A tanúsítványszolgáltatásnak nem sikerült csatlakoznia az Active Directory címtárhoz.
Az Active Directory Tanúsítványszolgáltatás (AD CS) legalább olvasási hozzáférést és néhány esetben írási hozzáférést igényel bizonyos objektumokhoz az Active Directory tartományi szolgáltatásokban (AD DS). Ha nem lehet hozzáférni ezekhez az Active Directory-objektumokhoz, az megakadályozhatja az Active Directory Tanúsítványszolgáltatás elindulását.
A szükséges indítási információknak az Active Directory tartományi szolgáltatásokból való beszerzésének engedélyezése az Active Directory Tanúsítványszolgáltatás számára
A probléma megoldása:
Ellenőrizze a hálózati kapcsolatot az Active Directory tartományi szolgáltatásokkal.
Ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóihoz és objektumaihoz.
Miután ellenőrizte a kapcsolatot és az engedélyeket, indítsa újra a hitelesítésszolgáltatót.
A műveleteket akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Az Active Directory Tanúsítványszolgáltatás és az AD DS közötti kapcsolat ellenőrzése
Az Active Directory Tanúsítványszolgáltatás (AD CS) és az AD DS közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a <kiszolgáló_FQDN_neve> a tartományvezérlő teljes tartományneve (például kiszolgáló1.contoso.com), majd nyomja le az ENTER billentyűt.
Ha a pingelés sikeres volt, a következőhöz hasonló választ kap:
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59 3
Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az utalhat a DNS-gazdanév feloldásának problémájára. Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat, a tűzfal-konfiguráció vagy az IPsec-konfiguráció hibájára utalhat.
Az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
Az AD DS tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az AD DS tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
Hitelesítésszolgáltató újraindítása
A hitelesítésszolgáltató újraindításához tegye a következőket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Válassza ki a hitelesítésszolgáltató nevét, és kattintson az Újraindítás parancsra.
A hitelesítésszolgáltató és az Active Directory tartományi szolgáltatások közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be az nltest /sc_verify: [tartománynév] parancsot, majd nyomja le az ENTER billentyűt.
A következő eljárással ellenőrizze az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyeket.
Cserélje le a [tartománynév] értékét azon névtér nevére, amelyen a hitelesítésszolgáltató telepítve van.
Az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 59 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.59" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">59</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID5aa3d6eee7fc40d191bfff0780d8d5a2"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>