特定の要求がActiveDirectory証明書サービス(ADCS)ポリシーモジュールによって拒否された理由を監査および理解するための運用手順を開発する必要があります。
GUIですべてのログ(チェックボックス)をオンにして、イベントログを確認しました。失敗したリクエストごとに1つのイベントログエントリしか表示されませんが、失敗の原因を特定する明確な方法がありません。失敗の例を以下に示します。
認証局の証明書に無効なデータが含まれているため、ActiveDirectory証明書サービスは要求4を拒否しました。 0x80094005(-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)。リクエストは、CN = Issue01a、CN = Bits.com、OU =電子メールセキュリティ用、O = Bits LLC、C = USに対するものでした。追加情報:ポリシーモジュールによって拒否されました
上記の例は、親CAの有効期間を超えて延長される有効期間を意図的に持っていたサブCAです。
上記のエラーコードまたは他の場所からその理由を導き出したいと思っています。
私がしたこと:グーグルでエラー「2146877435」を検索すると、この投稿がプルアップされます。最初の数ページの結果はいずれも、エラーコードと理由のリストではありません。
このリンク 証明書サービスからさらにログを抽出する方法について説明します。再起動が必要な場合があります。
ネイティブWindowsCertEnrollクライアントのデバッグログを有効にするには、次のコマンドを実行します。
Certutil –setreg enroll\debug 0xffffffe3ログファイルは次の場所にあります:%windir%\ CertEnroll.log
certutil –setreg ca\debug 0xffffffe3ログファイルは次の場所にあります:%windir%\ certsrv.log