Os Serviços de Certificados não conseguem localizar o certificado da AC no arquivo NTAuth.
Os Serviços de Certificados do Active Directory (AD CS) requerem pelo menos acesso de Leitura e em algumas instâncias acesso de Escrita, para alguns objetos nos Serviços de Domínio do Active Directory (AD DS). A falha no acesso a estes objetos do Active Directory pode impedir o início de AD CS.
Garantir que os AD CS conseguem publicar o certificado de AC no arquivo NTAuth
Para resolver este problema:
Confirme as permissões no arquivo NTAuth.
Verifique o arquivo NTAuth e, se for necessário, publique o certificado da autoridade de certificação (AC) manualmente.
Se tiver dificuldade em localizar o certificado de AC para publicá-lo no arquivo NTAuth, utilize o procedimento na secção "Localizar o ficheiro do certificado de AC num computador" antes de o publicar no arquivo NTAuth.
Estes procedimentos exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Confirmar permissões do arquivo NTAuth
Para verificar as permissões da AC no contentor NTAuth:
Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública, clique com o botão direito do rato em NTAuthCertificates e clique em Propriedades.
Clique no separador Segurança e depois confirme se o computador que aloja a AC tem permissões de Leitura.
Confirmar o conteúdo do arquivo NTAuth
Para verificar o conteúdo do arquivo NTAuth nos Serviços de Domínio do Active Directory (AD DS):
Numa linha de comandos, escreva certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> e prima ENTER. Substitua <contoso> e <com> pelo espaço de nomes do seu domínio de raíz do Active Directory.
Se o certificado da AC não estiver listado na saída, adicione-o manualmente, escrevendo o seguinte comando: certutil -dspublish <cert.cer> ntauthca e prima ENTER.Replace <cert.cer> com o ficheiro de certificado da AC.
Localizar o ficheiro do certificado de AC num computador
Para localizar o ficheiro do certificado de AC no sistema de ficheiros local:
Abra uma janela da linha de comandos.
Escreva certutil -getreg CA\CACertPublicationURLs e prima ENTER.
Por predefinição, este ficheiro é armazenado em %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>