Certifikační služba se nemohla připojit ke službě Active Directory.
Služba AD CS (Active Directory Certificate Services) vyžaduje nejméně oprávnění ke čtení, a v některých případech oprávnění k zápisu, pro určité objekty služby AD DS (Active Directory Domain Services). Chyba při přístupu k těmto objektům adresářové služby Active Directory může bránit spuštění služby AD CS.
Umožněte službě AC CS připojení ke službě Active Directory Domain Services
Postup řešení komunikačních problémů mezi certifikační autoritou (CA) a službou Active Directory Domain Services (AD DS):
Zkontrolujte, zda se certifikační autorita může připojit ke službě AD DS.
Zkontrolujte, zda má certifikační autorita potřebná oprávnění k důležitým kontejnerům a objektům služby AD DS.
Abyste mohli provést tyto postupy, musíte být členem skupiny Domain Admins, nebo musíte mít přiřazeno příslušné oprávnění.
Kontrola, zda se certifikační autorita může připojit ke službě AD DS
Postup kontroly možnosti připojení certifikační autority ke službě AD DS:
V certifikační autoritě otevřete okno příkazového řádku.
Zadejte ping <server_FQDN>, kde server_FQDN je plně kvalifikovaný název řadiče domény (například server1.contoso.com), a pak stiskněte ENTER.
Pokud byl příkaz ping úspěšný, obdržíte odpověď podobnou následujícímu příkladu:
Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=20ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=3ms TTL=59
Odpověď od IP_adresa: bajty=32 čas=6ms TTL=59 3
Na příkazovém řádku zadejte příkaz ping <IP_adresa>, kde IP_adresa je IP adresa řadiče domény, a pak stiskněte ENTER. Pokud se vám podaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, ale nikoli pomocí plně kvalifikovaného názvu domény, poukazuje to na možný problém s překladem názvu hostitele DNS (Domain Name System).
Pokud se vám nedaří úspěšně připojit k řadiči domény prostřednictvím IP adresy, poukazuje to na možný problém s připojením k síti, konfigurací brány firewall nebo konfigurací protokolu IPSec (Internet Protocol security).
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS nezbytná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény], kde [název_domény] je názvem vaší domény.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Postup kontroly připojení mezi certifikační autoritou a službou Active Directory Domain Services (AD DS):
Otevřete okno příkazového řádku na počítači hostujícím certifikační autoritu.
Zadejte příkaz nltest /sc_verify: [název_domény] a stiskněte ENTER.
Pomocí následujícího postupu zkontrolujte oprávnění k důležitým kontejnerům a objektům služby AD DS.
[název_domény] nahraďte názvem z oboru názvů, v němž je nainstalována certifikační autorita.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 91 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.91" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">91</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>