Active-Directory

Active Directory 證書註冊錯誤

  • February 11, 2020

我在我的 Active Directory 日誌中看到此錯誤。錯誤出現在我的主 dc 上,它是 SBS 2008 盒子。執行請求的電腦是我的輔助 dc 執行伺服器 2008 r2。

由於錯誤,Active Directory 證書服務無法處理請求 ##:請求的目前狀態不允許此操作。0x80094003 (-2146877437)。請求是針對域\server2008r2$。

我在 r2 伺服器日誌中有這些錯誤:

本地系統的自動證書註冊失敗 (0x800b0101) 根據目前系統時鐘或簽名文件中的時間戳進行驗證時,所需證書不在其有效期內。.

帶有指紋的本地系統證書##################### 即將過期或已經過期。

我該如何解決這些問題?

編輯:只是想補充一點,CA 管理單元報告請求由於解析錯誤而失敗。

編輯 2:在我的主域控制器(sbs 2008 伺服器)中,根證書似乎已過期。我試過更新和請求一個新的,但它說沒有模板是有效的。

我已經想通了。如我的編輯所示,根本原因是我的 pdc 中的根證書已過期。

修復方法是打開證書頒發機構管理單元並右鍵點擊左側樹中的伺服器並轉到所有任務並在底部選擇更新 CA 證書。

這給了我一個對話框,但是當我點擊“確定”時,我遇到了一個錯誤,說它無法創建認證,權限被拒絕並且對像已經存在。

我發現如果我停止 ADCS 然後去 ProgramData\Microsoft\Crypto\RSA\MachineKeys 並按日期對它們進行排序,所以最近的在頂部。我用記事本打開它,我發現我被告知的對象的名稱是存在的。

我將文件移動到桌面並重新啟動 ADCS 並重試更新 CA 證書。這次奏效了。

我通過成功執行 gpupdate /force 驗證了這也解決了其他備份 DC 上的問題,並且沒有看到我遇到的任何錯誤。

這通常是由於您域的 Active Directory 證書服務的證書頒發機構不可用造成的。嘗試查看為什麼您的域控制器無法參與自動註冊。

引用自:https://serverfault.com/questions/597646