Skip to main content

トラブルシューティング

トラブルシューティングを支援するため、自動登録はアクティビティログを書き込みます。トラブルシューティング時には、「より高い」レベルのログを使用することが役立つ場合があります。ログレベルが高いほど、アクションやエラーに関するより多くの情報が記録されます。

ログレベルを変更するには、自動登録ユーティリティのログプロパティを使用します。

さらに、Autoenrollment Server 設定ユーティリティは設定イベントを AEConfig.log というファイルに記録します。このファイルは次の場所にあります。

C:\Users\AE Administrator

設定エラーには、接続テスト中に接続を確立できなかったり、自動登録設定ファイルのインポートに失敗したりするケースが含まれます。

その他の一般的な自動登録に関する問題には、次のケースが含まれます。

クライアントまたは自動登録設定ユーティリティで証明書が保留中

証明書を公開できない

サブドメイン間で自動登録設定をインポートする

複数値 のActive Directory 属性を処理する

Autoenrollment Server の再起動時にエラーが発生する

ユーザーに対象の証明書テンプレートの登録権限があるかどうかを Autoenrollment Server が確認できない

Received unexpected CMS error

クライアントまたは自動登録構成ユーティリティで証明書が保留中

Autoenrollment Server が DigiCert ONE CA に対する申請を完了できない場合(接続の問題やサーバーのトラフィックが多いなど)、クライアントに保留中の応答が送信されます。その後、この情報はインストールディレクトリの RequestBufferFile.dat ファイルにキューとして保存されます。Autoenrollment Server は、DigiCert ONE から応答が受信されるまで、ファイルのキューを定期的に確認しながら申請を再試行します。保留中の申請の数は自動登録設定ユーティリティから確認することもできます。

Autoenrollment Server が DigiCert ONE CA への接続を再確立すると、申請は正常に処理されます。

証明書を公開できない(権限が却下された)

エンドユーザー証明書が Active Directory に公開されておらず、ログファイルに次のエラーメッセージが表示される場合、Autoenrollment Server には Active Directory 内で十分な権限がありません。

ERROR in Publish Certificate: Cannot commit data to Active Directory: permission denied 0x80070005

Autoenrollment Server が実行されているメインコンピュータを Active Directory グループの「Cert Publishers」に追加します。これらの変更を直ちに使用できるようにするには、Active Directory の複製を強制し、グループポリシーの更新を実行することを推奨します。

サブドメイン間で自動登録設定ファイルをインポートする

自動登録構成ファイルのインポート中に、以前に作成されたオブジェクトにアクセスして、新しいオブジェクトに随意アクセス制御リスト (DACL) を設定できないというエラーが発生することがあります。Autoenrollment Serverは、ネットワークのサブドメインの一部にあるマシンにインストールされている場合があります。この場合、フォレスト全体でAD複製を強制する必要があります。

以下は、repadmin.exeユーティリティを使用してActive DirectoryフォレストのActive Directory複製を強制的に実行するコマンドの例です。実装に応じた適切なコマンドやメカニズムを使用してください。

Repadmin /syncall

このコマンドは、ルートドメインコントローラとサブドメインドメインコントローラの間で、Active Directoryの複製を強制的に実行します。

複製が完了したら、自動登録構成ユーティリティのOKをクリックして、オブジェクトにDACLの設定を再試行します。

Autoenrollment Serverでの複数値のActive Directory属性を処理する

証明書プロファイルで、複数の値を持つ属性を証明書のサブジェクトの別名またはサブジェクト識別名にマッピングした場合、Active Directoryからこれらの属性に対して複数の値が返されることがあります。この場合、Autoenrollment Serverはリストからどの値も選ばず、この属性が必須であれば自動登録は失敗します。Autoenrollment Serverのログには、次のような警告メッセージが表示されます。

WARN Wed Oct 05 15:57:07 2011 [828] Attribute <CertificateProfile Configured AD attribute> has unexpected type: 8204

この問題を回避するには、複数値の属性に値が1つだけ含まれているようにします。

Autoenrollment Server の再起動時に致命的なエラーが発生する

Autoenrollment Server を再起動する際に自動登録設定ファイルを使用できない場合、Autoenrollment Server は起動しません。Windows サービスは、AutoEnrollmentDCOMSrv サービスに対して致命的なエラーを報告します。

また、ログファイルには次のようなエラーが記録されます。

AutoEnrollmentDCOMSrv: cannot run: AEException: Could not access CA interface (plugin): Could not initialize connection to CA. Check connection parameters and network connectivity!

この問題を回避するには、AutoEnrollment Server を設定する際に設定ファイルをインポートした場所が、

再起動時にサーバーにアクセス可能であることを確認します。

ユーザーに対象の証明書テンプレートの登録権限があるかどうかを Autoenrollment Server が確認できない

この問題は、次の条件下で発生する可能性があります。

  • ユーザーが証明書を自動登録できず、DigiCert Autoenrollment Server のログファイルに次のようなエントリが含まれている場合。

    • WARN [9128] CertificateTemplate::subjectHasEnrollPermission()[CertificateTemplate.cpp:1080]:Cannot initialize context from SID

    • INFO [9128] enrollmentAllowed()[Permission.cpp:366]:enrollmentAllowed: cannot check whether subject has enroll permission

  • DigiCert Autoenrollment Server が実行されているマシンに、ユーザーの SID の tokenGroupsGlobalAndUniversal 属性を読み取る権限がない場合。

この問題を回避するには、DigiCert Autoenrollment Server がインストールされているマシンをドメインコントローラ上の Windows 認証アクセスグループに追加します。

Received unexpected CMS error

When submitting a certificate request, the client user or computer receives the following error:

The certificate request could not be submitted to the certification authority. Error: The parameter is incorrect 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)

and in the DigiCert Autoenrollment Server logs, the corresponding entry appears as:

Got unexpected CMS error: CMSException: no signer infos found; one is required!

Possible cause

The issue may occur if the Certificate Services Client - Certificate Enrollment Policy is set to Enabled in the target Group Policy, and the registry value is propagated as 0x10 (decimal 16) instead of 0x14 (decimal 20) for [HKEY_CURRENT_USER|HKEY_LOCAL_MACHINE]\SOFTWARE\Policies\Microsoft\Cryptography\PolicyServers\37c9dc30f207f27f61a2f7c3aed598a6e2920b54\Flags. To verify, perform the following steps:

  1. Log in to the affected computer.

  2. Open Registry Editor (regedit) with local administrator privilege.

  3. Locate the registry value:

    • If the certificate is for User, check whether HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cryptography\PolicyServers\37c9dc30f207f27f61a2f7c3aed598a6e2920b54\Flags is 0x10 (decimal 16).

    • If the certificate is for Computer, check whether HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\PolicyServers\37c9dc30f207f27f61a2f7c3aed598a6e2920b54\Flags is 0x10 (decimal 16).

Resolution

To verify and correct certificate enrollment settings, perform the following steps:

  1. Log in to Domain Controller using a Domain Administrator account.

  2. Open the Group Policy Management console (gpmc.msc).

  3. Select the Group Policy Object under question. Right click and select …Edit.

    注記

    You may need to check multiple Group Policy Objects if the entity resides under multiple Group Policies.

  4. Navigate to Computer Configuration or User Configuration (depends on which entity you are issuing certificates to) > Policies > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Certificate Enrollment Policy.

  5. Double-click the Certificate Services Client - Certificate Enrollment Policy. The Configuration Model must be set to Enabled. If not, go back to Step 3 and check another Group Policy as this Group Policy is not causing the issue.

    注記

    You may need to check multiple times until you find the policy that is causing the issue.

  6. On Certificate Services Client - Certificate Enrollment Policy window, select Not Configured from the Configuration Model dropdown list.

    注記

    If there are additional Certificate Enrollment Policies (other than the default Active Directory Enrollment Policy) set to Enabled, make a note to reconfigure them later. For DigiCert Autoenrollment Server, these additional policies are not required.

  7. Select OK to apply the changes. You then reopen Certificate Services Client - Certificate Enrollment Policy, and select Enabled from the Configuration Model dropdown list. Add any previously removed policies if needed.

  8. On the affected computer(s), wait for the GPO to update or run the following command to force the update:

    gpupdate /force

  9. Verify that the following registry value is updated to 0x14 (decimal 20):

    [HKEY_CURRENT_USER|HKEY_LOCAL_MACHINE]\SOFTWARE\Policies\Microsoft\Cryptography\PolicyServers\37c9dc30f207f27f61a2f7c3aed598a6e2920b54\Flags

  10. If the value is not updated, go back to Step 3 and check for any other Group Policy with Certificate Services Client - Certificate Enrollment Policy set to Enabled.

  11. If the value shows 0x14 (decimal 20), test the certificate issuance again for the affected Users or Computers.

このセクションの内容: