既知の問題

Active Directory フェデレーションサービスは、Microsoft® Enrollment Agent プロファイルから 12 時間毎にサ―ビスアカウントの証明書を発行して、Microsoft® Enrollment Agent プロファイルに設定されている証明書の有効性に関わらず、認証局のステータスをチェックしようとします。ただし、テンプレートの［複製証明書の許可］ のデフォルト値が［無効］になっているため、DigiCert 認証局は要求を拒否して、結果として Windows イベントログ（［Applications and Services Logs］ → ［AD FS］ → ［管理者］）に次のようなエラーが表示されます。

Windows イベントビューアログのスクリーンショット

また、この要求に対して、次の CR_DISP_DENIED log エントリが AEServe ログに表示されます。

2022-06-29 11:24:03 INFO  [4916] CBT_CertRequestD2::dispositionFromStatus()[BT_CertRequestD2.cpp:190]:INFO: disposition: 2 (CR_DISP_DENIED - Request denied) req state: RB_FAILED2022-06-29 11:24:03 INFO  [4916] CBT_CertRequestD2::Request2()[BT_CertRequestD2.cpp:980]:INFO: disposition after processNewTransaction: CR_DISP_DENIED - Request denied2022-06-29 11:24:03 INFO  [4916] CBT_CertRequestD2::Request2()[BT_CertRequestD2.cpp:981]:INFO: pdwRequestId -> 1642022-06-29 11:24:03 INFO  [4916] CBT_CertRequestD2::Request2()[BT_CertRequestD2.cpp:1022]:## Request2(): returning 0x0

DigiCert はすでこの問題を Microsoft に報告していますが、このエラーエントリは Windows Hello for Business の全般的な機能に影響しないという結論を出しています。

Microsoft® Enrollment Agent プロファイルに対して、［複製証明書の許可］を［有効化］している場合でも、10 回正常に証明書を発行した後は、同じエラーが発生します。これは、DigiCert® Trust Lifecycle Manager が、同じシート ID に対して複製証明書を 10 個までしか許容しないためです。これはプロファイルが許可している場合も当てはまります。