Los Servicios de servidor de certificados no pueden encontrar el certificado de CA en el almacén NTAuth.
Los servicios de certificados de Active Directory (AD CS) requieren como mínimo acceso de lectura y, en algunos casos, acceso de escritura a determinados objetos en los servicios de dominio de Active Directory (AD DS). AD CS puede no iniciarse en caso de no tener acceso a estos objetos de Active Directory.
Asegurarse de que AD CS puede publicar el certificado de CA en el almacén NTAuth
Para resolver este problema:
Confirme los permisos sobre el almacén NTAuth
Compruebe el almacén NTAuth y, si es necesario, publique el certificado de la entidad de certificación (CA) manualmente.
Si tiene problemas en ubicar el certificado de CA para publicarlo en el almacén NTAuth, emplee el procedimiento indicado en la sección "Ubicar el archivo del certificado de CA en un equipo" antes de publicarlo en el almacén NTAuth.
Para llevar a cabo estos procedimientos debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Confirmación de los permisos para el almacén NTAuth
Para comprobar los permisos de la CA sobre el contenedor NTAuth:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio] donde [nombreDeDominio] es el nombre de su dominio.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en NTAuthCertificates y seleccione Propiedades.
Haga clic en la pestaña Seguridad y, a continuación, confirme que el equipo que hospeda la CA posee permisos de lectura.
Confirmación del contenido del almacén NTAuth
Para comprobar los contenidos del almacén NTAuth en los Servicios de dominio de Active Directory (AD DS):
En un símbolo del sistema, escriba certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> y pulse ENTRAR. Sustituya <contoso> y <com> con el nombre de espacio del dominio raíz de Active Directory.
Si el certificado de la CA no aparece mencionado en los resultados, agréguelo manualmente escribiendo el siguiente comando: certutil -dspublish <cert.cer> ntauthca y presione ENTRAR. Sustituya <cert.cer> por el archivo de certificado CA.
Ubicación del archivo del certificado de CA en un equipo
Para localizar el archivo de certificado de CA en el sistema de archivos local:
Abra una ventana del símbolo del sistema.
Escriba certutil -getreg CA\CACertPublicationURLs y presione ENTRAR.
De forma predeterminada, este archivo se almacena en %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>