CertificationAuthority kaynağına ve 107 kimliğine sahip olay için Toplama Kuralı

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107 (Rule)

Sertifika Hizmetleri, Active Directory olanağından bir CA sertifikasını silemiyor.

Knowledge Base article:

Özet

Active Directory Sertifika Hizmetleri (AD CS) Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) belirli nesneler için minimum olarak Okuma erişimi ve bazı durumlarda Yazma erişimi gerektirir. Bu Active Directory nesnelerine erişilememesi, AD CS'nin başlatılmasını engelleyebilir.

Çözümler

AD CS'yi bir CA sertifikasını Active Directory Etki Alanı Hizmetleri'nden silmek üzere etkinleştirin

Active Directory Sertifika Hizmetleri'ni (AD CS) olay günlüğü iletisinde tanımlanan sertifika yetkilisi (CA) sertifikasını Active Directory Etki Alanı Hizmetleri'nden (AD DS) silmek üzere etkinleştirmek için:

CA'nın gerekli AD DS kapsayıcılarına ve nesnelerine yönelik gerekli izinlere sahip olduğunu onaylayın.
AIA kapsayıcısında CA sertifikasının var olduğunu onaylayın.
CA sertifikasının durumunu onaylayın.
Bu durumlarla ilgili gerekli işlem yapıldıktan sonra, sertifikayı el ile silin.

Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya etki alanı denetleyicisi üzerinde uygun yetkinin size verilmiş olması gerekir.

Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın

CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:

Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.

Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.

Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.

Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.

AIA kapsayıcısında CA sertifikasının mevcut olduğunu onaylayın

AD DS'deki AIA kapsayıcısının içeriğini görüntülemek için:

Bir komut istemi penceresi açın.
certutil -cainfo yazın ve ENTER tuşuna basın.
Komut çıktısında, Ayıklanmış Kısa Ad öğesinden sonra listelenen özelliği not edin.
Şu komutu yazın ve ENTER tuşuna basın: certutil -viewstore ldap:/// CN=<KullandığımCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority

KullandığımCA ifadesini, adım 3'teki Ayıklanmış Kısa Ad özelliğiyle değiştirin ve contoso ve com öğelerini Active Directory kök etki alanınızın Basit Dizin Erişimi Protokolü (LDAP) ayrı adıyla değiştirin.

CA sertifikası durumunu onaylayın

Olay günlüğü iletisinde tanımlanan CA sertifikasının durumunu onaylamak için:

Bir komut istemi penceresi açın.
certutil -verify ldap:///CN=<KullandığımCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority yazın ve ENTER tuşuna basın.
Sertifika silinmiş olması gerekirken silinmemişse, "CA sertifikasını el ile silin" yordamını kullanarak sertifikayı el ile silebilirsiniz.

CA sertifikasını el ile silin

CA sertifikasını el ile silmek için:

Bir komut istemi penceresi açın.
certutil -viewdelstore ldap:///CN=<KullandığımCA>,CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?cACertificate?base?objectclass=certificationAuthority yazın ve ENTER tuşuna basın.
Silinecek olan CA sertifikasını seçin ve Tamam'a tıklayın.

Ek

Bir CA ile Active Directory Etki Alanı Hizmetleri (AD DS) arasındaki bağlantıyı denetlemek için:

CA'yı barındıran bilgisayar üzerinde bir komut istemi penceresi açın.
nltest /sc_verify: [etkialanıadı] yazıp ENTER tuşuna basın.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylamak için aşağıdaki yordamı kullanın.

[etkialanıadı] ifadesini, CA'nın yüklü olduğu ad alanının adıyla değiştirin.

Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın

Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.

CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:

Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.

Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.

Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

107

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS Active Directory Etki Alanı Hizmetleri Bağlantısı - CA silinemiyor

Olay Açıklaması: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.107" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">107</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID62fe9963ca0840238c71200c88d2958c"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>