本節列出在使用 [憑證授權單位] 嵌入式管理單元,或使用憑證授權單位 (CA) 時可能會遭遇的一些常見問題。如需疑難排解和解決 CA 問題的相關資訊,請參閱<Active Directory 憑證服務疑難排解>(https://go.microsoft.com/fwlink/?LinkId=89215 (可能為英文網頁))。

您遇到什麼問題?

設定自動註冊之後,用戶端無法自動註冊憑證。
  • 原因:用於自動註冊的群組原則資訊尚未複寫到用戶端電腦上。根據預設,複寫此資訊到所有電腦最多需要花費兩個小時。

  • 解決方案:等待群組原則完成複寫,或者使用 Gpupdate 命令列工具來強制立即複寫。如需相關資訊,請參閱<Gpupdate>(https://go.microsoft.com/fwlink/?LinkId=94248 (可能為英文網頁))。

無法將 CA 安裝為企業 CA,或者無法安裝 CA 網頁註冊支援,以辨識獨立 CA。
  • 原因:CA 是由非 Enterprise AdminsDomain Admins 群組成員的使用者所安裝;因此,無法使用企業 CA 選項,且無法發行 CA 的相關資訊至 Active Directory 網域服務 (AD DS)。

  • 解決方案:以 Enterprise AdminsDomain Admins 群組成員身分的使用者登入,來安裝 CA 和 CA 網頁註冊支援。

  • 原因:CA 安裝期間,無法存取網域。

  • 解決方案:請確定您在 CA 安裝期間,具有連至網域控制站的網路連線。

存取 CA 網頁時發生錯誤。
  • 原因:存取網頁的使用者不是本機電腦上的 AdministratorsPower Users 群組成員。當 CA 有較新版本的網頁註冊軟體可使用時,用戶端電腦必須安裝該軟體。使用者必須是 AdministratorsPower Users 群組成員,才能安裝軟體。

  • 解決方案:以 AdministratorsPower Users 群組成員身分的使用者登入,來存取網頁註冊頁面並下載較新版本的軟體。

  • 原因:CA 未安裝網頁。

  • 解決方案:從 CA 上的命令提示字元,執行 certutil -vroot 以安裝網頁註冊頁面。

使用者嘗試使用智慧卡登入,並收到下列訊息:「系統無法讓您登入此網域,因為系統在其主網域中的電腦帳戶遺失,或者帳戶中的密碼不正確。」
  • 原因:可能已停用電腦帳戶,或發行智慧卡憑證的 CA 不受此電腦信任。

  • 解決方案

    1. 確認電腦帳戶已在網域中啟用。

    2. 使用 [憑證] 嵌入式管理單元,來確認根 CA 的憑證位於使用者電腦上的 [信任根憑證授權單位] 存放區中。

    3. 使用 [憑證] 嵌入式管理單元,來確認已將網域控制站憑證發行給網域控制站,讓信任的根憑證驗證。

嘗試從隸屬於 CA 所在網域之子網域的電腦或帳戶註冊憑證時,出現下列錯誤:「找不到範本。沒有任何您有使用權限從中要求憑證的 CA,或是存取 Active Directory 時發生錯誤。」
  • 原因:憑證範本未設定所需的安全性權限。

  • 解決方案:修改憑證範本的安全性權限,以包含您要允許註冊的子網域帳戶。若要設定憑證範本的存取控制,請參閱<根據憑證範本簽發憑證>(https://go.microsoft.com/fwlink/?LinkID=142333 (可能為英文網頁))。

    某些存取控制快取必須在變更安全性權限後逾時,因此您必須短暫等候一段時間,才能透過網路複寫新的安全性權限。

註冊代理程式無法代表使用者註冊特定的憑證範本。
  • 原因:註冊代理程式限制可能已根據此使用者群組的憑證範本,設定為禁止註冊代理程式註冊憑證。

  • 解決方案:如果您確實想讓註冊代理程式根據此憑證範本來註冊憑證或註冊此使用者群組憑證,則此行為可能是原廠設定。如果不是原廠設定,請遵循建立受限的註冊代理程式中的步驟,針對此群組和憑證範本設定正確的註冊代理程式權限。

  • 原因:使用新一代加密編譯 (CNG) 金鑰設定註冊代理程式憑證,且由 Windows Server 2003 CA 要求憑證。

  • 解決方案:使用與 Windows Server 2003 CA 相容的註冊代理程式憑證,或者從執行 Windows Server 2008 R2 或 Windows Server 2008 電腦上的 CA 要求憑證。

重新命名網域後,便無法完成已限制的憑證管理員或註冊代理程式操作。
  • 原因:對於受限制的核證者操作,CA 會依賴儲存於 Active Directory 資料庫之要求者的安全性帳戶管理員 (SAM) 名稱,來確認核證者具備管理要求的權限。不過,SAM 名稱包含網域名稱,如果網域名稱變更 (已不只是名稱的 DNS 部分),則限制核證者操作便會失敗。

  • 解決方案:再次嘗試註冊作業之前,停用或重新設定限制核證者權限。

我無法將新版本 2 或版本 3 的憑證範本新增至我的 CA 中。
  • 原因: CA 安裝於執行 Windows Server 2008 R2 Standard 或 Windows Server 2008 Standard 的伺服器上。版本 2 或版本 3 憑證範本和憑證自動註冊僅可與安裝於 Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 上的 CA 搭配使用。

  • 解決方案: 升級為 Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter。

此處未列出我的問題。
  • 原因:檢查伺服器的事件記錄檔。它通常會包含更為詳盡的錯誤訊息,可協助您診斷並解決所遇到的問題。

  • 解決方案:如需由 Active Directory 憑證服務所記錄之事件的相關資訊,請參閱<Active Directory 憑證服務疑難排解>(https://go.microsoft.com/fwlink/?LinkId=89215 (可能為英文網頁))。


目錄