Los Servicios de certificados no pueden publicar los cambios de acceso a inscripción en Active Directory.
Los servicios de certificados de Active Directory (AD CS) requieren como mínimo acceso de lectura y, en algunos casos, acceso de escritura a determinados objetos en los servicios de dominio de Active Directory (AD DS). AD CS puede no iniciarse en caso de no tener acceso a estos objetos de Active Directory.
Permitir que los cambios en el acceso a la inscripción en AD CS se publiquen en un controlador de dominio
Para solucionar errores de publicación de los Servicios de servidor de certificados de Active Directory (AD CS) en los Servicios de dominio de Active Directory (AD DS):
Confirme la conexión entre una CA y un controlador de dominio
Confirme que la entidad de certificación (CA) posea los permisos necesarios para los contenedores y objetos básicos de AD DS, lo cual permitirá que se publiquen los cambios de configuración de la inscripción.
Para llevar a cabo este procedimiento debe ser miembro del grupo "Admins. del dominio" o haber delegado la autoridad adecuada.
Confirmación de una conexión entre una CA y un controlador de dominio
Para confirmar la conexión entre una CA y un controlador de dominio:
En la CA, abra una ventana del símbolo del sistema.
Escriba ping <servidor_FQDN>, donde servidor_FQDN es el nombre de dominio completo (FQDN) del controlador de dominio (por ejemplo, servidor1.contoso.com) y, a continuación, presione ENTRAR.
Si el comando ping es correcto, recibirá una respuesta parecida a la siguiente:
Respuesta desde dirección_IP: bytes=32 tiempo=3ms TTL=59
Respuesta desde dirección_IP: bytes=32 tiempo=20ms TTL=59
Respuesta desde dirección_IP: bytes=32 tiempo=3ms TTL=59
Respuesta desde dirección_IP: bytes=32 tiempo=6ms TTL=59 3
En el símbolo del sistema, escriba ping <dirección_IP>, donde dirección_IP es la dirección IP del controlador de dominio, y, a continuación, presione ENTRAR.
Si puede conectarse correctamente al controlador de dominio por dirección IP, pero no por FQDN, significa que existe un posible problema con la resolución de los nombres de host del sistema de nombres de dominio (DNS). Si no puede conectarse correctamente al controlador de dominio por dirección IP, significa que existe un posible problema con la conectividad de red, la configuración del firewall o la configuración del protocolo de seguridad de Internet (IPSec).
Confirmación de permisos en contenedores y objetos de AD DS esenciales
Para confirmar que la CA posee los permisos necesarios en los contenedores de AD DS y los objetos dentro de dichos contenedores:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio] donde [nombreDeDominio] es el nombre de su dominio.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en los contenedores de la lista de la parte inferior o en los objetos de la lista dentro del contenedor y haga clic en Propiedades.
En la ficha Seguridad, confirme los permisos necesarios.
A continuación encontrará todos los permisos de Active Directory que deben poseer los equipos que hospedan una CA. Algunos de estos permisos se obtienen solo si pertenece al grupo de publicadores de certificados.
Contenedor de servicios de inscripción. El equipo de la CA posee acceso de lectura y escritura a su propio objeto.
Contenedor AIA. El grupo de publicadores de certificados posee acceso de control total al contenedor AIA y el equipo de CA posee acceso de control total a su propio objeto dentro del contenedor AIA.
Contenedor CDP. El grupo de publicadores de certificados posee acceso de control total en todos los contenedores de las CA dentro del contenedor CDP y el equipo de CA posee acceso de control total a todos los objetos de la lista de revocaciones de certificados (CRL) de su propio contenedor.
Contenedor de entidades de certificación. El grupo de publicadores de certificados posee acceso de control total a los objetos dentro de este contenedor.
Contenedor de plantillas de certificado. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y la mayoría de objetos que contiene.
Contenedor KRA. El equipo de CA posee acceso de control total a su propio objeto.
Contenedor OID. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y a los contenedores y objetos dentro del mismo.
Objeto NTAuthCertificates. Los grupos Administradores de empresas y Admins. del dominio, no el equipo de CA, tienen acceso de control total o acceso de lectura y escritura.
Contenedores Equipos del dominio y Usuarios del dominio. El grupo de publicadores de certificados tiene permisos de lectura y escritura en la propiedad UserCertificate de todos los objetos de usuario y equipo en el bosque donde se ha implementado AD CS.
Para comprobar la conexión entre una CA y los servicios de dominio de Active Directory (AD DS):
Abra una ventana del símbolo del sistema en el equipo donde se hospede la CA.
Escriba nltest /sc_verify: [nombrededominio] y presione ENTRAR.
Use el procedimiento siguiente para confirmar permisos en los contenedores y objetos esenciales de AD DS.
Sustituya [nombreDeDominio] por el nombre del espacio de nombres donde esté instalada la CA.
Confirmación de permisos en contenedores y objetos de AD DS esenciales
Para llevar a cabo este procedimiento, debe ser miembro del grupo Admins. del dominio o tener delegada la autoridad adecuada.
Para confirmar que la CA posee los permisos necesarios en los contenedores de AD DS y los objetos dentro de dichos contenedores:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio] donde [nombreDeDominio] es el nombre de su dominio.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en los contenedores de la lista de la parte inferior o en los objetos de la lista dentro del contenedor y haga clic en Propiedades.
En la ficha Seguridad, confirme los permisos necesarios.
A continuación encontrará todos los permisos de Active Directory que deben poseer los equipos que hospedan una CA. Algunos de estos permisos se obtienen solo si pertenece al grupo de publicadores de certificados.
Contenedor de servicios de inscripción. El equipo de la CA posee acceso de lectura y escritura a su propio objeto.
Contenedor AIA. El grupo de publicadores de certificados posee acceso de control total al contenedor AIA y el equipo de CA posee acceso de control total a su propio objeto dentro del contenedor AIA.
Contenedor CDP. El grupo de publicadores de certificados posee acceso de control total en todos los contenedores de las CA dentro del contenedor CDP y el equipo de CA posee acceso de control total a todos los objetos de la lista de revocaciones de certificados (CRL) de su propio contenedor.
Contenedor de entidades de certificación. El grupo de publicadores de certificados posee acceso de control total a los objetos dentro de este contenedor.
Contenedor de plantillas de certificado. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y la mayoría de objetos que contiene.
Contenedor KRA. El equipo de CA posee acceso de control total a su propio objeto.
Contenedor OID. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y a los contenedores y objetos dentro del mismo.
Objeto NTAuthCertificates. Los grupos Administradores de empresas y Admins. del dominio, no el equipo de CA, tienen acceso de control total o acceso de lectura y escritura.
Contenedores Equipos del dominio y Usuarios del dominio. El grupo de publicadores de certificados tiene permisos de lectura y escritura en la propiedad UserCertificate de todos los objetos de usuario y equipo en el bosque donde se ha implementado AD CS.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>