W tej sekcji przedstawiono kilka najbardziej typowych problemów, które można napotkać podczas używania przystawki Urząd certyfikacji lub pracy z urzędami certyfikacji. Aby uzyskać więcej informacji o rozwiązywaniu problemów z urzędami certyfikacji, zobacz artykuł dotyczący rozwiązywania problemów z Usługami certyfikatów w usłudze Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215 - strona może zostać wyświetlona w języku angielskim.

Jaki problem należy rozwiązać?

Po skonfigurowaniu autorejestrowania klienci nie rejestrują automatycznie certyfikatów
  • Przyczyna: Informacje zasad grupy używane do autorejestrowania nie zostały jeszcze zreplikowane na komputerach klienckich. Domyślnie replikacja tych informacji na wszystkich komputerach może zająć nawet dwie godziny.

  • Rozwiązanie: Zaczekaj, aż zakończy się replikacja zasad grupy, lub skorzystaj z narzędzia wiersza polecenia Gpupdate, aby wymusić natychmiastową replikację. Aby uzyskać więcej informacji, zobacz artykuł dotyczący narzędzia Gpupdate (https://go.microsoft.com/fwlink/?LinkId=94248) (strona może zostać wyświetlona w języku angielskim).

Nie można zainstalować urzędu certyfikacji jako urzędu certyfikacji przedsiębiorstwa lub nie można zainstalować obsługi rejestrowania urzędów certyfikacji w sieci Web w celu rozpoznania autonomicznego urzędu certyfikacji
  • Przyczyna: Urząd certyfikacji został zainstalowany przez użytkownika, który nie jest członkiem grupy Administratorzy przedsiębiorstwa ani grupy Administratorzy domeny. Dlatego opcja urzędu certyfikacji przedsiębiorstwa jest niedostępna, a informacje o urzędzie certyfikacji nie mogą zostać opublikowane w Usługach domenowych w usłudze Active Directory (AD DS).

  • Rozwiązanie: Zaloguj się jako użytkownik będący członkiem grupy Administratorzy przedsiębiorstwa lub Administratorzy domeny, aby zainstalować urząd certyfikacji i funkcję obsługi rejestrowania urzędów certyfikacji w sieci Web.

  • Przyczyna: Podczas instalowania urzędu certyfikacji domena była niedostępna.

  • Rozwiązanie: Upewnij się, że podczas instalowania urzędu certyfikacji istnieje połączenie sieciowe z kontrolerem domeny.

Błąd podczas uzyskiwania dostępu do stron sieci Web urzędu certyfikacji
  • Przyczyna: Użytkownik próbujący uzyskać dostęp do stron sieci Web nie jest członkiem grupy Administratorzy ani grupy Użytkownicy zaawansowani na komputerze lokalnym. Gdy w urzędzie certyfikacji jest dostępna nowsza wersja oprogramowania do rejestrowania w sieci Web, należy ją zainstalować na komputerze klienckim. Aby zainstalować oprogramowanie, użytkownik musi być członkiem grupy Administratorzy lub Użytkownicy zaawansowani.

  • Rozwiązanie: Zaloguj się jako użytkownik będący członkiem grupy Administratorzy lub Użytkownicy zaawansowani, aby uzyskać dostęp do stron rejestracji w sieci Web i pobrać nowszą wersję oprogramowania.

  • Przyczyna: Strony sieci Web nie są instalowane w urzędzie certyfikacji.

  • Rozwiązanie: W wierszu polecenia urzędu certyfikacji uruchom polecenie certutil -vroot, aby zainstalować strony rejestracji w sieci Web.

Użytkownik próbuje się zalogować za pomocą karty inteligentnej i otrzymuje następujący komunikat: „Zalogowanie do tej domeny jest niemożliwe, ponieważ brakuje hasła komputera w podstawowej domenie systemu lub jest ono niepoprawne”
  • Przyczyna: Konto komputera może być zablokowane lub urząd certyfikacji, który wystawił certyfikat karty inteligentnej, nie jest zaufany przez komputer.

  • Rozwiązanie:

    1. Sprawdź, czy konto komputera jest włączone w domenie.

    2. Za pomocą przystawki Certyfikaty sprawdź, czy certyfikat głównego urzędu certyfikacji znajduje się w magazynie zaufanych głównych urzędów certyfikacji na komputerze użytkownika.

    3. Za pomocą przystawki Certyfikaty sprawdź, czy dla kontrolera domeny został wystawiony certyfikat, który można sprawdzić pod kątem zaufanego certyfikatu głównego.

Podczas próby zarejestrowania certyfikatu z komputera lub konta należącego do domeny podrzędnej względem domeny, w której znajduje się urząd certyfikacji, jest wyświetlany następujący błąd: „Nie można znaleźć szablonu. Brak urzędów certyfikacji, od których można zażądać certyfikatu, lub wystąpił błąd podczas uzyskiwania dostępu do usługi Active Directory”
  • Przyczyna: W szablonach certyfikatów nie określono niezbędnych uprawnień zabezpieczeń.

  • Rozwiązanie: Zmodyfikuj uprawnienia zabezpieczeń szablonów certyfikatów tak, aby uwzględniały konta domeny podrzędnej, z których ma być możliwe rejestrowanie. Aby ustawić kontrolę dostępu w szablonach certyfikatów, zobacz artykuł Wydawanie certyfikatów na podstawie szablonów certyfikatów (https://go.microsoft.com/fwlink/?LinkID=142333 - strona może zostać wyświetlona w języku angielskim).

    Po wprowadzeniu zmian w ustawieniach zabezpieczeń musi upłynąć określony limit czasu niektórych buforów kontroli dostępu, dlatego też być może trzeba chwilę odczekać, aż nowe uprawnienia zabezpieczeń zostaną zreplikowane w sieci.

Agent rejestracji nie może zarejestrować określonego szablonu certyfikatu w imieniu użytkownika
  • Przyczyna: Być może zostały skonfigurowane ograniczenia agenta rejestracji, które uniemożliwiają mu rejestrowanie certyfikatów na podstawie szablonu certyfikatu dla tej grupy użytkowników.

  • Rozwiązanie: To zachowanie może być prawidłowe w przypadku, gdy zgodnie z założeniem agent rejestracji ma rejestrować certyfikaty na podstawie tego szablonu certyfikatu lub dla tej grupy użytkowników. Jeśli tak nie jest, wykonaj kroki opisane w temacie Ustanawianie ograniczonych agentów rejestracji, aby skonfigurować poprawne uprawnienia agenta rejestracji dla tej grupy i szablonu certyfikatu.

  • Przyczyna: Certyfikat agenta rejestracji jest skonfigurowany za pomocą klucza Kryptografii nowej generacji (Cryptography Next Generation, CNG), a żądanie certyfikatu pochodzi z urzędu certyfikacji opartego na systemie Windows Server 2003.

  • Rozwiązanie: Użyj certyfikatu agenta rejestracji, który jest zgodny z urzędami certyfikacji opartymi na systemie Windows Server 2003, lub zażądaj certyfikatu z urzędu certyfikacji znajdującego się na komputerze z systemem Windows Server 2008 R2 lub Windows Server 2008.

Po zmianie nazwy domeny nie można wykonać operacji menedżera certyfikatów z ograniczeniami ani operacji agenta rejestracji
  • Przyczyna: W przypadku operacji, które może wykonywać tylko użytkownik z ograniczeniami urząd certyfikacji sprawdza, czy ma on prawa do zarządzania żądaniem, korzystając w tym celu z nazwy użytkownika żądającego używanej w Menedżerze kont zabezpieczeń (SAM), która jest przechowywana w bazie danych usługi Active Directory. Jednak nazwa SAM zawiera nazwę domeny, dlatego w przypadku zmiany nazwy domeny (zamiast tylko fragmentu DNS nazwy) operacja użytkownika z ograniczeniami zakończy się niepowodzeniem.

  • Rozwiązanie: Przed ponowną próbą wykonania operacji rejestrowania wyłącz lub skonfiguruj ponownie uprawnienia użytkownika z ograniczeniami.

Nie można dodać do urzędu certyfikacji nowego szablonu certyfikatu w wersji 2 ani w wersji 3
  • Przyczyna: Urząd certyfikacji jest zainstalowany na serwerze z systemem Windows Server 2008 R2 Standard lub Windows Server 2008 Standard. Szablonów certyfikatów w wersji 2 i w wersji 3 oraz funkcji autorejestracji certyfikatów można używać tylko w przypadku urzędów certyfikacji zainstalowanych w systemach Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise lub Windows Server 2008 Datacenter.

  • Rozwiązanie: Uaktualnij system do wersji Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise lub Windows Server 2008 Datacenter.

Problem nie został wymieniony w tym miejscu
  • Przyczyna: Sprawdź dziennik zdarzeń serwera. Często zawiera on bardziej szczegółowe komunikaty o błędach, które mogą pomóc w zdiagnozowaniu i rozwiązaniu zaistniałego problemu.

  • Rozwiązanie: Aby uzyskać więcej informacji o zdarzeniach rejestrowanych przez Usługi certyfikatów w usłudze Active Directory, zobacz artykuł dotyczący rozwiązywania problemów z Usługami certyfikatów w usłudze Active Directory (https://go.microsoft.com/fwlink/?LinkId=89215 - strona może zostać wyświetlona w języku angielskim).


Spis treści