Certifikattjänster kunde inte hitta CA-certifikatet i NTAuth-arkivet.
Active Directory-certifikattjänster (AD CS) kräver minst läsbehörighet, och i vissa fall skrivbehörighet, för vissa objekt i Active Directory Domain Services (AD DS). Utan åtkomst till dessa Active Directory-objekt kanske AD CS inte kan starta.
Se till att AD CS kan publicera CA-certifikatet till NTAuth-arkivet
Så här gör du för att lösa det här problemet:
Bekräfta behörigheter på NTAuth-arkivet.
Kontrollera NTAuth-arkivet och, om det behövs, publicera certifikatet för certifikatutfärdaren (CA) manuellt.
Om du inte hittar CA-certifikatet som ska publiceras på NTAuth-arkivet följer du anvisningarna i avsnittet Lokalisera CA-certifikatfilen på en dator innan det publiceras på NTAuth-arkivet.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Bekräfta behörigheter för NTAuth-arkivet.
Kontrollera behörigheter för certifikatutfärdaren (CA) på behållaren för NTAuth-arkivet.
Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Active Directory-platser och -tjänster [domännamn] där [domännamn] är namnet på din domän.
Klicka på Visa noden Tjänster på Visa-menyn.
Dubbelklicka på Tjänster, dubbelklicka på Public Key Services, högerklicka på NTAuthCertificates och klicka på Egenskaper.
Klicka på fliken Säkerhet och bekräfta att datorn som kör certifikatutfärdaren har läsbehörigheter.
Bekräfta innehåll för NTAuth-arkivet.
Kontrollera innehåll för NTAuth-arkivet i Active Directory Domain Services (AD DS):
Skriv certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> i kommandotolken och tryck på RETUR. Ersätt <contoso> och <com> med Active Directory-rotdomänens namnutrymme.
Om certifikatutfärdarcertifikatet inte visas i utdata lägger du till det manuellt genom att skriva följande kommando: certutil -dspublish <cert.cer> ntauthca och trycka på RETUR. Ersätt <cert.cer> med certifikatutfärdarens certifikatfil.
Lokalisera CA-certifikatfilen på en dator
Lokalisera CA-certifikatfilen på det lokala filsystemet:
Öppna ett kommandotolkfönster.
Skriv certutil -getreg CA\CACertPublicationURLs och tryck på RETUR
Som standard sparas den här filen i %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>