我在 Active Directory 日志中看到此错误。错误发生在我的主 dc 上,即 SBS 2008 框。执行请求的计算机是运行服务器 2008 r2 的辅助 dc。
Active Directory 证书服务无法处理请求 ##,原因是出现错误:请求的当前状态不允许此操作。0x80094003 (-2146877437)。请求针对的是 domain\server2008r2$。
我在 r2 服务器日志中发现以下错误:
本地系统的自动证书注册失败(0x800b0101)根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书未在有效期内。
带有指纹 ###################### 的本地系统的证书即将过期或已过期。
我该如何解决这些问题?
编辑:只是想补充一下,CA 管理单元报告请求由于解析错误而失败。
编辑 2:在我的主域控制器(sbs 2008 服务器)中,根证书似乎已过期。我尝试过续订和申请新证书,但系统提示没有有效的模板。
答案1
这通常是由于您域的 Active Directory 证书服务的证书颁发机构不可用造成的。请尝试查找域控制器无法参与自动注册的原因。
答案2
我已经解决了这个问题。正如我在编辑中指出的那样,根本原因是我的 pdc 中的根证书已过期。
解决方法是打开证书颁发机构管理单元,右键单击左侧树中的服务器,转到“所有任务”,然后在底部选择“更新 CA 认证”。
这给了我一个对话框,但是当我单击“确定”时,出现错误,提示无法创建认证、权限被拒绝且对象已存在。
我发现,如果我停止 ADCS,然后转到 ProgramData\Microsoft\Crypto\RSA\MachineKeys 并按日期对它们进行排序,那么最新的就在最上面。我用记事本打开它,我认出了我被告知存在的对象的名称。
我将文件移至桌面并重新启动 ADCS,然后重试更新 CA 证书。这次成功了。
我验证了这也通过成功执行 gpupdate /force 解决了其他备份 DC 上的问题,并且没有看到我收到的任何错误。