Мне нужно разработать рабочие процедуры для аудита и понимания того, почему конкретный запрос был отклонен модулем политики служб сертификации Active Directory (ADCS).
Я попытался включить все журналы (флажки) в графическом интерфейсе и проверил журнал событий. Я вижу только одну запись в журнале событий для каждого неудавшегося запроса, однако у меня нет четкого способа определить, что вызвало его сбой. Ниже приведен пример сбоя:
Службы сертификации Active Directory отклонили запрос 4, так как сертификат центра сертификации содержит недопустимые данные. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE). Запрос был для CN = Issue01a, CN = Bits.com, OU = Для защиты электронной почты, O = Bits LLC, C = US. Дополнительная информация: отклонено модулем политики
Вышеупомянутый пример - это вспомогательный центр сертификации, у которого намеренно установлен срок действия, превышающий срок действия родительского центра сертификации.
Я надеюсь выяснить эту причину из приведенного выше кода ошибки или из другого места.
Что я наделал: Поиск ошибки "2146877435" в Google приводит к тому, что выскакивает именно этот пост. Ни один из результатов на первых нескольких страницах не является списком кодов ошибок и причин.
Эта ссылка описывает, как извлечь дополнительные журналы из службы сертификатов. Может потребоваться перезагрузка.
Чтобы включить ведение журнала отладки для собственного клиента Windows CertEnroll, выполните следующую команду:
Certutil –setreg enroll \ debug 0xffffffe3 Файл журнала находится в следующем месте:% windir% \ CertEnroll.log
certutil –setreg ca \ debug 0xffffffe3 Файл журнала находится в следующем месте:% windir% \ certsrv.log