Windows 2019上证书服务服务器中没有证书模板

Question

这里有很多关于这个问题的讨论，我花了一整天的时间去探索其中的每一个。与此相关的所有服务器都是Windows2019。2域控制器和证书颁发服务器。安装证书服务功能之后，我还安装了Web注册内容。但是，当我访问服务器的注册站点时，我会遇到这样的错误：

我已经找了好几个选择。我通过：https://www.altaro.com/hyper-v/windows-ssl-certificate-templates/验证了权限

我通过：https://docs.microsoft.com/en-US/troubleshoot/windows-server/windows-security/no-certificate-templates-be-found验证了LDAP对象配置

我从这个站点验证了配置：https://docs.microsoft.com/en-us/answers/questions/96739/certificate-template-not-showing.html

我已经没有选择了。模板显然在那里：

我完全没有想法了。我对此很失望。还有人有其他想法吗？

Answer 1

哦天啊。这可能是个艰难的决定。在对mscersvc进行了大量的故障排除和诅咒之后，我编写了我的解决方案的“顶级列表”。抱歉，如果你已经做了其中的一些。

• 检查和验证https://support.microsoft.com/en-us/kb/811418
• 确保适当设置模板的安全权限(检查应用程序池标识)
• 确保(毫无疑问！)您的AD复制工作正常，可以在每个DC (!)上看到模板。
• 确保在Supply in the request选项卡下选择了Subject Name
• 创建一个全新的IIS应用程序池，并将Certsrv目录分配给它(三重检查适当的权限)。仅与http (!)绑定
• 确保证书模板兼容性相同或低于域和森林功能级别(而在2019年，如果不是的话，我不会感到惊讶-大多数域都在较老的FL oder DL上)
• 将应用程序池的标识从ApplicationPoolIdentity更改为NetworkService (并再次检查NTFS权限。当Certsvc建立在DC上时，这会变得很奇怪，我根本不推荐这种情况)。
• 使用ldifde -f check.txt -d "CN=Configuration,DC=<YOURDOM>,DC=<YOURTLD>"检查副本和/或退役的AD证书(以及发出服务器名称和证书请求)。当你找到一个“第二个”的时候，找到它或者完全删除它的模板。然后是repadmin /syncall /AdePq (等待)
• (过时的) web控制台需要读、写、注册和自动注册权限来显示模板。
• 确保您的CA使用密钥存储提供者(KSP) (和SHA2) wh，使用2019年作为web前端

祝你好运。

Answer 2

在试图从certmgr请求一个新的证书时遇到了类似的问题，我的问题是我没有为LDAP服务在域中创建SRV记录。客户端设备上的数据包捕获显示DNS查找失败。