Active Directory Certificate Services kan geen wijzigingen in de inschrijvingstoegang publiceren in Active Directory.
Active Directory Certificate Services (AD CS) vereist ten minste leestoegang en in sommige gevallen schrijftoegang voor bepaalde objecten in Active Directory Domain Services (AD DS). Als er geen toegang tot deze Active Directory-objecten kan worden gekregen, kan AD CS mogelijk niet worden gestart.
AD CS toestaan om wijzigingen in de inschrijvingstoegang te publiceren naar een domeincontroller
Ga als volgt te werk om publicatiefouten van Active Directory Certificate Services (AD CS) naar Active Directory Domain Services (AD DS) te corrigeren:
Controleer de verbinding tussen de CA en een domeincontroller.
Controleer of de certificeringsinstantie (CA) over de benodigde machtigingen naar essentiële AD DS-containers en -objecten beschikt die het mogelijk maken dat er wijzigingen in de inschrijvingsconfiguratie worden gepubliceerd.
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Domeinadministrators of moet aan u de juiste bevoegdheid zijn gedelegeerd.
De verbinding controleren tussen de CA en een domeincontroller
Controleer als volgt de verbinding tussen een CA en een domeincontroller:
Open in de CA een opdrachtpromptvenster.
Typ ping <server_FQDN>, waarbij server_FQDN de volledige gekwalificeerde domeinnaam (FQDN) van de domeincontroller is (bijvoorbeeld server1.contoso.com). Druk vervolgens op ENTER.
Als de ping is geslaagd, ontvangt u een antwoord dat op het volgende lijkt:
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=20ms TTL=59
Antwoord van IP_adres: bytes=32 time=3ms TTL=59
Antwoord van IP_adres: bytes=32 time=6ms TTL=59 3
Typ ping <IP_adres> op de opdrachtregel, waarbij IP_adres het IP-adres van de domeincontroller is, en druk dan op ENTER.
Als u wel verbinding met de domeincontroller kunt maken via het IP-adres, maar niet via FQDN, geeft dit aan dat er mogelijk een probleem is met de DNS-hostnaamomzetting (Domain Name System). Als u geen verbinding met de domeincontroller kunt maken via het IP-adres, geeft dit aan dat er mogelijk een probleem is met de netwerkverbinding, de configuratie van de firewall of de IPsec-configuratie (Internet Protocol security).
Machtigingen voor essentiële AD DS-containers en -objecten controleren
Controleer als volgt of de CA de benodigde machtigingen heeft voor AD DS-containers en objecten in deze containers:
Klik in een domeincontroller op Start, wijs Systeembeheer aan en klik op Active Directory: sites en services.
Klik op Active Directory: sites en services [domeinnaam] waarbij [domeinnaam] de naam is van uw domein.
Klik in het menu Beeld op Knooppunt met services weergeven.
Dubbelklik op Services, dubbelklik op Public Key Services en klik met de rechtermuisknop op alle containers die hieronder worden vermeld of op de vermelde objecten in de container en klik op Eigenschappen.
Controleer op het tabblad Beveiliging welke machtigingen zijn vereist.
De volgende machtigingen zijn allemaal Active Directory-machtigingen die worden vereist door een computer die als host optreedt van een CA. Sommige van deze machtigingen worden gearchiveerd via het lidmaatschap van de groep Certificaatuitgevers.
Container voor inschrijvingsservices. De CA-computer heeft lees- en schrijftoegang tot zijn eigen object.
AIA-container. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de AIA-container en de CA-computer heeft de machtiging Volledig beheer voor zijn eigen object in de AIA-container.
CDP-container. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de container van elke CA onder de CDP-container en de CA-computer heeft de machtiging Volledig beheer voor elk CRL-object in zijn eigen container.
Container voor certificeringsinstanties. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de objecten in deze container.
De container Certificaatsjablonen. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang tot deze container en tot de meeste objecten in die container.
KRA-container. De CA-computer heeft de machtiging Volledig beheer voor zijn eigen object.
OID-container. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang tot deze container en tot de containers en de objecten in de containers.
NTAuthCertificates-object. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang.
De containers Domeincomputers en Domeingebruikers. De groep Certificaatuitgevers heeft lees- en schrijfmachtigingen voor de eigenschap userCertificate van elke gebruiker en elk computerobject in het forest waarin AD CS is geïmplementeerd.
U controleert als volgt de verbinding tussen een CA en Active Directory Domain Services (AD DS):
Open een opdrachtpromptvenster op de computer die als host van de CA optreedt.
Typ nltest /sc_verify: [domeinnaam] en druk op ENTER.
Gebruik de volgende procedure om de machtigingen voor essentiële AD DS-containers en -objecten te controleren.
Vervang [domeinnaam] door de naam van de naamruimte waarin de CA is geïnstalleerd.
Machtigingen voor essentiële AD DS-containers en -objecten controleren
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep Domeinadministrators of moet aan u de juiste bevoegdheid zijn gedelegeerd.
Controleer als volgt of de CA de benodigde machtigingen heeft voor AD DS-containers en objecten in deze containers:
Klik in een domeincontroller op Start, wijs Systeembeheer aan en klik op Active Directory: sites en services.
Klik op Active Directory: sites en services [domeinnaam], waarbij [domeinnaam] de naam is van uw domein.
Klik in het menu Beeld op Knooppunt met services weergeven.
Dubbelklik op Services, dubbelklik op Public Key Services en klik met de rechtermuisknop op alle containers die hieronder worden vermeld of op de vermelde objecten in de container en klik op Eigenschappen.
Controleer op het tabblad Beveiliging welke machtigingen zijn vereist.
De volgende machtigingen zijn allemaal Active Directory-machtigingen die worden vereist door een computer die als host optreedt van een CA. Sommige van deze machtigingen worden gearchiveerd via het lidmaatschap van de groep Certificaatuitgevers.
Container voor inschrijvingsservices. De CA-computer heeft lees- en schrijftoegang tot zijn eigen object.
AIA-container. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de AIA-container en de CA-computer heeft de machtiging Volledig beheer voor zijn eigen object in de AIA-container.
CDP-container. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de container van elke CA onder de CDP-container en de CA-computer heeft de machtiging Volledig beheer voor elk CRL-object in zijn eigen container.
Container voor certificeringsinstanties. De groep Certificaatuitgevers heeft de machtiging Volledig beheer voor de objecten in deze container.
De container Certificaatsjablonen. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang tot deze container en tot de meeste objecten in die container.
KRA-container. De CA-computer heeft de machtiging Volledig beheer voor zijn eigen object.
OID-container. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang tot deze container en tot de containers en de objecten in de containers.
NTAuthCertificates-object. De groepen Ondernemingsadministrators en Domeinadministrators, niet de CA-computer, hebben de machtiging Volledig beheer of lees- en schrijftoegang.
De containers Domeincomputers en Domeingebruikers. De groep Certificaatuitgevers heeft lees- en schrijfmachtigingen voor de eigenschap userCertificate van elke gebruiker en elk computerobject in het forest waarin AD CS is geïmplementeerd.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>