Службам сертификации не удается найти сертификат ЦС в хранилище NTAuth.
Службы сертификации Active Directory требуют доступ на чтение, а в некоторых случаях — также доступ на запись к определенным объектам доменных служб Active Directory. Если службы сертификации Active Directory не получают доступ к таким объектам доменных служб Active Directory, они не запускаются.
Определение возможности публикации службами сертификации Active Directory сертификата ЦС для хранилища NTAuth
Для решения проблемы выполните следующее.
Убедитесь в наличии разрешения на хранилище NTAuth.
Проверьте работоспособность хранилища NTAuth и при необходимости опубликуйте сертификат центра сертификации (ЦС) вручную.
Если у вас возникают трудности с определением местоположения сертификата ЦС для его публикации в хранилище NTAuth, выполните процедуру в разделе "Поиск файла сертификата ЦС на компьютере", прежде чем публиковать его в хранилище NTAuth.
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Проверка наличия разрешений для хранилища NTAuth
Чтобы проверить наличие разрешений ЦС для контейнера NTAuth, выполните следующие действия.
На контроллере домена нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
Щелкните "Службы и узлы Active Directory [имя_домена]", где [имя_домена] — имя вашего домена.
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, правой кнопкой мыши щелкните "Сертификаты NTAuth", затем щелкните "Свойства".
Выберите вкладку "Безопасность", а затем убедитесь, что компьютер, на котором размещен ЦС, имеет права на чтение.
Проверка содержимого хранилища NTAuth
Чтобы проверить содержимое хранилища NTAuth в доменных службах Active Directory (AD DS), выполните следующие действия.
В командной строке введите certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> и нажмите ВВОД. Замените <contoso> и <com> пространством имен корневого домена Active Directory.
Если сертификат ЦС не указан в выходных данных, добавьте его вручную, выполнив следующую команду: certutil -dspublish <cert.cer> ntauthca и нажмите клавишу ВВОД. Замените <cert.cer> именем файла сертификата ЦС.
Поиск файла сертификата ЦС на компьютере
Чтобы найти файл сертификата ЦС в локальной файловой системе, выполните следующие действия.
Откройте окно командной строки.
Введите "certutil -getreg CA\CACertPublicationURLs" и нажмите ВВОД.
По умолчанию этот файл хранится в папке %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>