Usługi certyfikatów nie mogą dodać certyfikatu urzędu certyfikacji do usługi Active Directory
Usługi certyfikatów Active Directory (AD CS) wymagają dostępu co najmniej do odczytu (a niekiedy również do zapisu) do niektórych obiektów Usług domenowych Active Directory (AD DS). Niepowodzenie dostępu do tych obiektów usługi Active Directory może uniemożliwić uruchomienie usług AD CS.
Umożliwienie usługom AD CS dodania certyfikatu urzędu certyfikacji do Usług domenowych Active Directory
Aby umożliwić Usługom certyfikatów Active Directory (AD CS) dodanie certyfikatu urzędu certyfikacji (CA) wskazanego w komunikacie dziennika zdarzeń do Usług domenowych Active Directory (AD DS):
Upewnij się, że urząd certyfikacji ma uprawnienia dostępu do niezbędnych kontenerów i obiektów usług AD DS.
Ustal, czy certyfikat urzędu certyfikacji istnieje w kontenerze AIA.
Jeśli nie istnieje, ręcznie opublikuj certyfikat urzędu certyfikacji w kontenerze AIA.
Aby wykonać tę procedurę, należy być członkiem grupy administratorów domeny lub posiadać odpowiednie oddelegowane uprawnienia.
Potwierdzanie uprawnień do niezbędnych kontenerów i obiektów usług AD DS
Aby potwierdzić, że urząd certyfikacji ma potrzebne uprawnienia do kontenerów usług AD DS i obiektów w tych kontenerach:
Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Lokacje i usługi Active Directory.
Kliknij opcję Lokacje i usługi Active Directory [nazwadomeny], gdzie [nazwadomeny] jest nazwą używanej domeny.
W menu Widok kliknij polecenie Pokaż węzeł usług.
Dwukrotnie kliknij opcję Usługi, dwukrotnie kliknij opcję Usługi klucza publicznego i kliknij prawym przyciskiem myszy każdy z niżej wymienionych kontenerów (lub obiektów wymienionych w kontenerze), a następnie kliknij polecenie Właściwości.
Na karcie Zabezpieczenia potwierdź dostępność wymaganych uprawnień.
Poniżej wymieniono wszystkie uprawnienia usługi Active Directory wymagane przez komputer udostępniający urząd certyfikacji. Niektóre z tych uprawnień wynikają z przynależności do grupy Wydawcy certyfikatów.
Kontener Usługi rejestrowania. Komputer urzędu certyfikacji ma dostęp do odczytu i zapisu własnego obiektu.
Kontener AIA. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera AIA, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu w kontenerze AIA.
Kontener CDP. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera każdego urzędu certyfikacji w obrębie kontenera CDP, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do każdego obiektu listy odwołania certyfikatów (CRL) w swoim własnym kontenerze.
Kontener Urzędy certyfikacji. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do obiektów w obrębie tego kontenera.
Kontener Szablony certyfikatów. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera i większości obiektów w jego obrębie.
Kontener KRA. Komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu.
Kontener OID. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji), mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera oraz kontenerów i obiektów w jego obrębie.
Obiekt NTAuthCertificates. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu.
Kontenery Komputery domeny i Użytkownicy domeny. Grupa Wydawcy certyfikatów ma uprawnienia do odczytu i zapisu właściwości userCertificate każdego obiektu użytkownika i komputera w lesie, w którym wdrożono usługi AD CS.
Aby wykonać te procedury, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Ustalanie, czy w kontenerze AIA istnieje certyfikat urzędu certyfikacji
Aby wyświetlić zawartość kontenera AIA w usługach AD DS:
Na kontrolerze domeny kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie certutil -cainfo i naciśnij klawisz ENTER.
W danych wyjściowych polecenia zwróć uwagę na właściwość podaną po etykiecie Oczyszczona nazwa skrócona.
Następnie wpisz następujące polecenie i naciśnij klawisz ENTER:
certutil -viewstore ldap:/// CN=<Mój_urząd_certyfikacji>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority
Zastąp zmienną MyCA wartością właściwości Oczyszczona nazwa skrócona z poprzedniego polecenia, a ciągi contoso i com zastąp nazwą wyróżniającą LDAP domeny katalogu głównego Active Directory.
Jeśli certyfikat urzędu certyfikacji nie jest widoczny w kontenerze AIA pomimo właściwych uprawnień użytkownika, użyj następującej procedury, aby opublikować certyfikat urzędu certyfikacji.
Ręczne publikowanie certyfikatu urzędu certyfikacji
Aby ręcznie opublikować certyfikat urzędu certyfikacji w usługach AD DS:
Na komputerze urzędu certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Dla certyfikatu głównego urzędu certyfikacji wpisz następujące polecenie i naciśnij klawisz ENTER: certutil [-f] -dspublish <certUC.cer> RootCA
Dla certyfikatu podrzędnego urzędu certyfikacji wpisz następujące polecenie i naciśnij klawisz ENTER: certutil [-f] -dspublish <certUC.cer> SubCA
Zastąp ciąg <certUC.cer> nazwą pliku certyfikatu. Flaga „-f” powoduje ponowne utworzenie obiektu, nawet jeśli został usunięty.
Aby sprawdzić połączenie między urzędem certyfikacji a Usługami domenowymi Active Directory (AD DS):
Otwórz okno wiersza polecenia na komputerze udostępniającym urząd certyfikacji.
Wpisz nltest /sc_verify: [nazwa_domeny] i naciśnij klawisz ENTER.
Skorzystaj z następującej procedury, aby potwierdzić uprawnienia do niezbędnych kontenerów i obiektów usług AD DS.
Zastąp zmienną [nazwadomeny] nazwą obszaru nazw, w którym zainstalowano urząd certyfikacji.
Potwierdzanie uprawnień do niezbędnych kontenerów i obiektów usług AD DS
Aby móc wykonać tę procedurę, musisz należeć do grupy administratorów domeny lub mieć odpowiednie oddelegowane uprawnienia.
Aby potwierdzić, że urząd certyfikacji ma niezbędne uprawnienia do kontenerów usług AD DS i obiektów w tych kontenerach:
Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Lokacje i usługi Active Directory.
Kliknij opcję Lokacje i usługi Active Directory [nazwadomeny], gdzie [nazwadomeny] jest nazwą używanej domeny.
W menu Widok kliknij polecenie Pokaż węzeł usług.
Dwukrotnie kliknij opcję Usługi, dwukrotnie kliknij opcję Usługi klucza publicznego i kliknij prawym przyciskiem myszy każdy z niżej wymienionych kontenerów (lub obiektów wymienionych w kontenerze), a następnie kliknij polecenie Właściwości.
Na karcie Zabezpieczenia potwierdź dostępność wymaganych uprawnień.
Poniżej wymieniono wszystkie uprawnienia usługi Active Directory wymagane przez komputer udostępniający urząd certyfikacji. Niektóre z tych uprawnień wynikają z przynależności do grupy Wydawcy certyfikatów.
Kontener Usługi rejestrowania. Komputer urzędu certyfikacji ma dostęp do odczytu i zapisu własnego obiektu.
Kontener AIA. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera AIA, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu w kontenerze AIA.
Kontener CDP. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera każdego urzędu certyfikacji w obrębie kontenera CDP, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do każdego obiektu listy odwołania certyfikatów (CRL) w swoim własnym kontenerze.
Kontener Urzędy certyfikacji. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do obiektów w obrębie tego kontenera.
Kontener Szablony certyfikatów. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera i większości obiektów w jego obrębie.
Kontener KRA. Komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu.
Kontener OID. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji), mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera oraz kontenerów i obiektów w jego obrębie.
Obiekt NTAuthCertificates. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu.
Kontenery Komputery domeny i Użytkownicy domeny. Grupa Wydawcy certyfikatów ma uprawnienia do odczytu i zapisu właściwości userCertificate każdego obiektu użytkownika i komputera w lesie, w którym wdrożono usługi AD CS.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 106 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">106</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>