Les services de certificats ne peuvent pas trouver le certificat d'autorité de certification dans le magasin NTAuth.
Les services de certificats Active Directory (AD CS) nécessitent au moins un accès en lecture et, dans certaines instances, un accès en écriture à certains objets des services de domaine Active Directory (AD DS). L'échec de la tentative d'accès à ces objets Active Directory peut empêcher AD CS de démarrer.
Assurez-vous qu'AD CS peut publier le certificat d'autorité de certification dans le magasin NTAuth store
Pour résoudre ce problème :
Confirmez des autorisations dans le magasin NTAuth.
Vérifiez le magasin NTAuth et, si nécessaire, publiez manuellement le certificat d'autorité de certification.
Si vous avez du mal à localiser le certificat d'autorité de certification afin de le publier dans le magasin NTAuth, utilisez la procédure de la section « Localiser le fichier de certificats d'autorité de certification sur un ordinateur » avant de le publier dans le magasin NTAuth.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Confirmer les autorisations de magasin NTAuth
Pour vérifier les autorisations de l'autorité de certification sur le conteneur NTAuth :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine], [nom de domaine] étant le nom de votre domaine.
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services, cliquez avec le bouton droit sur NTAuthCertificates, puis sur Propriétés.
Cliquez sur l'onglet Sécurité, puis confirmez que l'ordinateur hébergeant l'autorité de certification a des autorisations de lecture.
Confirmer des contenus dans le magasin NTAuth
Pour vérifier les contenus du magasin NTAuth dans les services de domaine Active Directory (AD DS) :
À l’invite de commandes, tapez certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> puis appuyez sur ENTRÉE. Remplacez <contoso> et <com> par l’espace de noms de votre domaine racine Active Directory.
Si le certificat d'autorité de certification n'est pas mentionné dans la sortie, ajoutez-le manuellement en tapant la commande suivante : certutil -dspublish <cert.cer> ntauthca et appuyez sur ENTRÉE. Remplacez <cert.cer> par le fichier de certificat d'autorité de certification.
Localiser le fichier de certificats d'autorité de certification sur un ordinateur
Pour localiser le fichier du certificat d'autorité de certification sur le système de fichiers local :
Ouvrez une fenêtre d’invite de commandes.
Tapez certutil -getreg CA\CACertPublicationURLs puis appuyez sur ENTRÉE.
Par défaut, ce fichier est stocké à l’emplacement suivant : %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>