我在我的 Active Directory 日志中看到此错误。错误出现在我的主 dc 上,它是 SBS 2008 盒子。执行请求的计算机是我的辅助 dc 运行服务器 2008 r2。
由于错误,Active Directory 证书服务无法处理请求 ##:请求的当前状态不允许此操作。0x80094003 (-2146877437)。请求是针对域\server2008r2$。
我在 r2 服务器日志中有这些错误:
本地系统的自动证书注册失败 (0x800b0101) 根据当前系统时钟或签名文件中的时间戳进行验证时,所需证书不在其有效期内。.
带有指纹的本地系统证书##################### 即将过期或已经过期。
我该如何解决这些问题?
编辑:只是想补充一点,CA 管理单元报告请求由于解析错误而失败。
编辑 2:在我的主域控制器(sbs 2008 服务器)中,根证书似乎已过期。我试过更新和请求一个新的,但它说没有模板是有效的。
这通常是由于您域的 Active Directory 证书服务的证书颁发机构不可用造成的。尝试查看为什么您的域控制器无法参与自动注册。
我已经想通了。如我的编辑所示,根本原因是我的 pdc 中的根证书已过期。
修复方法是打开证书颁发机构管理单元并右键单击左侧树中的服务器并转到所有任务并在底部选择更新 CA 证书。
这给了我一个对话框,但是当我单击“确定”时,我遇到了一个错误,说它无法创建认证,权限被拒绝并且对象已经存在。
我发现如果我停止 ADCS 然后去 ProgramData\Microsoft\Crypto\RSA\MachineKeys 并按日期对它们进行排序,所以最近的在顶部。我用记事本打开它,我发现我被告知的对象的名称是存在的。
我将文件移动到桌面并重新启动 ADCS 并重试更新 CA 证书。这次奏效了。
我通过成功执行 gpupdate /force 验证了这也解决了其他备份 DC 上的问题,并且没有看到我遇到的任何错误。