A tanúsítványszolgáltatás nem tud hozzáadni egy hitelesítésszolgáltatói tanúsítványt az Active Directory címtárhoz
Az Active Directory Tanúsítványszolgáltatás (AD CS) legalább olvasási hozzáférést és néhány esetben írási hozzáférést igényel bizonyos objektumokhoz az Active Directory tartományi szolgáltatásokban (AD DS). Ha nem lehet hozzáférni ezekhez az Active Directory-objektumokhoz, az megakadályozhatja az Active Directory Tanúsítványszolgáltatás elindulását.
Hitelesítésszolgáltatói tanúsítvány az Active Directory tartományi szolgáltatásokhoz adásának engedélyezése az Active Directory Tanúsítványszolgáltatás számára
Annak engedélyezése, hogy az Active Directory Tanúsítványszolgáltatás hozzáadja az eseménynapló-üzenetben azonosított hitelesítésszolgáltatói tanúsítványt az Active Directory tartományi szolgáltatásokhoz:
Ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóihoz és objektumaihoz.
Ellenőrizze, hogy létezik-e a hitelesítésszolgáltatói tanúsítvány az AIA tárolóban.
Ha nem létezik, tegye közzé manuálisan a hitelesítésszolgáltatói tanúsítványt az AIA tárolóba.
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az AD DS tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A hitelesítésszolgáltatói tanúsítvány meglétének ellenőrzése az AIA tárolóban
Az AD DS-ben található AIA tároló tartalmának megtekintéséhez tegye a következőket:
A tartományvezérlőn kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -cainfo parancsot, és nyomja le az ENTER billentyűt.
A parancs kimenetében jegyezze fel a megtisztított rövid név után megjelenő tulajdonságot.
Ezután írja be az alábbi parancsot, és nyomja le az ENTER billentyűt:
certutil -viewstore ldap:/// CN=<SajátCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Cserélje le a SajátCA karakterláncot a megtisztított rövid név tulajdonság korábbi parancsból vett értékére, valamint cserélje le a contoso és com karakterláncokat az Active Directory-gyökértartomány LDAP megkülönböztető nevére.
Ha a hitelesítésszolgáltatói tanúsítvány nem jelenik meg az AIA tárolóban, és rendelkezik a szükséges engedélyekkel, a következő eljárás végrehajtásával teheti közzé a hitelesítésszolgáltatói tanúsítványt.
Hitelesítésszolgáltatói tanúsítvány manuális közzététele
A hitelesítésszolgáltatói tanúsítvány manuális közzététele az AD DS-ben:
A hitelesítésszolgáltatón kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Legfelső szintű hitelesítésszolgáltatói tanúsítvány esetén írja be a következő parancsot, majd nyomja le az ENTER billentyűt: certutil [-f] -dspublish <CA-tanúsítvány.cer> RootCA
Alárendelt hitelesítésszolgáltatói tanúsítvány esetén írja be a következő parancsot, majd nyomja le az ENTER billentyűt: certutil [-f] -dspublish <CA-tanúsítvány.cer> SubCA
A CA-tanúsítvány.cer helyőrző a tanúsítványfájl nevét jelöli. Az „-f” jelző akkor is újra létrehozza az objektumot, ha azt törölték.
A hitelesítésszolgáltató és az Active Directory tartományi szolgáltatások közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be az nltest /sc_verify: [tartománynév] parancsot, majd nyomja le az ENTER billentyűt.
A következő eljárással ellenőrizze az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyeket.
Cserélje le a [tartománynév] értékét azon névtér nevére, amelyen a hitelesítésszolgáltató telepítve van.
Az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 106 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">106</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>