Exporter (0) Imprimer
Développer tout

Résoudre les problèmes liés aux services de certificat Active Directory

Mis à jour: août 2010

S'applique à: Windows Server 2008

Cette section répertorie les problèmes courants susceptibles de se produire lorsque vous utilisez le composant logiciel enfichable Autorité de certification ou travaillez avec des autorités de certification. Pour plus d’informations sur la résolution des problèmes liés aux autorités de certification, voir l’article relatif à la résolution des problèmes liés aux services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkId=89215) (éventuellement en anglais).

Quels sont les problèmes rencontrés ?

Après avoir configuré l’inscription automatique, les clients ne s’inscrivent pas automatiquement pour obtenir des certificats.
  • Cause : les informations de Stratégie de groupe utilisées pour l’inscription automatique n’ont pas encore été répliquées sur les ordinateurs clients. Par défaut, ces informations peuvent prendre jusqu’à deux heures pour être répliquées sur tous les ordinateurs.

  • Solution : attendez que la Stratégie de groupe termine la réplication ou utilisez l’outil de ligne de commande Gpupdate pour forcer la réplication immédiate. Pour plus d’informations, voir Gupdate (http://go.microsoft.com/fwlink/?LinkId=94248) (éventuellement en anglais).

Il est impossible d’installer une autorité de certification d’entreprise, ou la prise en charge de l’inscription Web ne peut pas être installée pour reconnaître une autorité de certification autonome.
  • Cause : l’autorité de certification a été installée par un utilisateur qui n’est pas membre du groupe Administrateurs de l’entreprise ou Admins du domaine ; par conséquent, l’option Autorité de certification d’entreprise n’était pas disponible et les informations de l’autorité de certification ne peuvent pas être publiées dans les services de domaine Active Directory (AD DS).

  • Solution : connectez-vous en tant qu’utilisateur membre du groupe Administrateurs de l’entreprise ou Admins du domaine pour installer l’autorité de certification et la prise en charge de l’inscription Web.

  • Cause : le domaine n’était pas accessible durant l’installation de l’autorité de certification.

  • Solution : assurez-vous que vous disposez d’une connectivité réseau au domaine durant l’installation de l’autorité de certification.

Erreur lors de l’accès aux pages Web de l’autorité de certification.
  • Cause : l’utilisateur qui accède aux pages Web n’est pas membre du groupe Administrateurs ou Utilisateurs avec pouvoir sur l’ordinateur local. Lorsqu’une nouvelle version du logiciel d’inscription Web est disponible sur l’autorité de certification, l’ordinateur client doit installer ce logiciel. L’utilisateur doit être membre du groupe Administrateurs ou Utilisateurs avec pouvoir pour installer le logiciel.

  • Solution : connectez-vous en tant qu’utilisateur membre du groupe Administrateurs ou Utilisateurs avec pouvoir pour accéder aux pages d’inscription Web et téléchargez la nouvelle version du logiciel.

  • Cause : les pages Web ne sont pas installées sur l’autorité de certification.

  • Solution : À partir d’une invite de commandes sur l’autorité de certification, exécutez certutil -vroot pour installer les pages d’inscription Web.

Un utilisateur tente de se connecter avec une carte à puce et reçoit ce message : « Le système ne peut ouvrir de session sur ce domaine car le compte système de l’ordinateur dans son domaine principal est manquant ou le mot de passe de ce compte est incorrect. »
  • Cause : le compte de l’ordinateur a peut-être été désactivé ou l’autorité de certification qui a émis le certificat de carte à puce n’est pas approuvée par l’ordinateur.

  • Solution :

    1. vérifiez que le compte de l’ordinateur est activé dans le domaine.

    2. Utilisez le composant logiciel enfichable Certificats pour vous assurer que le certificat de l’autorité de certification se trouve dans le magasin Autorités de certification de racine de confiance sur l’ordinateur de l’utilisateur.

    3. Utilisez le composant logiciel enfichable Certificats pour vérifier que le contrôleur de domaine a reçu un certificat de contrôleur de domaine vérifiable à une racine approuvée.

Lorsque vous tentez de vous inscrire pour obtenir un certificat depuis un ordinateur ou un compte appartenant à un domaine enfant de celui de l’autorité de certification, le message d’erreur suivant apparaît : « Aucun modèle n’a pu être trouvé. Aucune Autorité de certification n’existe pour laquelle vous avez l’autorisation de demander un certificat, ou une erreur s’est produite lors de l’accès à l’annuaire Active Directory. »
  • Cause : les autorisations de sécurité nécessaires ne sont pas configurées dans les modèles de certificats.

  • Solution : modifiez les autorisations de sécurité pour les modèles de certificats de façon à inclure les comptes du domaine enfant depuis lequel vous voulez autoriser l’inscription. Pour définir le contrôle d’accès des modèles de certificats, voir les informations relatives à l’émission des certificats à partir des modèles de certificats (http://go.microsoft.com/fwlink/?LinkID=142333).

    Certains caches de contrôle d’accès doivent expirer après toute modification des autorisations de sécurité ; vous risquez donc de devoir patienter un court moment avant que les nouvelles autorisations de sécurité soient répliquées sur le réseau.

Un agent d’inscription ne peut pas procéder aux inscriptions pour le compte d’un autre utilisateur pour un modèle de certificat spécifique.
  • Cause : des restrictions d’agent d’inscription ont peut-être été configurées afin d’éviter que l’agent d’inscription ne procède à des inscriptions pour obtenir des certificats basés sur le modèle de certificat pour ce groupe d’utilisateurs.

  • Solution : il s’agit peut-être du comportement normal, si vous souhaitez que l’agent d’inscription procède à des inscriptions pour obtenir des certificats basés sur ce modèle de certificat ou pour ce groupe d’utilisateurs. Si ce n’est pas le cas, suivez les étapes dans Établir des agents d’inscription restreints pour configurer les autorisations correctes de l’agent d’inscription pour ce groupe et ce modèle de certificat.

  • Cause : le certificat de l’agent d’inscription est configuré avec une clé CNG (Cryptography Next Generation) et le certificat est demandé à une autorité de certification Windows Server 2003.

  • Solution : utilisez un certificat compatible avec les autorités de certification Windows Server 2003 ou demandez le certificat à une autorité de certification sur un ordinateur exécutant Windows Server 2008 R2 ou Windows Server 2008.

Les opérations du gestionnaire de certificat restreint ou de l’agent d’inscription ne peuvent pas être effectuées après avoir renommé un domaine.
  • Cause : pour les opérations d’un officier restreint, une autorité de certification utilise le nom SAM (Security Accounts Manager) du demandeur stocké dans la base de données Active Directory afin de vérifier si l’officier dispose bien des droits nécessaires pour gérer la demande. Cependant, le nom SAM contient le nom de domaine et l’opération d’officier restreint échouera si le nom de domaine est modifié (plutôt que la simple partie DNS du nom).

  • Solution : désactivez ou reconfigurez les autorisations de l’officier restreint avant de réessayer l’opération d’inscription.

Je ne peux pas ajouter de nouveau modèle de certificat version 2 ou version 3 à mon autorité de certification.
  • Cause : l’autorité de certification est installée sur un serveur exécutant Windows Server 2008 R2 Standard ou Windows Server 2008 Standard. L’inscription automatique de certificats et les modèles de certificats version 2 et version 3 peuvent être utilisés uniquement avec une autorité de certification installée sur Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, un serveur Windows Server 2008 Entreprise ou Windows Server 2008 Datacenter.

  • Solution : procédez à la mise à niveau vers Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Entreprise ou Windows Server 2008 Datacenter.

Je rencontre un problème qui n’est pas répertorié ici.
  • Cause : examinez le journal des événements du serveur. Il contient fréquemment des messages d’erreur plus détaillés qui peuvent vous aider à diagnostiquer et à résoudre les problèmes que vous rencontrez.

  • Solution : pour plus d’informations sur les événements enregistrés par les services AD CS, voir la page relative à la résolution des problèmes liés aux services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkId=89215) (éventuellement en anglais).

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft