本部分列出了使用“证书颁发机构”管理单元或使用证书颁发机构 (CA) 时可能遇到的一些常见问题。有关解答和解决 CA 问题的详细信息,请参阅“Active Directory 证书服务疑难解答”(https://go.microsoft.com/fwlink/?LinkId=89215)(可能为英文网页)。

您遇到了什么问题?

客户端在配置自动注册后不自动注册证书。
  • 原因:用于自动注册的组策略信息尚未复制到客户端计算机。默认情况下,此信息需要长达两个小时才能复制到所有计算机。

  • 解决方案:请等待组策略完成复制,或者使用 Gpupdate 命令行工具立即强制执行复制。有关详细信息,请参阅“Gpupdate”(https://go.microsoft.com/fwlink/?LinkId=94248)(可能为英文网页)。

不能将 CA 安装为企业 CA,或者不能安装 CA Web 注册支持以识别独立 CA。
  • 原因:安装 CA 的用户不是 Enterprise AdminsDomain Admins 组的成员;因此,企业 CA 选项不可用,而且无法将关于 CA 的信息发布到 Active Directory 域服务 (AD DS)。

  • 解决方案:以 Enterprise AdminsDomain Admins 组成员的用户身份登录来安装 CA 和 CA Web 注册支持。

  • 原因:在安装 CA 过程中域不可访问。

  • 解决方案:确保在安装 CA 过程中具有到域控制器的网络连接。

在访问 CA 网页时出错。
  • 原因:访问网页的用户不是本地计算机上的管理员Power Users 组的成员。当 CA 上有较新版本的 Web 注册软件时,客户端计算机必须安装该软件。用户必须是管理员Power Users 组的成员才能安装该软件。

  • 解决方案:以管理员Power Users 组成员的用户身份登录来访问 Web 注册页,并下载较新版本的软件。

  • 原因:CA 上未安装网页。

  • 解决方案:在 CA 的命令提示符下,运行 certutil -vroot 以安装 Web 注册页。

用户尝试使用智能卡登录并收到以下消息:“系统无法让您登录到此域,因为主域中系统的计算机帐户丢失或者帐户密码不正确。”
  • 原因:可能计算机帐户被禁用,或者计算机不信任颁发智能卡证书的 CA。

  • 解决方案

    1. 验证是否在域中启用了计算机帐户。

    2. 使用“证书”管理单元验证根 CA 的证书是否位于用户计算机的受信任根证书颁发机构存储中。

    3. 使用“证书”管理单元验证是否已向域控制器颁发可以向受信任的根验证的域控制器证书。

在尝试从属于 CA 所在域的子域的计算机或帐户注册证书时,出现以下错误:“找不到模板。您有权申请证书的位置不存在 CA,或者在访问 Active Directory 时发生错误。”
  • 原因:在证书模板上没有设置必要的安全权限。

  • 解决方案:修改证书模板的安全权限,使之包括允许从中进行注册的子域帐户。若要设置证书模板的访问控制,请参阅“颁发基于证书模板的证书”(https://go.microsoft.com/fwlink/?LinkID=142333)(可能为英文网页)。

    在更改安全权限之后,某些访问控制缓存必定超时,因此可能需要稍等一小段时间之后,才能通过网络复制新的安全权限。

注册代理不能代表用户注册特定的证书模板。
  • 原因:可能已配置注册代理限制,从而阻止了注册代理基于证书模板为此用户组注册证书。

  • 解决方案:如果您确实想让注册代理基于此证书模板为此用户组注册证书,可以通过设计实现此行为。如果不通过设计实现,请遵循建立受限注册代理中的步骤,为此用户组和证书模板配置正确的注册代理权限。

  • 原因:注册代理证书配置了“下一代加密技术(CNG)”密钥,却从基于 Windows Server 2003 的 CA 申请证书。

  • 解决方案:使用与基于 Windows Server 2003 的 CA 兼容的注册代理证书,或者从运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上的 CA 申请证书。

在重命名域之后,无法完成受限证书管理员或注册代理操作。
  • 原因:对于受限制的官员操作,CA 根据存储在 Active Directory 数据库中的申请者的安全帐户管理器 (SAM) 名称来验证该官员是否有权管理申请。但是,如果更改域名(不只是域名的 DNS 部分),则 SAM 名包含域名并且受限制官员的操作将失败。

  • 解决方案:禁用或重新配置受限制的官员权限,然后再次尝试进行注册操作。

我无法向我的 CA 中添加新的版本为 2 或 3 的证书模板。
  • 原因:CA 安装在运行 Windows Server 2008 R2 Standard 或 Windows Server 2008 Standard 的服务器上。版本为 2 和 3 的证书模板和证书自动注册只能与安装在 Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 上的 CA 一起使用。

  • 解决方案:升级到 Windows Server 2008 R2 Enterprise、 Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter。

我的问题在这里没有列出。
  • 原因:检查服务器的事件日志。其中通常包含更详细的错误消息,这些消息可以帮助您诊断和解决遇到的问题。

  • 解决方案:有关 Active Directory 证书服务记录的事件的详细信息,请参阅“Active Directory 证书服务疑难解答”(https://go.microsoft.com/fwlink/?LinkId=89215)(可能为英文网页)。


目录