В этом разделе перечислены типичные проблемы, встречающиеся при работе с оснасткой "Центр сертификации" и самими центрами сертификации. Дополнительные сведения о разрешении вопросов и устранении неполадок, связанных с центрами сертификации, см. на веб-сайте, посвященном разрешению вопросов, связанных со службами сертификатов Active Directory (
Вид неполадки
-
Клиенты не могут автоматически регистрировать сертификаты даже при настроенной автоматической регистрации
-
Центр сертификации не может быть установлен как центр сертификации предприятия или регистрация через Интернет в центр сертификации не может быть установлена для работы с автономным центром сертификации
-
Ошибка при открытии веб-страниц центра сертификации
-
Пользователь пытается войти в систему с использованием смарт-карты и получает следующее сообщение: "Вход в этот домен невозможен, так как отсутствует учетная запись компьютера в основном домене системы или неверен пароль учетной записи."
-
При попытке регистрации сертификата с компьютера или учетной записи, принадлежащих дочернему домену домена, в котором расположен центр сертификации, отображается следующее сообщение: "Не найдены шаблоны сертификатов. Нет таких ЦС, на которых вы имеете право запрашивать сертификат, или произошла ошибка доступа к Active Directory."
-
Агент регистрации не может произвести регистрацию от имени пользователя конкретного шаблона сертификата
-
Ограниченные операции диспетчера сертификатов или агента регистрации не могут быть выполнены после переименования домена
-
Не удается добавить новый шаблон сертификата версии 2 или версии 3 в центр сертификации
-
У меня возникли проблемы, не указанные в этом списке
Клиенты не могут автоматически регистрировать сертификаты даже при настроенной автоматической регистрации.
-
Причина. Сведения групповой политики, используемые для автоматической регистрации, еще не были реплицированы на клиентские компьютеры. По умолчанию может понадобиться до двух часов для репликации этих сведений на все компьютеры.
-
Решение. Дождитесь окончание репликации групповой политики или используйте средство командной строки Gpupdate для принудительной немедленной репликации. Дополнительные сведения см. в описании команды Gpupdate на веб-сайте корпорации Майкрософт (
https://go.microsoft.com/fwlink/?linkid=94248 ) (может быть на английском языке).
Центр сертификации не может быть установлен как центр сертификации предприятия или регистрация через Интернет в центр сертификации не может быть установлена для работы с автономным центром сертификации.
-
Причина. Центр сертификации был установлен пользователем, не являющимся членом группы Администраторы предприятия или Администраторы домена, поэтому пользователь не смог выбрать установку центра сертификации предприятия, и сведения о центре сертификации не удалось опубликовать в доменных службах Active Directory.
-
Решение. Войдите в систему с правами члена группы Администраторы предприятия или Администраторы домена, чтобы установить центр сертификации и веб-средства регистрации центра сертификации.
-
Причина. Во время установки центра сертификации не было доступа к домену.
-
Решение. Убедитесь, что во время установки центра сертификации отсутствуют неполадки, связанные с сетевыми подключениями к контроллеру домена.
Ошибка при открытии веб-страниц центра сертификации.
-
Причина. Пользователь, пытающийся открыть веб-страницы, не является членом группы Администраторы или Опытные пользователи на локальном компьютере. Если в центре сертификации доступна новая версия программного обеспечения регистрации сертификатов через Интернет, необходимо установить это программное обеспечение на клиентском компьютере. Для установки программного обеспечения пользователь должен являться членом группы Администраторы или Опытные пользователи.
-
Решение. Войдите в систему как пользователь, являющийся членом группы Администраторы или Опытные пользователи, чтобы получить доступ к веб-страницам регистрации и загрузить новую версию программного обеспечения.
-
Причина. Веб-страницы не установлены в центре сертификации.
-
Решение. В командной строке центра сертификации выполните команду certutil -vroot, чтобы установить веб-страницы регистрации.
Пользователь пытается войти в систему, используя смарт-карту, и получает следующее сообщение: "Вход в этот домен невозможен, так как отсутствует пароль основного домена системы или указан неверный пароль учетной записи".
-
Причина. Учетная запись компьютера может быть отключена или центр сертификации, выдавший сертификат смарт-карты, не является доверенным для компьютера.
-
Решение.
-
Убедитесь, что учетная запись компьютера является действующей в домене.
-
Используйте оснастку "Сертификаты", чтобы убедиться в том, что сертификат корневого центра сертификации находится в хранилище доверенных корневых центров сертификации на компьютере пользователя.
-
Используйте оснастку "Сертификаты", чтобы убедиться в том, что контроллеру домена был выдан сертификат контроллера домена, который может быть удостоверен в корневом центре.
-
Убедитесь, что учетная запись компьютера является действующей в домене.
При попытке регистрации сертификата, используя компьютер или учетную запись, входящую в домен, являющийся дочерним по отношению к тому домену, в котором расположен центр сертификации, будет отображено следующее сообщение об ошибке: "Не найдены шаблоны сертификатов. Нет таких ЦС, в которых вы имеете право запрашивать сертификат, или произошла ошибка доступа к Active Directory."
-
Причина. Необходимые разрешения безопасности не установлены для шаблонов сертификатов.
-
Решение. Измените разрешения безопасности для шаблонов безопасности, чтобы включить учетные записи дочернего домена, из которого следует подавать заявки. Сведения о том, как задать управление доступом для шаблонов сертификатов, см. на странице «Выдача сертификатов, основанных на шаблонах сертификатов» (
https://go.microsoft.com/fwlink/?LinkID=142333 (страница может быть на английском языке) ).
После изменения разрешений безопасности должен окончиться срок действия некоторых кэшированных записей управления доступом, поэтому придется подождать некоторое время, прежде чем новые разрешения безопасности реплицируются в сети.
Агент регистрации не может произвести регистрацию от имени пользователя конкретного шаблона сертификата
-
Причина. Могли быть настроены ограничения агента регистрации, чтобы предотвратить регистрацию агентом сертификатов, основанных на шаблоне сертификата для этой группы пользователей.
-
Решение. Такое поведение может быть плановым, если необходима регистрация агентом сертификатов, основанных на шаблоне сертификата для этой группы пользователей. Если это поведение не является запланированным, выполните действия, описанные в разделе Установка ограничений агентов регистрации для настройки необходимых разрешений агента регистрации для этой группы и шаблона сертификата.
-
Причина. Сертификат агента регистрации настроен с использованием ключа криптографии следующего поколения, а сертификат был запрошен центром сертификации на основе Windows Server 2003.
-
Решение. Используйте сертификат агента регистрации, совместимый с центрами сертификации под управлением Windows Server 2003, или запросите сертификат из центра сертификации на компьютере, работающем под управлением операционной системы Windows Server 2008 R2 или Windows Server 2008.
Ограниченные операции диспетчера сертификатов или агента регистрации не могут быть выполнены после переименования домена.
-
Причина. В отношении ограниченных операций инспектора центр сертификации полагается на содержащееся в диспетчере учетных записей безопасности имя запрашивающей стороны, которое хранится в базе данных Active Directory, чтобы проверить, имеет ли инспектор права на обработку запроса. Однако имя в диспетчере учетных записей безопасности содержит имя домена, и ограниченная операция инспектора завершится со сбоем, если изменится имя домена (а не только часть DNS имени).
-
Решение. Отключите или измените разрешения ограниченные разрешения инспектора перед повтором регистарции.
Не удается добавить новый шаблон сертификата версии 2 или версии 3 в центр сертификации.
-
Причина: Центр сертификации установлен на сервере, работающем под управлением операционной системы Windows Server 2008 R2 Standard или Windows Server 2008 Standard. Шаблоны сертификатов версии 2 и 3, а также автоматическую регистрацию сертификатов можно использовать только при наличии центров сертификации, установленных в операционной системе Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.
-
Решение. Обновите операционную систему на Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.
У меня возникли проблемы, не указанные в этом списке.
-
Причина. Проверьте журнал событий сервера. Как правило, в нем содержатся более подробные сообщения об ошибках, которые способствуют диагностике и разрешению имеющихся неполадок.
-
Решение. Дополнительные сведения о событиях, регистрируемых в доменных службах Active Directory, см. на веб-сайте, посвященном разрешению вопросов, связанных со службами сертификатов Active Directory (
https://go.microsoft.com/fwlink/?LinkId=89215 ) (может быть на английском языке).