Serviços de Certificado não pode conectar-se ao Active Directory.
Os Serviços de Certificados do Active Directory (AD CS) exigem pelo menos um acesso de Leitura, e, em alguns casos, acesso de Gravar, para certos objetos nos Serviços de Domínio do Active Directory (AD DS). Falha em acessar os objetos do Active Directory pode impedir o AD CS de iniciar.
Habilite o AD CS para conectar-se ao Serviços de Domínio do Active Directory
Para resolver problemas de comunicação entre a autoridade de certificação (AC) e os Serviços de Domínio do Active Directory (AD DS):
Confirme que a AC pode conectar-se ao AD DS.
Confirme que a AC tem as permissões necessárias sobre contêineres e objetos AD DS essenciais.
Para executar esses procedimentos, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Confirmar que a AC pode conectar-se ao AD DS
Para confirmar que a AC pode conectar-se ao AD DS:
Em AC, abra uma janela de prompt de comando.
Digite o ping <FQDN_servidor>, onde FQDN_servidor é o FQDN (nome de domínio totalmente qualificado) do controlador de domínio (por exemplo, server1.contoso.com), e pressione ENTER.
Se o ping tiver êxito, você receberá uma resposta semelhante à seguinte:
Responda de IP_address: bytes=32 time=3ms TTL=59
Responda de IP_address: bytes=32 time=20ms TTL=59
Responda de IP_address: bytes=32 time=3ms TTL=59
Resposta de IP_address: bytes=32 time=6ms TTL=59 3
No prompt de comando, digite o ping <endereço_IP>, onde endereço_IP é o endereço IP do controlador de domínio, e pressione ENTER. Se puder conectar-se ao controlador de domínio com êxito através do endereço IP, mas não pelo FQDN, isto indica um possível problema com a resolução do nome de host do Sistema de Nome de Domínio (DNS).
Se não puder conectar-se ao controlador de domínio com êxito através do endereço IP, isto indica um possível problema com a conectividade da rede, a configuração do firewall ou a configuração de segurança do Protocolo de Internet (IPsec).
Confirmar permissão sobre contêineres e objetos AD DS essenciais
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Para verificar a conexão entre um AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela de prompt de comando no computador hospedando a AC.
Digite nltest /sc_verify: [domainname] e pressione ENTER.
Use o seguinte procedimento para confirmar permissões sobre contêineres e objetos AD DS essenciais.
Substitua [nome de domínio] pelo nome do namespace em que a AC está instalada.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 |
| Category | EventCollection |
| Enabled | True |
| Event_ID | 91 |
| Event Source | Microsoft-Windows-CertificationAuthority |
| Alert Generate | False |
| Remotable | True |
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
PTB <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.91" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">91</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>