Regra de Recolha para evento com origem CertificationAuthority e ID 107

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107 (Rule)

Os Serviços de Certificados não podem eliminar um certificado de AC do Active Directory.

Knowledge Base article:

Resumo

Os Serviços de Certificados do Active Directory (AD CS) requerem pelo menos acesso de Leitura e em algumas instâncias acesso de Escrita, para alguns objetos nos Serviços de Domínio do Active Directory (AD DS). A falha no acesso a estes objetos do Active Directory pode impedir o início de AD CS.

Resoluções

Permitir aos AD CS eliminarem um certificado de AC dos Serviços de Domínio do Active Directory

Para os Serviços de Certificados do Active Directory (AD CS) poderem eliminar o certificado da autoridade de certificação (AC) identificado na mensagem do registo de eventos dos Serviços de Domínio do Active Directory (AD DS):

Confirme se a AC tem as permissões necessárias para contentores e objetos AD DS essenciais.
Confirme se o certificado de AC existe no contentor AIA.
Confirme o estado do certificado de AC.
Depois de confirmar estas condições, elimine o certificado manualmente.

Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado no controlador de domínio.

Confirmar permissões em contentores e objetos AD DS essenciais

Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:

Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.

Seguem-se todas as permissões do Active Directory necessárias para um computador que aloja uma AC. Para ter algumas destas permissões é necessário ser membro do grupo de Editores de Certificados.

Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.

Estes procedimentos exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.

Confirmar se o certificado de AC existe no contentor AIA

Para ver o conteúdo do contentor AIA nos AD DS:

Abra uma janela da linha de comandos.
Escreva certutil -cainfo e prima ENTER.
Na saída do comando, preste atenção à propriedade listada a seguir ao Nome Abreviado Corrigido.
Escreva o comando seguinte e prima ENTER: certutil -viewstore ldap:/// CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority

Substitua MyCA pela propriedade do Nome Abreviado Corrigido do passo 3 e substitua "contoso" e "com" pelo nome único do protocolo LDAP (Lightweight Directory Access Protocol) do seu domínio de raiz do Active Directory.

Confirmar o estado do certificado de AC

Para confirmar o estado do certificado de AC identificado na mensagem do registo de eventos:

Abra uma janela da linha de comandos.
Escreva certutil -verify ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e prima ENTER.
Se o certificado devia ter sido eliminado e não foi, pode eliminá-lo manualmente aplicando o procedimento "Eliminar o certificado de AC manualmente."

Eliminar o certificado de AC manualmente

Para eliminar o certificado de AC manualmente:

Abra uma janela da linha de comandos.
Escreva certutil -viewdelstore ldap:///CN=<MyCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority e prima ENTER.
Selecione o certificado de AC a eliminar e clique em OK.

Adicional

Para verificar a ligação entre uma AC e os Serviços de Domínio do Active Directory (AD DS):

Abra uma janela da linha de comandos no computador que aloja a AC.
Escreva nltest /sc_verify: [domainname] e prima ENTER.
Utilize o procedimento seguinte para confirmar permissões em contentores e objetos AD DS essenciais.

Substitua o [nomedomínio] pelo nome do espaço de nomes onde a AC está instalada.

Confirmar permissões em contentores e objetos AD DS essenciais

Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.

Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:

Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.

Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

107

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Ligação dos Serviços de Domínio do Active Directory AD CS - Não é possível eliminar AC

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">107</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>