В этом разделе перечислены несколько типичных проблем, встречающихся при использовании оснастки «Сетевой ответчик» и при работе с массивами сетевых ответчиков. Дополнительные сведения о выявлении и устранении проблем с сетевыми ответчиками см. в статье «Устранение неполадок служб сертификации Active Directory» (https://go.microsoft.com/fwlink/?LinkId=89215).

Неполадка

Не запускается служба «Сетевой ответчик».
  • Причина. Сбой запуска службы «Сетевой ответчик» возможен из-за повреждения данных реестра или недостаточности системных ресурсов.

  • Решение. Попробуйте перезапустить службу «Сетевой ответчик» из оснастки «Службы» (Services.msc). Если запустить службу «Сетевой ответчик» не удается, проверьте журнал событий на наличие других ошибок, которые могут быть связаны с этой проблемой. Если для запуска службы «Сетевой ответчик» недостаточно системных ресурсов, попробуйте перезагрузить компьютер или освободить системные ресурсы. Если повреждены данные реестра, необходимо удалить и переустановить службу «Сетевой ответчик» с помощью диспетчера сервера.

Не удалось найти сертификат подписи сетевого ответчика.
  • Причина. В личном хранилище сертификатов учетной записи компьютера отсутствует сертификат подписывания отклика OCSP либо, если сертификат подписывания должен был быть выдан с помощью автоматической подачи заявки, автоматическая подача заявки не была выполнена.

  • Решение. Если сертификат подписывания отклика OCSP отсутствует в личном хранилище сертификатов локального компьютера и отзыв настроен на ручную подачу заявки или автообнаружение этого сертификата, следует подать заявку на сертификат вручную. Для конфигураций, в которых служба «Сетевой ответчик» подает заявку на сертификат автоматически, подача заявки вручную работать не будет, и необходимо определить причину, по которой не сработала автоматическая подача заявки. Возможны следующие причины.

    • Компьютеру, на котором выполняется служба «Сетевой ответчик», не удалось подключиться к центру сертификации (ЦС), настроенному на выдачу сертификатов на основе шаблона подписывания отклика OCSP.

    • В шаблоне «Подписывание отклика OSPC» службе сетевого ответчика не предоставлены разрешения на чтение, подачу заявок и автоматическую подачу заявок (если она используется).

Не удалось создать конфигурацию отзыва.
  • Причина. Сбой попытки создания конфигурации отзыва с сообщением «Неверный сертификат подписи на контроллере массива».

  • Решение. Проверьте правильность настройки шаблона сертификата подписывания отклика OCSP. Он должен разрешать подачу заявок вручную.

Истекает срок действия сертификата подписи для конфигурации сетевого ответчика.
  • Причина. Если автоматическая подача заявок не используется, по достижении заданного процента оставшегося срока действия сертификата (по умолчанию - 10 процентов от общего срока действия) автоматически создается напоминание о необходимости обновления сертификата. Оставшееся время действия текущего сертификата подписи можно проверить с помощью оснастки «Сертификаты». Следует проверить сертификат подписывания отклика OCSP в личном хранилище сертификатов компьютера или службы «Сетевой ответчик».

  • Решение. Если в шаблоне сертификата подписывания отклика OCSP настроено автоматическое выполнение подачи заявок и обновления, дополнительных действий может не потребоваться. При подаче заявок вручную сертификат подписывания можно обновить с помощью оснастки «Сертификаты» и мастера обновления сертификатов.

Истек срок действия сертификата подписи для конфигурации отзыва.
  • Причина. Автоматическое обновление сертификата подписи завершилось сбоем, либо обновление вручную не было выполнено до истечения срока действия сертификата.

  • Решение. Для конфигураций, в которых служба «Сетевой ответчик» подает заявку на сертификат автоматически, подача заявки вручную работать не будет, и необходимо определить причину, по которой не сработала автоматическая подача заявки. Возможны следующие причины.

    • Компьютеру, на котором выполняется служба «Сетевой ответчик», не удалось подключиться к ЦС, настроенному на выдачу сертификатов на основе шаблона подписывания отклика OCSP.

    • В шаблоне «Подписывание отклика OSPC» службе сетевого ответчика не предоставлены разрешения на чтение, подачу заявок и автоматическую подачу заявок.

    Перед повторением попытки автоматической подачи заявки администратор ЦС должен проверить доступность и конфигурацию шаблона подписывания отклика OCSP с помощью оснасток «Центр сертификации» и «Шаблоны сертификатов».

    Если в конфигурации отзыва задана подача заявок на сертификат подписывания отклика OCSP вручную, выберите сертификат подписывания в личном хранилище сертификатов на компьютере сетевого ответчика.

    При подаче заявок вручную сертификат подписывания можно обновить с помощью оснастки «Сертификаты» и мастера обновления сертификатов.

    Возможно также, что сертификат подписывания отклика OCSP не удалось обновить из-за того, что ключ ЦС, использованный для подписывания исходного сертификата подписывания отклика OCSP, был обновлен и более недоступен. В этом случае необходимо разрешить обновление сертификата подписывания отклика OCSP с использованием существующего ключа. Дополнительные сведения см. в разделе Обновление сертификатов подписывания отклика OCSP с использованием существующего ключа.

Не удается загрузить конфигурацию отзыва сетевого ответчика.
  • Причина. Конфигурация отзыва повреждена.

  • Решение. Воспользуйтесь оснасткой «Сетевой ответчик» для удаления и повторного создания конфигурации отзыва. Если эта проблема возникла с элементом массива, можно удалить поврежденную конфигурацию из массива, а затем синхронизировать массив для повторного создания конфигурации отзыва. При возникновении этой проблемы на контроллере массива временно назначьте контроллером массива другой компьютер, синхронизируйте массив, а затем снова назначьте контроллером массива исходный компьютер.

Службе «Сетевой ответчик» не удалось получить CRL для указанной конфигурации отзыва.
  • Причина. Не удалось опубликовать список отзыва сертификатов (CRL), точки распространения CRL недопустимы либо службе «Сетевой ответчик» не удалось получить доступ к опубликованному CRL.

  • Решение. Чтобы определить источник проблемы получения адреса CRL для сетевого ответчика:

    1. С помощью оснастки «Сетевой ответчик» убедитесь, что для точек распространения базового и разностных CRL заданы действительные URL-адреса.

    2. С помощью оснастки «Центр сертификации» проверьте URL-адреса для публикации базового и разностных CRL.

    3. На компьютере, на котором публикуется базовый CRL, проверьте расширение Новейший CRL для базового CRL. Оно должно указывать на расположение разностных CRL.

    4. При необходимости опубликуйте текущий CRL заново, введя в командной строке следующую команду: certutil -crl

    5. Затем проверьте возможность доступа службы «Сетевой ответчик» к CRL. В оснастке «Сетевой ответчик» щелкните правой кнопкой мыши пункт Конфигурация массива и выберите команду Обновить данные отзыва.


Содержание