Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł zawiera pomoc w rozwiązaniu błędu "Nie można odnaleźć szablonów certyfikatów", który występuje podczas żądania certyfikatów ze stron rejestracji internetowej urzędu certyfikacji.
Dotyczy: Windows Server (wszystkie obsługiwane wersje)
Oryginalny numer KB: 811418
Symptomy
Gdy użytkownik próbuje zażądać certyfikatu ze stron rejestracji internetowej urzędu certyfikacji(CA), może zostać wyświetlony następujący komunikat o błędzie:
Nie można odnaleźć szablonów certyfikatów. Nie masz uprawnień do żądania certyfikatu z tego urzędu certyfikacji lub wystąpił błąd podczas uzyskiwania dostępu do usługi Active Directory.
To zachowanie występuje, jeśli strony rejestracji sieci Web znajdują się w domenie usługi Active Directory na serwerze urzędu certyfikacji przedsiębiorstwa. Dzieje się tak, czy strony rejestracji internetowej znajdują się na tym samym serwerze, czy na innym serwerze członkowskim.
Przyczyna
Strony rejestracji sieci Web urzędu certyfikacji wykonują porównanie ciągu z uwzględnieniem wielkości liter dwóch wartości. Jedną z wartości jest wartość sServerConfig w pliku Certdat.inc w %systemroot%\System32\Certsrv folderze na serwerze certyfikatów, a drugą wartością jest atrybut dnsHostName obiektu pkiEnrollmentService w usłudze Active Directory. Jeśli dwa ciągi nie są zgodne, w tym dopasowanie wielkości liter, rejestracja zakończy się niepowodzeniem.
Rozwiązanie
Aby poprawić to zachowanie, wykonaj następujące kroki:
Wyświetl atrybut dNSHostName usługi Active Directory w obiekcie pkiEnrollmentService. Ten obiekt znajduje się w następującej lokalizacji:
CN = CertificateServer,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC= MyDomain,DC=com
Aby wyświetlić atrybut dNSHostName , użyj polecenia ADSIEdit.msc lub LDP.exe.
Zmodyfikuj plik Certdat.inc, aby wartość parametru sServerConfig jest taka sama jak wartość atrybutu dNSHostName, a następnie nazwa urzędu certyfikacji.
Uwaga 16.
Wartość sServerConfig musi mieć taki sam przypadek jak atrybut dNSHostName. Jeśli to nieprawda, będziesz nadal otrzymywać ten sam błąd.
Jeśli na przykład nazwa hosta DNS urzędu certyfikacji to server1.domain.local, a nazwa urzędu certyfikacji to MYCA, następnie upewnij się, że atrybut dNSHostName dla CN=MYCA,CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=Domain,DC=local object jest ustawiony na server1.domain.local i sServerConfig w pliku certdat.inc w
%systemroot%\system32\certsrvfolderze w urzędzie certyfikacji powinien być ustawiony na server1.domain.local\MYCA.Poproś użytkownika, który chce zażądać ponownego uruchomienia certyfikatu w programie Internet Explorer. Umożliwia to przekazanie nowych poświadczeń do urzędu certyfikacji.
Uwaga 16.
Upewnij się również, że użytkownik ma przyznane uprawnienia Odczyt i Zarejestruj w szablonie certyfikatu, którego żąda ten użytkownik. Te uprawnienia można przyznać za pomocą przystawki ADSIEdit lub przystawki Szablony certyfikatów.