Вопросы Теги

Нет шаблонов сертификатов на сервере служб сертификации в Windows 2019

Здесь ведется много дискуссий об этой проблеме, и я потратил целый день на изучение каждого из них. Все задействованные в этом серверы - это Windows 2019. 2 контроллера домена и сервер центра сертификации. После установки службы сертификатов я также установил компонент Web Enrollment. Но когда я захожу на сайт регистрации моего сервера, меня встречают с такой ошибкой:

enter image description here

Я выбрал несколько вариантов. Я подтвердил разрешения через: https: //www.altaro.com / hyper-v / windows-ssl-certificate-templates /

Я проверил конфигурации объекта LDAP через: https://docs.microsoft.com/en-US/troubleshoot/windows- server / windows-security / no-certificate-templates-be-found

Я проверил конфигурацию с этого сайта: https://docs.microsoft.com/en-us/answers/ questions / 96739 / certificate-template-not-shown.html

У меня заканчиваются варианты. Шаблон явно есть: enter image description here

У меня совершенно нет идей. Я расстроен этим. Есть ли у кого-нибудь другие идеи?

1
задан 31 March 2021 в 03:58
1 ответ

О боже. Этот может быть непростым. После долгих поисков неисправностей и ругани по поводу mscersvc я составил «верхний список» своих решений. Извините, если вы уже сделали некоторые из них.

  • Проверьте и подтвердите https: // support.microsoft.com/en-us/kb/811418
  • Убедитесь, что разрешения безопасности для шаблонов установлены должным образом (проверьте удостоверение пула приложений)
  • Убедитесь (без всяких сомнений!), что ваша репликация AD работает нормально и может см. свои шаблоны на на каждом DC (!)
  • Убедитесь, что Предложение в запросе было выбрано на вкладке Имя субъекта
  • Создано новый пул приложений IIS и назначил ему каталог Certsrv (тройная проверка соответствующих разрешений). Связывание только с http (!)
  • Убедитесь, что совместимость шаблона сертификата была такой же или ниже функционального уровня домена и леса (в то время как в 2019 году я бы не удивился, если нет - большинство доменов находятся на более старом FL или DL)
  • Измените идентификатор пула приложений с ApplicationPoolIdentity на NetworkService (и дважды проверьте разрешения NTFS. Это может показаться странным, если Certsvc был настроен на контроллере домена, что я бы вообще не рекомендовал)
  • Проверить наличие дубликатов и / или списанных сертификатов AD certsvcs (и выдача имени сервера и запросов сертификата) с помощью ldifde -f check.txt -d "CN = Configuration, DC = , DC = " . Когда вы найдете «второй», выследите его или полностью удалите его шаблоны. Затем repadmin / syncall / AdePq (и ждите)
  • (устаревшей) веб-консоли требуются разрешения на чтение, запись, регистрацию и авторегистрацию для отображения шаблона
  • Make убедитесь, что ваш центр сертификации использует поставщика хранилища ключей (KSP) (и SHA2), а 2019 - веб-интерфейс

. Желаю вам удачи.

1
ответ дан 24 April 2021 в 00:49

Теги

Похожие вопросы