Die Zertifikatsdienste können Änderungen des Registrierungszugriffs nicht für Active Directory veröffentlichen.
Für die Active Directory-Zertifikatsdienste ist mindestens der Lesezugriff und in einigen Situationen der Schreibzugriff auf bestimmte Objekte in den Active Directory-Domänendiensten erforderlich. Wenn beim Zugriff auf diese Active Directory-Objekte ein Fehler auftritt, kann dies den Start der Active Directory-Zertifikatsdienste verhindern.
Veröffentlichen der Änderungen am Registrierungszugriff der Active Directory-Zertifikatsdienste auf einem Domänencontroller ermöglichen
So beheben Sie Fehler bei der Veröffentlichung von Active Directory-Zertifikatsdiensten in Active Directory-Domänendiensten
Bestätigen Sie, dass eine Verbindung zwischen der Zertifizierungsstelle und einem Domänencontroller besteht.
Bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für wesentliche Container und Objekte der Zertifizierungsstelle verfügt, die eine Veröffentlichung der Änderungen an der Registrierungskonfiguration ermöglichen.
Zum Ausführen dieser Verfahren müssen Sie Mitglied der Gruppe "Domänen-Admins" sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Verbindung zwischen Zertifizierungsstelle und Domänencontroller bestätigen
So bestätigen Sie die Verbindung zwischen einer Zertifizierungsstelle und einem Domänencontroller:
Öffnen Sie auf der Zertifizierungsstelle ein Eingabeaufforderungsfenster.
Geben Sie ping <server_FQDN> ein, wobei "server_FQDN" der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Domänencontrollers (z. B. server1.contoso.com) ist, und drücken Sie dann die EINGABETASTE.
Wenn das Senden des Ping erfolgreich war, empfangen Sie eine Antwort, die der folgenden ähnelt:
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=20ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=6ms TTL=59 3
Geben Sie an der Eingabeaufforderung ping <IP_address> ein, wobei "IP_address" die IP-Adresse des Domänencontrollers ist, und drücken Sie dann die EINGABETASTE.
Wenn Sie über die IP-Adresse, jedoch nicht über den FQDN eine Verbindung mit dem Domänencontroller herstellen können, liegt möglicherweise ein Problem bei der Auflösung des DNS-Hostnamens (Domain Name System) vor. Wenn Sie über die IP-Adresse keine Verbindung zum Domänencontroller herstellen können, liegt möglicherweise ein Problem mit der Netzwerkverbindung, der Firewallkonfiguration oder der IPsec-Konfiguration (Internet Protocol Security) vor.
Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen
So bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für Container der Active Directory-Domänendienste und die darin enthaltenen Objekte verfügt:
Klicken Sie auf einem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie auf "Active Directory-Standorte und -Dienste [Domänenname]", wobei [Domänenname] den Namen Ihrer Domäne angibt.
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services", dann auf "Public Key Services", und klicken Sie dann mit der rechten Maustaste auf die unten aufgeführten einzelnen Container bzw. auf die im Container aufgelisteten Objekte. Anschließend klicken Sie auf "Eigenschaften".
Bestätigen Sie auf der Registerkarte "Sicherheit" die erforderlichen Berechtigungen.
Nachfolgend sind alle Active Directory-Berechtigungen aufgeführt, die für einen Computer erforderlich sind, der eine Zertifizierungsstelle hostet. Einige dieser Berechtigungen werden über die Mitgliedschaft in der Gruppe "Zertifikatherausgeber" erlangt.
Registrierungsdienstecontainer. Der Zertifizierungsstellencomputer verfügt über den Lese- und Schreibzugriff auf sein eigenes Objekt.
AIA-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf den AIA-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt im AIA-Container.
CDP-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf jeden Container der Zertifizierungsstelle unter dem CDP-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf jedes Sperrlistenobjekt im eigenen Container.
Zertifizierungsstellencontainer. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf die Objekte in diesem Container.
Zertifikatvorlagencontainer. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die meisten darin enthaltenen Objekte.
KRA-Container. Der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt.
OID-Container. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die darin enthaltenen Container und Objekte.
NTAuthCertificates-Objekt. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff.
Container "Domänencomputer" und "Domänenbenutzer". Die Gruppe "Zertifikatherausgeber" verfügt über Lese- und Schreibberechtigungen für die Eigenschaft "userCertificate" der einzelnen Benutzer- und Computerobjekte in der Gesamtstruktur, in der die Active Directory-Zertifikatsdienste bereitgestellt werden.
So überprüfen Sie die Verbindung zwischen einer Zertifizierungsstelle und den Active Directory-Domänendiensten (AD DS)
Öffnen Sie ein Eingabeaufforderungsfenster auf dem Computer, der die Zertifizierungsstelle hostet.
Geben Sie "nltest /sc_verify: [Domänenname]" ein, und drücken Sie die EINGABETASTE.
Verwenden Sie das folgende Verfahren, um Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste zu bestätigen.
Ersetzen Sie [Domänenname] durch den Namen des Namespaces, in dem die Zertifizierungsstelle installiert ist.
Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen
Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe "Domänen-Admins" sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für Container der Active Directory-Domänendienste und der darin enthaltenen Objekte verfügt
Klicken Sie auf einem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie auf "Active Directory-Standorte und -Dienste [Domänenname]", wobei [Domänenname] den Namen Ihrer Domäne angibt.
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services", dann auf "Public Key Services", und klicken Sie dann mit der rechten Maustaste auf die unten aufgeführten einzelnen Container bzw. auf die im Container aufgelisteten Objekte. Anschließend klicken Sie auf "Eigenschaften".
Bestätigen Sie auf der Registerkarte "Sicherheit" die erforderlichen Berechtigungen.
Nachfolgend sind alle Active Directory-Berechtigungen aufgeführt, die für einen Computer erforderlich sind, der eine Zertifizierungsstelle hostet. Einige dieser Berechtigungen werden über die Mitgliedschaft in der Gruppe "Zertifikatherausgeber" erlangt.
Registrierungsdienstecontainer. Der Zertifizierungsstellencomputer verfügt über den Lese- und Schreibzugriff auf sein eigenes Objekt.
AIA-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf den AIA-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt im AIA-Container.
CDP-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf jeden Container der Zertifizierungsstelle unter dem CDP-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf jedes Sperrlistenobjekt im eigenen Container.
Zertifizierungsstellencontainer. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf die Objekte in diesem Container.
Zertifikatvorlagencontainer. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die meisten darin enthaltenen Objekte.
KRA-Container. Der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt.
OID-Container. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die darin enthaltenen Container und Objekte.
NTAuthCertificates-Objekt. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff.
Container "Domänencomputer" und "Domänenbenutzer". Die Gruppe "Zertifikatherausgeber" verfügt über Lese- und Schreibberechtigungen für die Eigenschaft "userCertificate" der einzelnen Benutzer- und Computerobjekte in der Gesamtstruktur, in der die Active Directory-Zertifikatsdienste bereitgestellt werden.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>