A tanúsítványszolgáltatás nem tud igénylés-hozzáférési módosításokat közzétenni az Active Directory címtárban.
Az Active Directory Tanúsítványszolgáltatás (AD CS) legalább olvasási hozzáférést és néhány esetben írási hozzáférést igényel bizonyos objektumokhoz az Active Directory tartományi szolgáltatásokban (AD DS). Ha nem lehet hozzáférni ezekhez az Active Directory-objektumokhoz, az megakadályozhatja az Active Directory Tanúsítványszolgáltatás elindulását.
Az Active Directory Tanúsítványszolgáltatás igénylés-hozzáférési módosításainak tartományvezérlőkön történő közzétételének engedélyezése
Az Active Directory Tanúsítványszolgáltatás és az Active Directory tartományi szolgáltatások közötti közzétételi problémák kijavításához hajtsa végre a következő műveleteket:
Ellenőrizze a hitelesítésszolgáltató kapcsolatát a tartományvezérlővel.
Ellenőrizze, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóihoz és objektumaihoz, ami lehetővé teszi az igénylési konfigurációs módosítások közzétételét.
A műveleteket akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A hitelesítésszolgáltató kapcsolatának ellenőrzése a tartományvezérlővel
A hitelesítésszolgáltató és a tartományvezérlő közötti kapcsolat ellenőrzéséhez hajtsa végre a következő műveleteket:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a ping <kiszolgáló_FQDN_neve> parancsot, amelyben a <kiszolgáló_FQDN_neve> a tartományvezérlő teljes tartományneve (például kiszolgáló1.contoso.com), majd nyomja le az ENTER billentyűt.
Ha a pingelés sikeres volt, a következőhöz hasonló választ kap:
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=20 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=3 ezredmp. TTL=59
Válasz IP_cím: bájt=32 idő=6 ezredmp. TTL=59 3
Írja be a parancssorba a ping <IP-cím> parancsot, amelyben az <IP-cím> a tartományvezérlő IP-címe, majd nyomja le az ENTER billentyűt.
Ha sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, a teljes tartománynév használatával azonban nem, az utalhat a DNS-gazdanév feloldásának problémájára. Ha nem sikerül csatlakoznia a tartományvezérlőhöz az IP-cím használatával, az a hálózati kapcsolat, a tűzfal-konfiguráció vagy az IPsec-konfiguráció hibájára utalhat.
Az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az AD DS tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
A hitelesítésszolgáltató és az Active Directory tartományi szolgáltatások közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be az nltest /sc_verify: [tartománynév] parancsot, majd nyomja le az ENTER billentyűt.
A következő eljárással ellenőrizze az AD DS kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyeket.
Cserélje le a [tartománynév] értékét azon névtér nevére, amelyen a hitelesítésszolgáltató telepítve van.
Az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory Tanúsítványszolgáltatás telepítve van.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>