web-dev-qa-db-ja.com

Active Directory証明書の登録エラー

Active Directoryログにこのエラーが表示されます。エラーはSBS 2008ボックスである私のプライマリDCにあります。リクエストを実行しているコンピューターは、サーバー2008 r2を実​​行している私のセカンダリDCです。

エラーのため、Active Directory証明書サービスは要求##を処理できませんでした:要求の現在のステータスでは、この操作は許可されていません。 0x80094003(-2146877437)。要求はdomain\server2008r2 $に対するものでした。

R2サーバーログに次のエラーがあります。

ローカルシステムの自動証明書登録に失敗しました(0x800b0101)現在のシステムクロックまたは署名済みファイルのタイムスタンプを確認するときに、必要な証明書が有効期間内ではありません。 。

サムプリント######################を使用したローカルシステムの証明書が間もなく期限切れになるか、すでに期限切れです。

どうすればこれらを解決できますか?

編集:解析エラーのために要求が失敗したことをCAスナップインが報告することを追加したかっただけです。

編集2:プライマリドメインコントローラー(sbs 2008サーバー)で、ルート証明書の有効期限が切れているようです。私は更新と新しいもののリクエストの両方を試みましたが、有効なテンプレートがないと表示されています。

2
Andy

私はこれを理解しました。私の編集で示されているように、根本的な原因は私のpdcのルート証明書が期限切れになったことでした。

修正は、認証局スナップインを開き、左側のツリーでサーバーを右クリックして、[すべてのタスク]に移動し、下部で[CA証明書の更新]を選択することでした。

これによりダイアログが表示されましたが、[OK]をクリックすると、証明書を作成できず、権限が拒否され、オブジェクトが既に存在しているというエラーが発生しました。

ADCSを停止してからProgramData\Microsoft\Crypto\RSA\MachineKeysに移動して日付順に並べ替えると、最新のものが一番上にあることがわかりました。メモ帳で開いたところ、聞いていたオブジェクトの名前が存在することがわかりました。

ファイルをデスクトップに移動してADCSを再起動し、CA証明書の更新を再試行しました。今回はうまくいきました。

私はこれが他のバックアップの問題も修正したことを確認しましたDC gpupdate/forceを正常に実行することによって、私が得ていたエラーのどれも見えませんでした。

0
Andy

これは通常、ドメインのActive Directory証明書サービスの認証局が利用できないことが原因です。ドメインコントローラーが自動登録に参加できない理由を調べてください。

2
user62491