Serviços de Certificados não puderam publicar mudanças de acesso de inscrição no Active Directory
Os Serviços de Certificados do Active Directory (AD CS) exigem pelo menos um acesso de Leitura, e, em alguns casos, acesso de Gravar, para certos objetos nos Serviços de Domínio do Active Directory (AD DS). Falha em acessar os objetos do Active Directory pode impedir o AD CS de iniciar.
Habilite as alterações no acesso de inscrição do AD CS para serem publicadas em um controlador de domínio
Para corrigir falhas na publicação dos Serviços de Certificados do Active Directory (AD CS) para Serviços de Domínio Active Directory (AD DS):
Confirme a conexão da AC com um controlador de domínio.
Confirme que a autoridade de certificação (AC) tem as permissões necessárias para contêineres e objetos do AD DS essenciais, o que permitirá que as alterações à configuração de inscrição sejam publicadas.
Para executar esses procedimentos, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Confirmar a conexão da AC com um controlador de domínio
Para confirme a conexão da AC com um controlador de domínio:
No AC, abra uma janela de prompt de comando.
Digite o ping <FQDN_servidor>, onde FQDN_servidor é o FQDN (nome de domínio totalmente qualificado) do controlador de domínio (por exemplo, server1.contoso.com), e pressione ENTER.
Se o ping tiver êxito, você receberá uma resposta semelhante à seguinte:
Responda de IP_address: bytes=32 time=3ms TTL=59
Responda de IP_address: bytes=32 time=20ms TTL=59
Responda de IP_address: bytes=32 time=3ms TTL=59
Resposta de IP_address: bytes=32 time=6ms TTL=59 3
No prompt de comando, digite o ping <endereço_IP>, onde endereço_IP é o endereço IP do controlador de domínio, e pressione ENTER.
Se puder conectar-se ao controlador de domínio com êxito através do endereço IP, mas não pelo FQDN, isto indica um possível problema com a resolução do nome de host do Sistema de Nome de Domínio (DNS). Se não puder conectar-se ao controlador de domínio com êxito através do endereço IP, isto indica um possível problema com a conectividade da rede, a configuração do firewall ou a configuração de segurança do Protocolo de Internet (IPsec).
Confirmar permissão sobre contêineres e objetos AD DS essenciais
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Para verificar a conexão entre um AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela de prompt de comando no computador hospedando a AC.
Digite nltest /sc_verify: [domainname] e pressione ENTER.
Use o seguinte procedimento para confirmar permissões sobre contêineres e objetos AD DS essenciais.
Substitua [nome de domínio] pelo nome do namespace em que a AC está instalada.
Confirme permissão sobre contêineres e objetos AD DS essenciais.
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>