Os Serviços de Certificados não conseguem publicar as alterações de acesso à inscrição efetuadas no Active Directory.
Os Serviços de Certificados do Active Directory (AD CS) requerem pelo menos acesso de Leitura e em algumas instâncias acesso de Escrita, para alguns objetos nos Serviços de Domínio do Active Directory (AD DS). A falha no acesso a estes objetos do Active Directory pode impedir o início de AD CS.
Ativar alterações de acesso à inscrição nos AD CS para serem publicadas num controlador de domínio
Para corrigir falhas de publicação dos Serviços de Certificados do Active Directory (AD CS) nos Serviços de Domínio do Active Directory (AD DS):
Confirme a ligação da AC a um controlador de domínio.
Confirme se a autoridade de certificação (AC) tem as permissões necessárias para contentores e objetos AD DS essenciais, que permitirão a publicação das alterações na configuração de inscrição.
Estes procedimentos exigem que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Confirmar uma ligação de AC a um controlador de domínio
Para confirmar uma ligação de AC a um controlador de domínio:
Na AC, abra uma janela da linha de comandos.
Escreva ping <server_FQDN>, em que server_FQDN é o nome de domínio completamente qualificado (FQDN) do controlador de domínio (por exemplo, server1.contoso.com) e depois prima ENTER.
Se o ping for bem-sucedido, irá receber uma resposta semelhante a esta:
Reply from IP_address: bytes=32 time=3ms TTL=59
Reply from IP_address: bytes=32 time=20ms TTL=59
Reply from IP_address: bytes=32 time=3ms TTL=59
Resposta de endereço_IP: bytes=32 tempo=6ms TTL=59 3
Na linha de comandos, escreva ping <IP_address>, em que IP_address é o endereço IP do controlador de domínio e depois prima ENTER.
Se conseguir ligar com êxito ao controlador de domínio através do endereço IP, mas não através do FQDN, isto indica um possível problema na resolução de nomes do anfitrião DNS (Sistema de Nomes de Domínio). Se não conseguir ligar ao controlador de domínio através do endereço IP, isto indica um possível problema na conectividade da rede, configuração do firewall ou configuração de segurança do Protocolo Internet (IPsec).
Confirmar permissões em contentores e objetos AD DS essenciais
Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:
Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.
Seguem-se todas as permissões do Active Directory necessárias para um computador que aloja uma AC. Para ter algumas destas permissões é necessário ser membro do grupo de Editores de Certificados.
Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.
Para verificar a ligação entre uma AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela da linha de comandos no computador que aloja a AC.
Escreva nltest /sc_verify: [domainname] e prima ENTER.
Utilize o procedimento seguinte para confirmar permissões em contentores e objetos AD DS essenciais.
Substitua o [nomedomínio] pelo nome do espaço de nomes onde a AC está instalada.
Confirmar permissões em contentores e objetos AD DS essenciais
Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:
Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.
Seguem-se todas as permissões do Active Directory necessárias para um computador que aloja uma AC. Para ter algumas destas permissões é necessário ser membro do grupo de Editores de Certificados.
Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 64 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.64" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">64</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>