Ad-Certificate-Services

Active Directory 證書服務 CEP/CES 不會顯示添加到 CA 的模板

  • April 5, 2018

我在 Server 2016 上執行它,域是 2012r2,客戶端電腦是 Win10 和 Win7。

我最近設置了一個兩層 PKI 基礎架構(離線根),並且我對大多數配置沒有任何問題。我目前遇到的問題與 CEP/CES Web 服務有關。

中間 CA 與我們大多數加入域的電腦分開,因此我無法使用 LDAP 註冊策略進行註冊(不允許大多數客戶端對 CA 的 RPC 訪問)。考慮到這一點,我創建了 CRL/AIA 資訊所在的第三個伺服器,以及託管 CEP/CES Web 服務(Kerberos,無基於密鑰的更新)。加入域的機器可以毫無問題地添加和驗證註冊策略伺服器,但是當我嘗試申請新證書時,可用模板列表為空白。證書註冊對話框顯示消息“證書類型不可用”

當我在有權訪問中間 CA 的加入域的電腦上使用基於 LDAP 的註冊策略時,我會看到我已設置 CA 以發布的所有模板,並且可以毫無問題地為其中任何一個送出註冊請求。

當我配置 CEP Web 服務時,我必須首先更改第 3c 節中概述的 Web 服務的策略 ID(當 LDAP 和 CEP 時 GUID 與現有 GUID 衝突…),以便客戶端驗證註冊策略伺服器正確。

我已經驗證我的測試機器和測試使用者都對我期望看到的所有模板具有讀取和註冊權限,我已經重新啟動了 CA 和託管 CEP/CES Web 服務的伺服器。

任何幫助,將不勝感激。

我終於屈服並支付了與微軟的支持事件。他們讓我解除安裝並重新安裝網路服務,一切都像奇蹟一樣執行。我們從未找到根本原因。

引用自:https://serverfault.com/questions/848070