В этом разделе перечислены несколько типичных проблем, встречающихся при использовании оснастки «Сетевой ответчик» и при работе с массивами сетевых ответчиков. Дополнительные сведения о выявлении и устранении проблем с сетевыми ответчиками см. в статье «Устранение неполадок служб сертификации Active Directory» (http://go.microsoft.com/fwlink/?LinkId=89215).
Неполадка
- Не запускается служба
«Сетевой ответчик»
- Не удалось найти сертификат
подписи сетевого ответчика
- Не удалось создать
конфигурацию отзыва
- Истекает срок действия
сертификата подписи для конфигурации сетевого ответчика
- Истек срок действия
сертификата подписи для конфигурации отзыва
- Не удается загрузить
конфигурацию отзыва сетевого ответчика
- Службе «Сетевой ответчик»
не удалось получить CRL для указанной конфигурации отзыва
Не запускается служба «Сетевой ответчик».
- Причина. Сбой запуска службы «Сетевой
ответчик» возможен из-за повреждения данных реестра или
недостаточности системных ресурсов.
- Решение. Попробуйте перезапустить
службу «Сетевой ответчик» из оснастки «Службы» (Services.msc). Если
запустить службу «Сетевой ответчик» не удается, проверьте журнал
событий на наличие других ошибок, которые могут быть связаны с этой
проблемой. Если для запуска службы «Сетевой ответчик» недостаточно
системных ресурсов, попробуйте перезагрузить компьютер или
освободить системные ресурсы. Если повреждены данные реестра,
необходимо удалить и переустановить службу «Сетевой ответчик» с
помощью диспетчера сервера.
Не удалось найти сертификат подписи сетевого ответчика.
- Причина. В личном хранилище
сертификатов учетной записи компьютера отсутствует сертификат
подписывания отклика OCSP либо, если сертификат подписывания должен
был быть выдан с помощью автоматической подачи заявки,
автоматическая подача заявки не была выполнена.
- Решение. Если сертификат подписывания
отклика OCSP отсутствует в личном хранилище сертификатов локального
компьютера и отзыв настроен на ручную подачу заявки или
автообнаружение этого сертификата, следует подать заявку на
сертификат вручную. Для конфигураций, в которых служба «Сетевой
ответчик» подает заявку на сертификат автоматически, подача заявки
вручную работать не будет, и необходимо определить причину, по
которой не сработала автоматическая подача заявки. Возможны
следующие причины.
- Компьютеру, на котором выполняется служба
«Сетевой ответчик», не удалось подключиться к центру сертификации
(ЦС), настроенному на выдачу сертификатов на основе шаблона
подписывания отклика OCSP.
- В шаблоне «Подписывание отклика OSPC» службе
сетевого ответчика не предоставлены разрешения на чтение, подачу
заявок и автоматическую подачу заявок (если она используется).
- Компьютеру, на котором выполняется служба
«Сетевой ответчик», не удалось подключиться к центру сертификации
(ЦС), настроенному на выдачу сертификатов на основе шаблона
подписывания отклика OCSP.
Не удалось создать конфигурацию отзыва.
- Причина. Сбой попытки создания
конфигурации отзыва с сообщением «Неверный сертификат подписи на
контроллере массива».
- Решение. Проверьте правильность
настройки шаблона сертификата подписывания отклика OCSP. Он должен
разрешать подачу заявок вручную.
Истекает срок действия сертификата подписи для конфигурации сетевого ответчика.
- Причина. Если автоматическая подача
заявок не используется, по достижении заданного процента
оставшегося срока действия сертификата (по умолчанию - 10 процентов
от общего срока действия) автоматически создается напоминание о
необходимости обновления сертификата. Оставшееся время действия
текущего сертификата подписи можно проверить с помощью оснастки
«Сертификаты». Следует проверить сертификат подписывания отклика
OCSP в личном хранилище сертификатов компьютера или службы «Сетевой
ответчик».
- Решение. Если в шаблоне сертификата
подписывания отклика OCSP настроено автоматическое выполнение
подачи заявок и обновления, дополнительных действий может не
потребоваться. При подаче заявок вручную сертификат подписывания
можно обновить с помощью оснастки «Сертификаты» и мастера
обновления сертификатов.
Истек срок действия сертификата подписи для конфигурации отзыва.
- Причина. Автоматическое обновление
сертификата подписи завершилось сбоем, либо обновление вручную не
было выполнено до истечения срока действия сертификата.
- Решение. Для конфигураций, в которых
служба «Сетевой ответчик» подает заявку на сертификат
автоматически, подача заявки вручную работать не будет, и
необходимо определить причину, по которой не сработала
автоматическая подача заявки. Возможны следующие причины.
- Компьютеру, на котором выполняется служба
«Сетевой ответчик», не удалось подключиться к ЦС, настроенному на
выдачу сертификатов на основе шаблона подписывания отклика
OCSP.
- В шаблоне «Подписывание отклика OSPC» службе
сетевого ответчика не предоставлены разрешения на чтение, подачу
заявок и автоматическую подачу заявок.
Если в конфигурации отзыва задана подача заявок на сертификат подписывания отклика OCSP вручную, выберите сертификат подписывания в личном хранилище сертификатов на компьютере сетевого ответчика.
При подаче заявок вручную сертификат подписывания можно обновить с помощью оснастки «Сертификаты» и мастера обновления сертификатов.
Возможно также, что сертификат подписывания отклика OCSP не удалось обновить из-за того, что ключ ЦС, использованный для подписывания исходного сертификата подписывания отклика OCSP, был обновлен и более недоступен. В этом случае необходимо разрешить обновление сертификата подписывания отклика OCSP с использованием существующего ключа. Дополнительные сведения см. в разделе Обновление сертификатов подписывания отклика OCSP с использованием существующего ключа.
- Компьютеру, на котором выполняется служба
«Сетевой ответчик», не удалось подключиться к ЦС, настроенному на
выдачу сертификатов на основе шаблона подписывания отклика
OCSP.
Не удается загрузить конфигурацию отзыва сетевого ответчика.
- Причина. Конфигурация отзыва
повреждена.
- Решение. Воспользуйтесь оснасткой
«Сетевой ответчик» для удаления и повторного создания конфигурации
отзыва. Если эта проблема возникла с элементом массива, можно
удалить поврежденную конфигурацию из массива, а затем
синхронизировать массив для повторного создания конфигурации
отзыва. При возникновении этой проблемы на контроллере массива
временно назначьте контроллером массива другой компьютер,
синхронизируйте массив, а затем снова назначьте контроллером
массива исходный компьютер.
Службе «Сетевой ответчик» не удалось получить CRL для указанной конфигурации отзыва.
- Причина. Не удалось опубликовать
список отзыва сертификатов (CRL), точки распространения CRL
недопустимы либо службе «Сетевой ответчик» не удалось получить
доступ к опубликованному CRL.
- Решение. Чтобы определить источник
проблемы получения адреса CRL для сетевого ответчика:
- С помощью оснастки «Сетевой ответчик» убедитесь, что для точек
распространения базового и разностных CRL заданы действительные
URL-адреса.
- С помощью оснастки «Центр сертификации» проверьте URL-адреса
для публикации базового и разностных CRL.
- На компьютере, на котором публикуется базовый CRL, проверьте
расширение Новейший CRL для базового CRL. Оно должно
указывать на расположение разностных CRL.
- При необходимости опубликуйте текущий CRL заново, введя в
командной строке следующую команду:
certutil -crl
- Затем проверьте возможность доступа службы «Сетевой ответчик» к
CRL. В оснастке «Сетевой ответчик» щелкните правой кнопкой мыши
пункт Конфигурация массива и выберите команду Обновить
данные отзыва.
- С помощью оснастки «Сетевой ответчик» убедитесь, что для точек
распространения базового и разностных CRL заданы действительные
URL-адреса.