Servizi certificati: impossibile connettersi ad Active Directory.
Servizi certificati Active Directory (AD CS) richiede almeno l'accesso in lettura, e in alcuni casi l'accesso in scrittura, a determinati oggetti di Servizi di dominio Active Directory (AD DS). Il mancato accesso a questi oggetti di Active Directory può impedire l'avvio di Servizi certificati Active Directory.
Abilitazione di Servizi certificati Active Directory all'ottenimento delle informazioni di avvio necessarie da Servizi di dominio Active Directory
Per correggere questo problema:
Verifica della connettività di rete con Servizi di dominio Active Directory.
Verificare che l'Autorità di certificazione (CA) disponga delle autorizzazioni necessarie per i contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Dopo avere verificato la connettività e le autorizzazioni, riavviare la CA.
Per eseguire queste procedure è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Verificare una connessione di Servizi certificati Active Directory a Servizi di dominio Active Directory
Per verificare una connessione di Servizi certificati Active Directory (AD CS) a Servizi di dominio Active Directory:
Sulla CA, aprire una finestra del prompt dei comandi.
Digitare ping <FQDN_server>, dove <FQDN_server> è il nome di dominio completo del controller di dominio, ad esempio server1.contoso.com, quindi premere INVIO.
Se il ping ha esito positivo, verrà ricevuta una risposta simile alla seguente:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3
Al prompt dei comandi digitare ping <indirizzo_IP>, dove <indirizzo_IP> è l'indirizzo IP del controller di dominio, quindi premere INVIO.
Se la connessione al controller di dominio tramite indirizzo IP ha esito positivo, mentre la connessione tramite nome di dominio completo ha esito negativo, è possibile che si sia verificato un problema relativo alla risoluzione dei nomi host DNS. Se la connessione al controller di dominio tramite indirizzo IP ha esito negativo, è possibile che si sia verificato un problema relativo alla connettività di rete, alla configurazione del firewall o alla configurazione Internet Protocol Security (IPSec).
Verifica delle autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Verificare le autorizzazioni per i contenitori e oggetti di Servizi di dominio Active Directory
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Riavviare una CA
Per riavviare una CA:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Selezionare il nome della CA e fare clic su Riavvia.
Per verificare la connessione tra una CA e Servizi di dominio Active Directory (AD DS):
Aprire una finestra del prompt dei comandi sul computer su cui si trova la CA.
Digitare nltest /sc_verify: [nomedominio] e premere INVIO.
Attenersi alla procedura riportata di seguito per verificare le autorizzazioni sui contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Sostituire [nomedominio] con il nome dello spazio dei nomi in cui è installata la CA.
Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory
Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.
Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.
Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.
Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 59 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.59" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">59</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID5aa3d6eee7fc40d191bfff0780d8d5a2"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>