iT邦幫忙

0

Exchange 2013 網頁伺服器憑證更新遇到問題

公司用的Exchange 2013網頁伺服器憑證即將到期。
在進行更新的時候,其中有個步驟要至http://CA主機名稱/certsrv
進行要求憑證。
但卻出現"找不到憑證範本。您沒有向這個 CA 要求憑證的權限,或是存取 Active Directory 時發生錯誤。"
上網谷哥了,但卻沒有解法可參考。
不知道版上的各位前輩是否有遇過此情形可分享。

(PS)這台CA主機也扮演AD主機腳色。

1 個回答

1
raytracy
iT邦大神 1 級 ‧ 2017-12-30 23:18:10
  1. 請用 IE 瀏覽器
  2. 請用 https
  3. 請用 domain administrator 帳號登入

以上三者皆符合, 才有權限申請憑證...

看更多先前的回應...收起先前的回應...

感恩R大的回覆,這幾個條件都符合,但結果仍是一樣的。

raytracy iT邦大神 1 級 ‧ 2017-12-31 14:18:10 檢舉
  1. 到 CA 上面, 移除憑證 Web Enrollment 角色, 再重裝一次該角色.
  2. 檢查 CA 伺服器內是否還安裝了其他需要使用 IIS 的應用軟體? 有的話請先全部移除掉, 然後重複上面步驟 1.

感恩R大假日還耐心回覆。
剛移除了憑證Web Enrollment角色再重裝,
且也重裝了IIS,更用了administrator最大權限登入,
這惱人的問題依然存在。

raytracy iT邦大神 1 級 ‧ 2017-12-31 22:02:03 檢舉

您在 DC 上面執行 dcdiag 會出現錯誤嗎? 有的話要先全部查修完畢才會正常....

感恩R大跨年前還撥冗回覆。
執行了dcdiag,是有出現如下錯誤訊息。

正在啟動測試: Replications
[Replications Check,AD1] 最近的複寫嘗試失敗:
從 ADBK 到 AD1
命名內容: DC=ForestDnsZones,DC=XXXXX,DC=XXX
複寫產生錯誤 (1256):
遠端系統無法使用。有關網路疑難排解的資訊,請參閱 W
失敗發生在 2017-12-31 21:58:09。
上次成功發生在 2017-12-08 15:01:05。
從上次成功後,發生 560 次失敗。
[ADBK] DsBindWithSpnEx() 失敗,錯誤碼為 1722,
RPC 伺服器無法使用。.
[Replications Check,AD1] 最近的複寫嘗試失敗:
從 ADBK 到 AD1
命名內容: DC=DomainDnsZones,DC=XXXXX,DC=XXX
複寫產生錯誤 (1256):
遠端系統無法使用。有關網路疑難排解的資訊,請參閱 W
失敗發生在 2017-12-31 21:58:09。
上次成功發生在 2017-12-08 15:00:59。
從上次成功後,發生 560 次失敗。
[Replications Check,AD1] 最近的複寫嘗試失敗:
從 ADBK 到 AD1
命名內容: CN=Schema,CN=Configuration,DC=XXXXX,DC=XXX
複寫產生錯誤 (1722):
RPC 伺服器無法使用。
失敗發生在 2017-12-31 21:59:33。
上次成功發生在 2017-12-08 14:57:06。
從上次成功後,發生 560 次失敗。
來源仍是關機。請檢查電腦。
[Replications Check,AD1] 最近的複寫嘗試失敗:
從 ADBK 到 AD1
命名內容: CN=Configuration,DC=XXXXX,DC=XXX
複寫產生錯誤 (1722):
RPC 伺服器無法使用。
失敗發生在 2017-12-31 21:58:51。
上次成功發生在 2017-12-08 14:57:06。
從上次成功後,發生 560 次失敗。
來源仍是關機。請檢查電腦。
[Replications Check,AD1] 最近的複寫嘗試失敗:
從 ADBK 到 AD1
命名內容: DC=XXXXX,DC=XXX
複寫產生錯誤 (1722):
RPC 伺服器無法使用。
失敗發生在 2017-12-31 21:58:09。
上次成功發生在 2017-12-08 14:58:51。
從上次成功後,發生 560 次失敗。
來源仍是關機。請檢查電腦。
......................... AD1 未通過測試 Replications

會出現這是因為公司共有三台AD,
兩台是公司vmware exsi裏頭裝的,一台是我自己電腦裡VM workstation安裝起來備著用的,平常並沒有開機。
而CA伺服器是安裝在第一台主AD,
是否可能是這因素所造成CA伺服器異常。

剛把那台備機開了起來。
再度執行dcdiag。
現在只出現如下訊息。

正在啟動測試: FrsEvent
在 SYSVOL 開始共用的最近 24 小時之內,發生警告或錯誤事件。 SYSVOL 複寫
失敗的問題,可能導致群組原則問題。
......................... AD1 通過測試 FrsEvent
正在啟動測試: SystemLog
發生警告事件。EventID: 0x8004009D
產生時間: 12/31/2017 23:02:58
事件字串: 磁碟 1 已被意外移除。
......................... AD1 通過測試 SystemLog

但也是都通過測試。

raytracy iT邦大神 1 級 ‧ 2018-01-01 09:01:25 檢舉

那台沒開機的, 有多久沒開機複寫了? 超過 60 天沒複寫的 DC 會被自動標示成墓碑, 然後再也不會對他複寫, 但卻會留下永久性的錯誤, 如果關機時間超過 60 天的話, 請先設法將他退網域, 再重新檢查 dcdiag...

DC 必須盡可能維持連線狀態, 不能長時間關機, 網域內有關機失聯的 DC 存在時, 通常都會干擾現存的 DC 運作....

感恩R大撥冗不厭其煩協助找尋問題。
這台備用的沒有超過60天,
昨日開機今日確認都還有正常複寫第一台DC資料(使用者、DNS資料)。
不過CA網頁註冊角色還是一樣出現找不到範本訊息。

raytracy iT邦大神 1 級 ‧ 2018-01-01 16:33:53 檢舉

Event log 裡面有沒有跟 CA 相關的錯誤? 詳細的訊息內容如何?

經由windows事件檢視器,
檢視windows紀錄應用程式及服務紀錄檔
是沒有看到有跟CA相關的警告與錯誤。
今早再度執行dcdiag,也無任何異常訊息。

raytracy iT邦大神 1 級 ‧ 2018-01-02 10:00:43 檢舉

有沒有試過直接在 CA 本機上用瀏覽器連:

https://localhost/certsrv

有的,我在CA那台主機有試過。
用IE開啟,最大權限。
但一樣會出現無法找到範本。

raytracy iT邦大神 1 級 ‧ 2018-01-02 11:15:26 檢舉

這樣明顯是 CA 的 Web 角色壞掉, 如果沒有 Event log 協助, 只能盲目的重裝角色, 看能否復原?

感恩R大的耐心回覆,
真的是有點困惱。
WEB角色其實也重裝了好幾次,問題仍還是存在。
真不知是否AD架構本身就有問題。

我要發表回答

立即登入回答