaten om te controleren of het certificaat van de basis-CA zich in het archief voor vertrouwde basiscertificeringsinstanties bevindt op de computer van de gebruiker.

    3. Gebruik de module Certificaten om te controleren of aan de domeincontroller een domeincontrollercertificaat is verleend dat kan worden herleid tot aan een vertrouwde basis.

Bij een inschrijvingspoging voor een certificaat via een computer die of account dat deel uitmaakt van een onderliggend domein van het domein waarin de CA zich bevindt, wordt het volgende bericht weergegeven: 'Kan geen sjablonen vinden. Er zijn geen CA's die u hebben gemachtigd om een certificaat aan te vragen, of er is een fout opgetreden tijdens de toegang tot Active Directory.'
  • Oorzaak: de vereiste beveiligingsmachtigingen zijn niet ingesteld voor de certificaatsjablonen.

  • Oplossing: Wijzig de beveiligingsmachtigingen voor de certificaatsjablonen zodat deze van toepassing zijn op de onderliggende domeinaccounts waarmee u inschrijving wilt toestaan. Zie het onderwerp over het verlenen van certificaten op basis van certificaatsjablonen (https://go.microsoft.com/fwlink/?LinkID=142333) voor het instellen van de toegangscontrole voor certificaatsjablonen (pagina is mogelijk Engelstalig).

    Voor sommige toegangsbeheercaches moet na het wijzigen van beveiligingsmachtigingen eerst een time-out optreden. In dat geval duurt het even voordat de nieuwe beveiligingsmachtigingen door het netwerk zijn gerepliceerd.

Een inschrijvingsagent kan een gebruiker niet inschrijven voor een bepaalde certificaatsjabloon
  • Oorzaak: er zijn mogelijk beperkingen voor inschrijvingsagenten geconfigureerd om te voorkomen dat de inschrijvingsagent kan inschrijven op certificaten die zijn gebaseerd op de certificaatsjabloon voor deze gebruikersgroep.

  • Oplossing: Dit is mogelijk de bedoeling, als u wilt dat de inschrijvingsagent kan inschrijven op certificaten op basis van deze certificaatsjabloon of voor deze groep gebruikers. Als dit niet de bedoeling is, voert u de stappen in het onderwerp Beperkte inschrijvingsagenten tot stand brengen uit om de juiste machtigingen voor inschrijvingsagenten te configureren voor deze groep en certificaatsjabloon.

  • Oorzaak: het inschrijvingsagentcertificaat is geconfigureerd met een CNG-sleutel (Cryptography Next Generation) en het certificaat wordt aangevraagd bij een Windows Server 2003–CA.

  • Oplossing: gebruik een inschrijvingsagentcertificaat dat compatibel is met Windows Server 2003–CA's of vraag het certificaat aan bij een CA op een computer waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd.

Bewerkingen van beperkte certificaatbeheerders of inschrijvingsagenten kunnen niet worden uitgevoerd nadat de naam van een domein is gewijzigd.
  • Oorzaak: Voor bewerkingen van beperkte beheerders of agenten gebruikt de CA de SAM-naam (Security Accounts Manager) van de aanvrager die is opgeslagen in de Active Directory-database om te controleren of de beheerder of agent gemachtigd is om de aanvraag te beheren. De SAM-naam bevat echter de domeinnaam en de bewerking van de beperkte beheerder of agent mislukt als de domeinnaam wordt gewijzigd (in plaats van alleen het DNS-gedeelte van de naam).

  • Oplossing: schakel de machtigingen voor beperkte beheerders of agenten uit of pas deze aan en probeer vervolgens opnieuw de inschrijving uit te voeren.

Ik kan geen nieuwe certificaatsjabloonversie 2 of 3 toevoegen aan mijn CA.
  • Oorzaak:  De CA is geïnstalleerd op een server waarop Windows Server 2008 R2 Standard of Windows Server 2008 Standard wordt uitgevoerd. Certificaatsjabloonversies 2 en 3 en automatische inschrijving op certificaten kunnen alleen worden gebruikt met CA's die zijn geïnstalleerd op Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise of Windows Server 2008 Datacenter.

  • Oplossing: voer een upgrade uit naar Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise of Windows Server 2008 Datacenter.

Ik heb een probleem dat hier niet is vermeld.
  • Oorzaak: Raadpleeg het gebeurtenislogboek van de server. Dit bevat vaak gedetailleerdere foutberichten die u kunnen helpen de oorzaak van het probleem op te sporen en het probleem op te lossen.

  • Oplossing: zie het onderwerp over probleemoplossing voor Active Directory Certificate Services (https://go.microsoft.com/fwlink/?LinkId=89215) voor meer informatie over gebeurtenissen die in het logboek worden geregistreerd door Active Directory Certificate Services (pagina is mogelijk Engelstalig).


Inhoudsopgave