Troubleshooting
To assist with troubleshooting, Autoenrollment writes an activity log. During troubleshooting, it is sometimes helpful to use a "higher" log level. The higher the log level, the more information is captured about an action or error.
Use the Autoenrollment Configuration Utility log properties to change the log level.
Additionally, Autoenrollment Server Configuration utility logs configuration events in a file called AEConfig.log, which is located here:
C:\Users\AE Administrator
Configuration errors include failing to establish a connection during the Connection Test, or failing to import the autoenrollment configuration file.
Other common Autoenrollment issues include:
Certificate pending in the client or Autoenrollment configuration utility
Certificates cannot be published
Import Autoenrollment configuration across subdomains
Handle multi-valued Active Directory Attributes
Error when restarting Autoenrollment Server
クライアントまたは自動登録構成ユーティリティで証明書が保留中
Autoenrollment ServerがDigiCert ONE CAへの要求を完了できない場合(接続問題やサーバのトラフィックが多い場合など)、クライアントに保留中の応答が送信されます。その後、この情報はインストールディレクトリの RequestBufferFile.dat ファイルにキューとして格納されます。自動登録サーバはDigiCert ONEから応答が受信されるまで、ファイルキューを定期的にチェックしながら要求を再試行します。保留中の要求の数は、自動登録構成ユーティリティから確認することもできます。
Autoenrollment ServerがDigiCert ONE CAへの接続を再確立すると、リクエストは正常に処理されます。
証明書を公開できない(権限が却下された)
エンドユーザー証明書が Active Directoryに公開されず、ログファイルに以下のエラーメッセージが表示される場合、Autoenrollment ServerがActive Directoryで十分な権限を持っていない可能性があります。
ERROR in Publish Certificate: Cannot commit data to Active Directory: permission denied 0x80070005
Autoenrollment Serverが動作しているドメインコンピュータを、Active DirectoryのグループのCert Publishersに追加してください。これらの変更をただちに利用できるようにするために、Active Directoryの複製を強制的に実行し、グループポリシーの更新を行うとよいでしょう。
サブドメイン間で自動登録設定ファイルをインポートする
自動登録構成ファイルのインポート中に、以前に作成されたオブジェクトにアクセスして、新しいオブジェクトに随意アクセス制御リスト (DACL) を設定できないというエラーが発生することがあります。Autoenrollment Serverは、ネットワークのサブドメインの一部にあるマシンにインストールされている場合があります。この場合、フォレスト全体でAD複製を強制する必要があります。
以下は、repadmin.exeユーティリティを使用してActive DirectoryフォレストのActive Directory複製を強制的に実行するコマンドの例です。実装に応じた適切なコマンドやメカニズムを使用してください。
Repadmin /syncall
このコマンドは、ルートドメインコントローラとサブドメインドメインコントローラの間で、Active Directoryの複製を強制的に実行します。
複製が完了したら、自動登録構成ユーティリティのOKをクリックして、オブジェクトにDACLの設定を再試行します。
Autoenrollment Serverでの複数値のActive Directory属性を処理する
証明書プロファイルで、複数の値を持つ属性を証明書のサブジェクトの別名またはサブジェクト識別名にマッピングした場合、Active Directoryからこれらの属性に対して複数の値が返されることがあります。この場合、Autoenrollment Serverはリストからどの値も選ばず、この属性が必須であれば自動登録は失敗します。Autoenrollment Serverのログには、次のような警告メッセージが表示されます。
WARN Wed Oct 05 15:57:07 2011 [828] Attribute <CertificateProfile Configured AD attribute> has unexpected type: 8204
この問題を回避するには、複数値の属性に値が1つだけ含まれているようにします。
Autoenrollment Serverを再起動すると、致命的なエラーが発生する
Autoenrollment Serverを再起動したときにAutoenrollment Server構成ファイルが利用できない場合、Autoenrollment Serverは起動しません。Windowsサービスは、AutoEnrollmentDCOMSrv サービスに対して致命的なエラーを報告します。
また、ログファイルには次のようなエラーが記録されます。
AutoEnrollmentDCOMSrv: cannot run: AEException: Could not access CA interface (plugin): Could not initialize connection to CA. Check connection parameters and network connectivity!
この問題を回避するには、AutoEnrollment Server を構成するときに構成ファイルをインポートした場所が、再起動時にサーバからアクセス可能とるようにします。
Autoenrollment Server is accessible to the server when you restart it.