Sertifika Hizmetleri, Active Directory olanağına bağlanamadı.
Active Directory Sertifika Hizmetleri (AD CS) Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) belirli nesneler için minimum olarak Okuma erişimi ve bazı durumlarda Yazma erişimi gerektirir. Bu Active Directory nesnelerine erişilememesi, AD CS'nin başlatılmasını engelleyebilir.
AD CS'yi Active Directory Etki Alanı Hizmetleri'ne bağlanmak üzere etkinleştirin
Bir sertifika yetkilisi (CA) ile Active Directory Etki Alanı Hizmetleri (AD DS) arasındaki iletişim sorunlarını çözmek için:
CA'nın AD DS'ye bağlanabildiğini onaylayın.
CA'nın gerekli AD DS kapsayıcılarına ve nesnelerine yönelik gerekli izinlere sahip olduğunu onaylayın.
Bu yordamları gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Bir CA'nın AD DS'ye bağlanabildiğini onaylayın
Bir CA'nın AD DS'ye bağlanabildiğini onaylamak için:
CA üzerinde, bir komut istemi penceresi açın.
ping <server_FQDN> yazın (burada server_FQDN, etki alanı denetleyicisinin tam etki alanı adıdır (FQDN) (örneğin, server1.contoso.com)) ve ENTER tuşuna basın.
Ping başarılı olduğunda aşağıdakine benzer bir yanıt alırsınız:
IP_address yanıtı: bayt=32 süre=3ms TTL=59
IP_address yanıtı: bayt=32 süre=20ms TTL=59
IP_address yanıtı: bayt=32 süre=3ms TTL=59
Reply from IP_address: bytes=32 time=6ms TTL=59 3
Komut isteminde ping <IP_address> yazın (burada IP_address, etki alanı denetleyicisinin IP adresidir) ve ardından ENTER tuşuna basın. Etki alanı denetleyicisine bağlantının IP adresiyle başarılı olması ancak FQDN ile başarısız olması, Etki Alanı Adı Sistemi (DNS) ana bilgisayar ad çözümlemesiyle ilgili olası bir sorun olduğunu gösterir.
Etki alanı denetleyicisine bağlantının IP adresiyle başarısız olması, ağ bağlantısı, güvenlik duvarı yapılandırması veya Internet Protokolü güvenliği (IPsec) yapılandırmasıyla ilgili olası bir sorun olduğunu gösterir.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
Bir CA ile Active Directory Etki Alanı Hizmetleri (AD DS) arasındaki bağlantıyı denetlemek için:
CA'yı barındıran bilgisayar üzerinde bir komut istemi penceresi açın.
nltest /sc_verify: [domainname] yazıp ENTER tuşuna basın.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylamak için aşağıdaki yordamı kullanın.
[etkialanıadı] ifadesini, CA'nın yüklü olduğu ad alanının adıyla değiştirin.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 91 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.91" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">91</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>