Bu bölümde, Sertifika Yetkilisi ek bileşenini kullanırken veya sertifika yetkilileriyle (CA) çalışırken karşılaşabileceğiniz bir kaç genel sorun listelenmiştir. CA'larla ilgili sorunları çözme ve giderme konusunda daha fazla bilgi için bkz. Active Directory Sertifika Hizmetleri Sorunlarını Giderme (
Sorununuz nedir?
-
Otomatik kayıt yapılandırıldıktan sonra istemciler sertifikalar için otomatik olarak kaydolmuyor
-
Bir CA, kuruluş CA'sı olarak yüklenemedi veya bir bağımsız CA'yı tanımak üzere CA Web kaydı desteği yüklenemedi
-
CA Web sayfalarına erişirken hata oluştu
-
Bir kullanıcı akıllı kartla oturum açmayı denemekte ve buradaki iletiyle karşılaşmaktadır: "Sistemin birincil etki alanındaki bilgisayar hesabı eksik veya hesabın parolası yanlış olduğu için sistem bu etki alanında oturum açamaz."
-
CA'nın yüklü olduğu etki alanının bir alt etki alanına ait olan bir bilgisayar veya hesaptan bir sertifika için kaydolmayı denerken aşağıdaki ileti görüntülenir: "Şablon bulunamadı. Sertifika isteme izniniz bulunan hiçbir CA yok veya Active Directory'ye erişirken hata oluştu."
-
Bir kaydolma aracısı bir kullanıcı adına belirli bir sertifika şablonuna kaydolamıyor
-
Bir etki alanı yeniden adlandırıldıktan sonra, sınırlandırılmış sertifika yöneticisi veya kaydolma aracısı işlemleri gerçekleştirilemiyor
-
CA'ma yeni bir sürüm 2 veya sürüm 3 sertifika şablonu ekleyemiyorum
-
Burada listelenmeyen bir sorun yaşıyorum
Otomatik kayıt yapılandırıldıktan sonra istemciler sertifikalar için otomatik olarak kaydolmuyor.
-
Neden: Otomatik kayıt için kullanılan Grup İlkesi bilgileri istemci bilgisayarlara henüz çoğaltılmamıştır. Varsayılan olarak, bu bilgilerin tüm bilgisayarlara çoğaltılması iki saat kadar sürebilir.
-
Çözüm: Grup İlkesinin çoğaltmayı tamamlamasını bekleyin veya çoğaltma işleminin hemen gerçekleşmesini zorunlu kılmak için Gpupdate komut satırı aracını kullanın. Daha fazla bilgi için bkz. Gpupdate (
https://go.microsoft.com/fwlink/?LinkId=94248 ) (Bu sayfa İngilizce içeriğe sahip olabilir).
Bir CA, kuruluş CA'sı olarak yüklenemedi veya bir bağımsız CA'yı tanımak üzere CA Web kaydı desteği yüklenemedi.
-
Neden: CA, Enterprise Admins veya Domain Admins grubunun üyesi olmayan bir kullanıcı tarafından yüklenmiştir; bu nedenle, kuruluş CA'sı seçeneği kullanılamamıştır ve CA ile ilgili bilgiler Active Directory Etki Alanı Hizmetleri'ne (AD DS) yayımlanamaz.
-
Çözüm: CA'yı ve CA Web kaydı desteğini yüklemek için Enterprise Admins veya Domain Admins grubunun üyesi bir kullanıcı olarak oturum açın.
-
Neden: CA kurulumu sırasında etki alanı erişilebilir durumda değildi.
-
Çözüm: CA kurulumu sırasında bir etki alanı denetleyicisine ağ bağlantınız olduğundan emin olun.
CA Web sayfalarına erişirken hata oluştu.
-
Nedeni: Web sayfalarına erişen kullanıcı yerel bilgisayarda Administrators veya Power Users grubunun üyesi değildir. CA'da Web kaydı yazılımının daha yeni bir sürümü hazır olduğunda, istemci bilgisayarın bu yazılımı yüklemesi gerekir. Kullanıcının yazılımı yüklemek için Administrators veya Power Users grubunun üyesi olması gerekir.
-
Çözüm: Web kaydı sayfalarına erişmek ve yazılımın daha yeni sürümünü yüklemek için, Administrators veya Power Users grubunun üyesi bir kullanıcı olarak oturum açın.
-
Neden: Web sayfaları CA'da yüklü değildir.
-
Çözüm: Web kaydı sayfalarını yüklemek için CA'da bir komut satırından certutil -vroot komutunu çalıştırın.
Bir kullanıcı akıllı kartla oturum açmayı denemekte ve buradaki iletiyle karşılaşmaktadır: "Sistemin birincil etki alanındaki bilgisayar hesabı eksik veya hesabın parolası yanlış olduğu için sistem bu etki alanında oturum açamaz."
-
Neden: Bilgisayar hesabı devre dışı bırakılmış olabilir veya akıllı kart sertifikasını yayımlayan CA, bilgisayar tarafından güvenilir kabul edilmemektedir.
-
Çözüm:
-
Bilgisayar hesabının etki alanında etkin olduğunu doğrulayın.
-
Sertifikalar ek bileşenini kullanarak, kök CA'nın sertifikasının kullanıcının bilgisayarındaki Güvenilen Kök Sertifika Yetkilileri deposunda olduğunu doğrulayın.
-
Sertifikalar ek bileşenini kullanarak, etki alanı denetleyicisine, güvenilen bir köke doğrulanabilecek bir etki alanı denetleyicisi sertifikası verildiğini doğrulayın.
-
Bilgisayar hesabının etki alanında etkin olduğunu doğrulayın.
CA'nın yüklü olduğu etki alanının bir alt etki alanına ait olan bir bilgisayar veya hesaptan bir sertifika için kaydolmayı denerken aşağıdaki hata görüntülenir: "Şablon bulunamadı. Sertifika isteme izniniz bulunan hiçbir CA yok veya Active Directory'ye erişirken hata oluştu."
-
Neden: Sertifika şablonlarında gerekli güvenlik izinleri ayarlanmamıştır.
-
Çözüm: Sertifika şablonlarının güvenlik izinlerini, kaydolmaya izin vermek istediğiniz alt etki alanı hesaplarını içerecek şekilde değiştirin. Sertifika şablonlarına yönelik erişim denetimi ayarlamak için, bkz. Sertifika Şablonlarını Temel Alan Sertifikalar Verme (
https://go.microsoft.com/fwlink/?LinkID=142333 (Bu sayfa İngilizce içeriğe sahip olabilir) ).
Bazı erişim denetimi önbelleklerinin, güvenlik izinlerinde değişiklik yapıldıktan sonra zaman aşımına uğraması gerekir, bu nedenle yeni güvenlik izinleri tüm ağa çoğaltılmadan önce kısa bir süre beklemeniz gerekebilir.
Bir kaydolma aracısı bir kullanıcı adına belirli bir sertifika şablonuna kaydolamıyor.
-
Neden: Kaydolma aracısı sınırlamaları, kaydolma aracısının bu kullanıcı grubuna ilişkin sertifika şablonuna dayalı sertifikalar için kaydolmasını önleyecek şekilde yapılandırılmış olabilir.
-
Çözüm: Kaydolma aracısının bu sertifika şablonuna dayalı sertifikalar veya bu kullanıcı grubu için kaydolmasını amaçlıyorsanız, bu durum tasarımdan kaynaklanıyor olabilir. Tasarımdan kaynaklanmıyorsa, bu grup veya sertifika şablonu için doğru kaydolma aracısı izinlerini yapılandırmak için Kısıtlı Kaydolma Aracıları Belirleme başlığı altındaki adımları izleyin.
-
Neden: Kaydolma aracısı sertifikası bir Cryptography Next Generation (CNG) anahtarıyla yapılandırılmıştır ve sertifika Windows Server 2003 tabanlı bir CA'dan istenmektedir.
-
Çözüm: Windows Server 2003 tabanlı CA'larla uyumlu bir kaydolma aracısı sertifikası kullanın veya Windows Server 2008 R2 ya da Windows Server 2008 çalıştıran bir bilgisayardaki CA'dan sertifikayı isteyin.
Bir etki alanı yeniden adlandırıldıktan sonra, sınırlandırılmış sertifika yöneticisi veya kaydolma aracısı işlemleri gerçekleştirilemiyor
-
Nedeni: Sınırlandırılmış yönetici işlemleri için, CA'lar yöneticinin isteği yönetmek için haklara sahip olduğunu doğrulamak üzere, istek sahibinin Active Directory veritabanında depolanan Güvenlik Hesapları Yöneticisi (SAM) adını kullanır. Bununla birlikte, SAM adı etki alanı adını içerir ve etki alanı adı değiştirilirse (adın yalnızca DNS bölümü yerine), sınırlandırılmış yönetici işlemi başarısız olur.
-
Çözüm: Kaydolma işlemini yeniden denemeden önce sınırlandırılmış yönetici izinlerini devre dışı bırakın veya yeniden yapılandırın.
CA'ma yeni bir sürüm 2 veya sürüm 3 sertifika şablonu ekleyemiyorum.
-
Nedeni: CA, Windows Server 2008 R2 Standard veya Windows Server 2008 Standard çalıştıran bir sunucuya yüklenir. Sürüm 2 ve sürüm 3 sertifika şablonları ve sertifika otomatik kaydı yalnızca Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise veya Windows Server 2008 Datacenter üzerinde yüklü CA'larla kullanılabilir.
-
Çözüm:Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise veya Windows Server 2008 Datacenter'a yükseltme yapın.
Burada listelenmeyen bir sorun yaşıyorum.
-
Neden: Sunucunun olay günlüğünü denetleyin. Karşılaştığınız sorunu tanılayıp çözmenize yardımcı olabilecek daha ayrıntılı hata iletileri içerebilir.
-
Çözüm: Active Directory Sertifika Hizmetleri tarafından günlüğe kaydedilen olaylar hakkında daha fazla bilgi için bkz. Active Directory Sertifika Hizmetleri Sorunlarını Giderme (
https://go.microsoft.com/fwlink/?LinkId=89215 ) (Bu sayfa İngilizce içeriğe sahip olabilir).