Les services de certificats ne peuvent pas publier les modifications d'accès d'inscription dans Active Directory.
Les services de certificats Active Directory (AD CS) nécessitent au moins un accès en lecture et, dans certaines instances, un accès en écriture à certains objets des services de domaine Active Directory (AD DS). L'échec de la tentative d'accès à ces objets Active Directory peut empêcher AD CS de démarrer.
Activer les modifications d'accès d'inscription AD CS à publier dans un contrôleur de domaine
Pour remédier à des échecs de publication entre les services de certificats Active Directory (AD CS) et les services de domaine Active Directory (AD DS) :
Confirmez la connexion de l'autorité de certification à un contrôleur de domaine.
Confirmez que l'autorité de certification a les autorisations nécessaires pour les conteneurs et objets AD DS essentiels, ce qui permettra la publication des modifications de la configuration de l'inscription.
Pour exécuter ces procédures, vous devez être membre du groupe Admins de domaine ou l'autorité appropriée doit vous avoir été déléguée.
Confirmer la connexion d'une autorité de certification à un contrôleur de domaine
Pour confirmer la connexion d'une autorité de certification à un contrôleur de domaine :
Sur l’autorité de certification, ouvrez une fenêtre d'invite de commandes.
Tapez ping <FQDN_serveur>, où FQDN_serveur correspond au nom de domaine complet (FQDN) du contrôleur de domaine (par exemple, server1.contoso.com). Appuyez sur ENTRÉE.
Si la commande Ping s'exécute correctement, vous recevrez une réponse semblable à la suivante :
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 20 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 3 ms TTL = 59
Réponse d'IP_address: octets = 32 temps = 6 ms TTL=59,3
À l’invite de commandes, tapez ping <adresse_IP>, où adresse_IP correspond à l’adresse IP du contrôleur de domaine. Appuyez sur ENTRÉE.
Si vous parvenez à vous connecter au contrôleur de domaine par adresse IP, mais pas par nom de domaine complet (FQDN), il s'agit peut-être d'un problème de résolution du nom d'hôte du DNS. Si vous ne parvenez pas à vous connecter au contrôleur de domaine par adresse IP, il s'agit probablement d'un problème de connectivité réseau, de configuration du pare-feu ou de configuration de la sécurité du protocole Internet (IPsec).
Confirmer des autorisations sur des conteneurs et objets AD DS essentiels
Pour confirmer que l'autorité de certification dispose des autorisations nécessaires sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine], [nom de domaine] étant le nom de votre domaine.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.
Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats
Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.
Pour vérifier la connexion entre une autorité de certification et les services de domaine Active Directory (AD DS) :
Ouvrez une fenêtre d'invite de commandes sur l'ordinateur hébergeant l'autorité de certification.
Entrez nltest /sc_verify : [nom de domaine], puis appuyez sur ENTRÉE.
Utilisez la procédure suivante pour confirmer des autorisations sur des conteneurs AD DS et des objets essentiels.
Remplacez [nom de domaine] par le nom de l'espace de noms dans lequel l'autorité de certification est installée.
Confirmer des autorisations sur des conteneurs et objets AD DS essentiels
Pour exécuter cette procédure, vous devez être membre du groupe Admins du domaine ou l'autorité appropriée doit vous avoir été déléguée.
Pour confirmer que l'autorité de certification dispose des autorisations nécessaires sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine], [nom de domaine] étant le nom de votre domaine.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.
Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats
Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 |
| Category | EventCollection |
| Enabled | True |
| Event_ID | 64 |
| Event Source | Microsoft-Windows-CertificationAuthority |
| Alert Generate | False |
| Remotable | True |
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
FRA <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>