NDES AD 证书服务配置错误

tag-icon tag-icon ad-certificate-services
NDES AD 证书服务配置错误

在为我的 Win server 2019 配置 NDES 时,我遇到了以下错误。

Failed to add the following certificate templates to the enterprise Active Directory Certificate Services or update security settings on those templates:
EnrollmentAgentOffline
CEPEncryption
IPSEC (Offline request)
Element not found. 0x80070490 (WIN32: 1168 ERROR_NOT_FOUND)

我已将 NdesService 帐户添加到本地/域 iis_iusrs 组,并为我的 NdesAdmin 和服务帐户添加了 3 个必需模板的读取和注册。重新安装多次后,它仍然不起作用。有人可以帮忙吗?谢谢!

答案1

列出的错误可能是由几个不同的问题引起的。第一个是默认模板的权限。安装 NDES 的帐户需要企业管理员权限(仅适用于安装)。从尝试安装时使用的同一帐户,登录到 NDES 配置期间选择的 CA,然后从管理员 CMD 或 PowerShell 手动将模板发布到 CA:

certutil -setcatemplates +CEPEncryption certutil -setcatemplates +EnrollmentAgentOffline certutil -setcatemplates +IPSECIntermediateOffline

如果失败,则是默认模板的权限。

如果成功,则验证 NDES 配置期间选择的 CA 的证书是否存在于 NDES 服务器受信任存储中。如果您的 PKI 是 2 层,请验证根证书是否位于受信任的根证书中,并且用于配置的颁发 CA 是否位于中间认证存储中。

相关内容