Regra de Coleta para evento com CertificationAuthority e ID 106

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106 (Rule)

Serviços de Certificados não puderam adicionar um certificado de AC ao Active Directory

Knowledge Base article:

Resumo

Os Serviços de Certificados do Active Directory (AD CS) exigem pelo menos um acesso de Leitura, e, em alguns casos, acesso de Gravar, para certos objetos nos Serviços de Domínio do Active Directory (AD DS). Falha em acessar os objetos do Active Directory pode impedir o AD CS de iniciar.

Resoluções

Habilitar o AD CS a adicionar um certificado de AC nos Serviços de Domínio Active Directory

Para habilitar os Serviços de Certificados do Active Directory (AD CS) a adicionarem o certificado da autoridade de certificação (AC) identificado na mensagem do log de eventos para os Serviços de Domínio Active Directory (AD DS):

Confirme que a AC tem as permissões sobre contêineres e objetos AD DS essenciais.
Determine se existe um certificado válido de AC no contêiner AIA.
Se não existir, publique o certificado da AC no contêiner AIA manualmente.

Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.

Confirmar permissão sobre contêineres e objetos AD DS essenciais

Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:

Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.

A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.

Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.

Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.

Determine se existe um Certificado de Autoridade de Certificação válido no contêiner AIA

Para exibir os conteúdos do contêiner AIA no AD DS:

Em um controlador de domínio, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -cainfo e pressione ENTER.
Na saída do comando, observe a propriedade listada após o Nome Curto Corrigido.
Então, digite o seguinte comando e pressione ENTER:
certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority

Substitua MyCA pela propriedade Nome Curto Corrigido do comando anterior e substitua contoso e com pelo nome diferenciado do Protocolo LDAP do domínio raiz do Active Directory.
Se o certificado da AC não aparecer no contêiner AIA e você tiver as permissões necessárias, use o procedimento a seguir para publicar o certificado da AC.

Publique um Certificado de Autoridade de Certificação manualmente

Para publicar um Certificado de Autoridade de Certificação manualmente no AD DS:

Em uma AC, clique em Iniciar, digite cmd e pressione ENTER.
Para um Certificado de Autoridade de Certificação raiz, digite o seguinte comando e pressione ENTER: certutil [-f] -dspublish <CAcert.cer> RootCA
Para um Certificado de Autoridade de Certificação subordinada, digite o seguinte comando e pressione ENTER: ;certutil [-f] -dspublish ;<CAcert.cer> ;SubCA

Substitua <CAcert.cer> pelo nome de um arquivo de certificado. O sinalizador "-f" recria o objeto mesmo que ele tenha sido excluído.

Adicional

Para verificar a conexão entre um AC e os Serviços de Domínio do Active Directory (AD DS):

Abra uma janela de prompt de comando no computador hospedando a AC.
Digite nltest /sc_verify: [domainname] e pressione ENTER.
Use o seguinte procedimento para confirmar permissões sobre contêineres e objetos AD DS essenciais.

Substitua [nome de domínio] pelo nome do namespace em que a AC está instalada.

Confirmar permissão sobre contêineres e objetos AD DS essenciais

Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.

Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:

Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.

A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.

Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

106

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Conexão dos Serviços de Domínio do Active Directory AD CS – Não é possível adicionar a AC

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.106" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">106</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID4f12f8d124ed4ece99544c9a9730fa37"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>