Esta secção apresenta alguns problemas comuns que poderão ocorrer ao utilizar o snap-in Autoridade de Certificação ou ao trabalhar com autoridades de certificação (ACs). Para mais informações sobre como resolver problemas relacionados com ACs, consulte a resolução de problemas dos Serviços de Certificados do Active Directory (
Que problema está a ter?
-
Os clientes não se inscrevem automaticamente para certificados depois de configurada a inscrição automática
-
Não foi possível instalar uma AC como AC empresarial ou não foi possível instalar o suporte de inscrição na Web da AC para reconhecer uma AC autónoma
-
Erro ao aceder às páginas Web da AC
-
Um utilizador tenta iniciar sessão com o smart card e recebe esta mensagem: "Não é possível ao sistema iniciar a sua sessão porque falta a conta de computador no seu domínio principal ou a palavra-passe nessa conta não está correcta."
-
Ao tentar inscrever-se para um certificado a partir de um computador ou conta pertencente a um domínio subordinado do domínio onde a AC está localizada, aparece a seguinte mensagem: "Não foram encontrados modelos. Não existem ACs a partir dos quais tenha permissão para pedir um certificado ou ocorreu um erro ao aceder ao Active Directory."
-
Um agente de inscrição não se consegue inscrever em representação de um utilizador para um determinado modelo de certificado
-
Não é possível concluir operações de gestores de certificados ou agentes de inscrição restritos depois de mudar o nome a um domínio
-
Não consigo adicionar um novo modelo de certificado versão 2 ou versão 3 à minha AC
-
Tenho um problema que não está nesta lista
Os clientes não se inscrevem automaticamente para certificados depois de configurada a inscrição automática.
-
Causa: A informação da Política de Grupo utilizada para a inscrição automática ainda não se replicou para os computadores cliente. Por predefinição, esta informação pode demorar até duas horas a replicar-se para todos os computadores.
-
Solução: Espere até a Política de Grupo terminar a replicação ou utilize a ferramenta da linha de comandos Gpupdate para forçar a replicação a ocorrer imediatamente. Para obter mais informações, consulte o artigo sobre Gpupdate (
https://go.microsoft.com/fwlink/?LinkId=94248 ). (Esta página poderá estar em inglês.)
Não foi possível instalar uma AC como AC empresarial ou não foi possível instalar o suporte de inscrição na Web da AC para reconhecer uma AC autónoma.
-
Causa: A AC foi instalada por um utilizador que não é membro do grupo Admins da Empresa ou Admins do Domínio; por isso, a opção de AC empresarial não estava disponível e as informações sobre a AC não podem ser publicadas nos Serviços de Domínio do Active Directory (AD DS).
-
Solução: Inicie sessão como um utilizador membro do grupo Admins da Empresa ou Admins do Domínio para instalar a AC e o suporte de inscrição na Web da AC.
-
Causa: O domínio não estava acessível durante a configuração da AC.
-
Solução: Certifique-se de que tem conectividade de rede para um controlador de domínio durante a configuração da AC.
Erro ao aceder às páginas Web da AC.
-
Causa: O utilizador que acedeu às páginas Web não é membro do grupo Administradores ou Utilizadores Avançados no computador local. Quando houver uma versão mais nova do software de inscrição na Web na AC, o computador cliente tem de instalar esse software. O utilizador tem de ser membro do grupo Administradores ou Utilizadores Avançados para instalar o software.
-
Solução: Inicie sessão como um utilizador membro do grupo Administradores ou Utilizadores Avançados para aceder às páginas de inscrição na Web e transferir a versão mais recente do software.
-
Causa: As páginas Web não estão instaladas na AC.
-
Solução: Na linha de comandos na AC, execute certutil -vroot para instalar as páginas de inscrição na Web.
Um utilizador tenta iniciar sessão com o smart card e recebe esta mensagem: "Não é possível ao sistema iniciar a sua sessão porque falta a conta de computador no seu domínio principal ou a palavra-passe nessa conta não está correcta."
-
Causa: A conta de computador poderá estar desactivada ou a AC que emitiu o certificado de smart card não é fidedigna para o computador.
-
Solução:
-
Verifique se a conta de computador está activada no domínio.
-
Utilize o snap-in Certificados para verificar se o certificado da AC de raiz está no arquivo de certificados de Autoridades de Certificação de Raiz Fidedigna, no computador do utilizador.
-
Utilize o snap-in Certificados para verificar se foi emitido um certificado para o controlador de domínio que possa ser verificado por uma raiz fidedigna.
-
Verifique se a conta de computador está activada no domínio.
Ao tentar inscrever-se para um certificado a partir de um computador ou conta pertencente a um domínio subordinado do domínio onde a AC está localizada, aparece o seguinte erro: "Não foram encontrados modelos. Não existem ACs a partir dos quais tenha permissão para pedir um certificado ou ocorreu um erro ao aceder ao Active Directory."
-
Causa: As permissões de segurança necessárias não estão definidas nos modelos de certificado.
-
Solução: Modifique as permissões de segurança para os modelos de certificado incluírem as contas de domínio subordinado a partir das quais pretende permitir a inscrição. Para definir o controlo de acesso para modelos de certificado, consulte Emitir Certificados Baseados em Modelos de Certificado (
https://go.microsoft.com/fwlink/?LinkId=142333 (pode estar em inglês) ).
Algumas caches de controlo de acesso têm de esgotar o tempo limite depois de o utilizador efectuar alterações nas permissões de segurança, pelo que poderá ser necessário esperar um breve período de tempo até as permissões de segurança serem replicadas através da rede.
Um agente de inscrição não se consegue inscrever em representação de um utilizador para um determinado modelo de certificado.
-
Causa: Poderão ter sido configuradas restrições aos agentes de inscrição para impedir que o agente de inscrição se inscrevesse para certificados baseados no modelo de certificado para este grupo de utilizadores.
-
Solução: Este comportamento poderá ser por design, se pretender que o agente de inscrição se inscreva para certificados baseados neste modelo de certificado ou para este grupo de utilizadores. Se não for por design, siga os passos em Estabelecer Agentes de Inscrição Restritos para configurar as permissões correctas de agente de inscrição para este grupo e modelo de certificado.
-
Causa: O certificado do agente de inscrição está configurado com uma chave CNG (Cryptography Next Generation) e o certificado está a ser solicitado a partir de uma AC baseada no Windows Server 2003.
-
Solução: Utilize um certificado de agente de inscrição que seja compatível com ACs baseadas no Windows Server 2003 ou solicite o certificado a uma AC num computador que execute o Windows Server 2008 R2 ou Windows Server 2008.
Não é possível concluir operações de gestores de certificados ou agentes de inscrição restritos depois de mudar o nome a um domínio.
-
Causa: Para operações de responsáveis restritos, uma AC depende do nome do SAM (Security Accounts Manager) do solicitador que está armazenado na base de dados do Active Directory para verificar se o responsável tem direitos para gerir o pedido. Contudo, o nome do SAM contém o nome de domínio e a operação do responsável restrito irá falhar, se o nome de domínio for alterado (em vez de só a parte DNS do nome).
-
Solução: Desactive ou reconfigure as permissões do responsável restrito antes de tentar novamente a operação de inscrição.
Não consigo adicionar um novo modelo de certificado versão 2 ou versão 3 à minha AC.
-
Causa: A AC está instalada num servidor que executa o Windows Server 2008 R2 Standard ou o Windows Server 2008 Standard. Os modelos de certificado versão 2 e versão 3 e a inscrição automática para certificados só podem ser utilizados com ACs instaladas no Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise ou Windows Server 2008 Datacenter.
-
Solução: Actualize para o Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise ou Windows Server 2008 Datacenter.
Tenho um problema que não está nesta lista.
-
Causa: Verifique o registo de eventos do servidor. Muitas vezes, contém mensagens de erro mais detalhadas que podem ajudá-lo a diagnosticar e a resolver o problema que está a ter.
-
Solução: Para mais informações sobre eventos que estejam registados pelos Serviços de Certificados do Active Directory, consulte a resolução de problemas dos Serviços de Certificados do Active Directory (
https://go.microsoft.com/fwlink/?LinkId=89215 ). (Esta página poderá estar em inglês.)