Службам сертификации не удалось подключиться к Active Directory.
Службы сертификации Active Directory требуют доступ на чтение, а в некоторых случаях — также доступ на запись к определенным объектам доменных служб Active Directory. Если службы сертификации Active Directory не получают доступ к таким объектам доменных служб Active Directory, они не запускаются.
Активация служб сертификации Active Directory для получения необходимых сведений для запуска от доменных служб Active Directory
Устранение такой проблемы
Удостоверьтесь в наличии сетевого подключения к доменным службам Active Directory (AD DS).
Подтвердите наличие у центра сертификации (ЦС) необходимых разрешений для базовых контейнеров доменных служб Active Directory и объектов в них.
После проверки наличия подключения и разрешений перезапустите ЦС.
Для выполнения данных процедур необходимо быть членом группы "Администраторы домена" либо являться обладателем соответствующих делегированных полномочий.
Проверка подключения служб сертификации Active Directory к доменным службам Active Directory
Чтобы подтвердить подключение служб сертификации Active Directory к доменным службам Active Directory, выполните следующие действия.
Откройте окно командной строки в ЦС.
Введите ping <server_FQDN>, где server_FQDN — полное доменное имя контроллера домена (например, server1.contoso.com), и нажмите клавишу ВВОД.
При успешном выполнении команды Ping вы получите ответ, похожий на следующий:
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=20мс TTL=59
Ответ от IP_адрес: число байт=32 время=3мс TTL=59
Ответ от IP_адрес: число байт=32 время=6мс TTL=59 3
В командной строке введите "ping IP_address", где IP_address - это IP-адрес контроллера домена, и нажмите клавишу ВВОД.
Если подключение к контроллеру домена удается осуществить только с помощью IP-адреса, но не с помощью полного доменного имени, это свидетельствует о возможных сбоях разрешения имени узла службы доменных имен (DNS). Если не удается осуществить подключение к контроллеру домена по IP-адресу, это свидетельствует о возможных неполадках сетевого подключения, конфигурации брандмауэра или IPsec.
Подтверждение разрешений для базовых контейнеров и объектов доменных служб Active Directory
Подтверждение разрешений для контейнеров доменных служб Active Directory и объектов в них
Чтобы подтвердить наличие у ЦС необходимых разрешений на контейнеры доменных служб Active Directory и объекты в них, выполните следующие действия.
На контроллере домена нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
Щелкните "Службы и узлы Active Directory [имя_домена]", где [имя_домена] — имя вашего домена.
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, затем щелкните правой кнопкой мыши каждый из представленных ниже контейнеров или объектов, перечисленных в контейнере, и щелкните "Свойства".
На вкладке "Безопасность" подтвердите необходимые разрешения.
Далее представлены все разрешения Active Directory, запрашиваемые компьютером, на котором размещен ЦС. Некоторые из этих разрешений предоставляются членам группы издателей сертификатов.
Контейнер служб регистрации. Компьютер ЦС имеет доступ на чтение и запись к собственному объекту.
Контейнер AIA. Группа издателей сертификатов имеет полный доступ к компьютеру AIA, а компьютер ЦС имеет полный доступ к собственному объекту в контейнере AIA.
Контейнер CDP. Группа издателей сертификатов имеет полный доступ к каждому контейнеру ЦС в составе контейнера CDP, а компьютер ЦС имеет полный доступ к каждому объекту списка отзыва сертификатов в собственном контейнере.
Контейнер центра сертификации. Группа издателей сертификатов имеет полный доступ к объектам в этом контейнере.
Контейнер шаблонов сертификатов. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру и большинству объектов в нем.
Контейнер KRA. Компьютер ЦС имеет полный доступ к собственному объекту.
Контейнер OID. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру, а также к контейнерам и объектам внутри него.
Объект NTAuthCertificates. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись
Контейнеры доменных компьютеров и пользователей домена. Группа издателей сертификатов имеет разрешения на чтение и запись для свойства "userCertificate" каждого объекта пользователя и компьютера в лесу, в котором развернуты доменные службы Active Directory.
Перезапуск ЦС
Чтобы перезапустить ЦС, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Выберите имя ЦС и щелкните "Перезапустить".
Чтобы проверить связь между ЦС и доменными службами Active Directory, выполните следующие действия.
Откройте окно командной строки на компьютере, на котором размещен ЦС.
Введите nltest /sc_verify: [доменное_имя] и нажмите клавишу ВВОД.
Чтобы подтвердить разрешения для базовых контейнеров и объектов доменных служб Active Directory, выполните следующую процедуру.
Замените [имя_домена] именем пространства имен, в котором установлен ЦС.
Подтверждение разрешений для базовых контейнеров и объектов доменных служб Active Directory
Для выполнения данной процедуры необходимо быть членом группы "Администраторы домена" либо обладать соответствующими делегированными полномочиями.
Чтобы подтвердить наличие у ЦС необходимых разрешений на контейнеры доменных служб Active Directory и объекты в них, выполните следующие действия.
На контроллере домена нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
Щелкните "Службы и узлы Active Directory [имя_домена]", где [имя_домена] — имя вашего домена.
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, затем щелкните правой кнопкой мыши каждый из представленных ниже контейнеров или объектов, перечисленных в контейнере, и щелкните "Свойства".
На вкладке "Безопасность" подтвердите необходимые разрешения.
Далее представлены все разрешения Active Directory, запрашиваемые компьютером, на котором размещен ЦС. Некоторые из этих разрешений предоставляются членам группы издателей сертификатов.
Контейнер служб регистрации. Компьютер ЦС имеет доступ на чтение и запись к собственному объекту.
Контейнер AIA. Группа издателей сертификатов имеет полный доступ к компьютеру AIA, а компьютер ЦС имеет полный доступ к собственному объекту в контейнере AIA.
Контейнер CDP. Группа издателей сертификатов имеет полный доступ к каждому контейнеру ЦС в составе контейнера CDP, а компьютер ЦС имеет полный доступ к каждому объекту списка отзыва сертификатов в собственном контейнере.
Контейнер центра сертификации. Группа издателей сертификатов имеет полный доступ к объектам в этом контейнере.
Контейнер шаблонов сертификатов. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру и большинству объектов в нем.
Контейнер KRA. Компьютер ЦС имеет полный доступ к собственному объекту.
Контейнер OID. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру, а также к контейнерам и объектам внутри него.
Объект NTAuthCertificates. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись
Контейнеры доменных компьютеров и пользователей домена. Группа издателей сертификатов имеет разрешения на чтение и запись для свойства "userCertificate" каждого объекта пользователя и компьютера в лесу, в котором развернуты доменные службы Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 59 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.59" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">59</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID5aa3d6eee7fc40d191bfff0780d8d5a2"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>