我不知道从哪里开始寻找
当请求证书时,服务器总是会收到错误消息“您目前无法请求证书,因为没有可用的证书类型”。然后对于每个证书,错误都是“证书模板上的权限不允许当前用户注册此类证书”。
我们的 CA 服务器位于一个 AD 站点中,该站点中的一台服务器能够从 CA 请求证书。不同站点(同一域)中的另一台服务器出现错误,但不同站点中的其他服务器运行正常
可以获得证书的机器上的同一个用户也是有问题的机器上出现问题的用户。域管理员对至少一个模板拥有完全权限,而我的管理员用户是域管理员
任何能帮助我了解下一步该去哪里的见解都将不胜感激。谢谢
答案1
嗯,该消息表明是用户权限而不是站点成员身份导致了问题。将证书模板上的权限与您尝试申请证书的用户帐户进行比较。
如果不是有关权限的消息,我会认为站点之间有一道强大的防火墙,导致 RPC 连接失败。
客户端在林级查找其能够(自动/)注册的证书,使用该证书查找其具有注册或自动注册权限的模板,然后询问 CA 是否可以获得其中一种证书类型。
每个 CA 都有其能够颁发的模板列表的一个子集,并且对 CA 本身应用了另一级权限,因此您需要同时拥有模板的权限和CA 才能完成证书签名请求。如果您有多个 CA,则需要检查每个 CA 的权限(以及允许颁发的证书)。
所以,简洁版本:找出问题用户的权限在 {AD 权限中的模板} 和 {CA 权限} 方面与工作用户的权限有何不同。如果它们不应该有任何不同(即相同/重复的用户在站点 B 中不起作用),我同意 Shane 关于可能存在 Repl 问题的观点。
答案2
站点之间的复制是否有效(并且是最新的)?
更新后的证书模板信息可能尚未到达其他站点。