Servizi certificati: impossibile trovare il certificato CA nell'archivio NTAuth.
Servizi certificati Active Directory (AD CS) richiede almeno l'accesso in lettura, e in alcuni casi l'accesso in scrittura, a determinati oggetti di Servizi di dominio Active Directory (AD DS). Il mancato accesso a questi oggetti di Active Directory può impedire l'avvio di Servizi certificati Active Directory.
Accertarsi che Servizi certificati Active Directory sia in grado di pubblicare il certificato CA nell'archivio NTAuth
Per risolvere questo problema:
Verificare le autorizzazioni nell'archivio NTAuth.
Controllare l'archivio NTAuth e, se necessario, pubblicare manualmente il certificato dell'autorità di certificazione (CA).
Se si riscontrano difficoltà nell'individuare il certificato CA per pubblicarlo nell'archivio NTAuth, utilizzare la procedura indicata nella sezione "Individuazione del certificato CA su un computer" prima di pubblicarlo nell'archivio NTAuth.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare le autorizzazioni per l'archivio NTAuth
Per verificare le autorizzazioni della CA sul contenitore NTAuth:
Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su NTAuthCertificates, quindi fare clic su Proprietà.
Fare clic sulla scheda Protezione, quindi verificare che il computer su cui si trova la CA disponga delle autorizzazioni di lettura.
Verificare il contenuto dell'archivio NTAuth
Per verificare il contenuto dell'archivio NTAuth in Servizi di dominio Active Directory:
A un prompt dei comandi digitare certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com> e premere INVIO. Sostituire <contoso> e <com> con lo spazio dei nomi del dominio radice di Active Directory.
Se il certificato CA non è elencato nell'output, aggiungerlo manualmente digitando il comando seguente: certutil -dspublish <certificato.cer> ntauthca e premendo INVIO. Sostituire <certificato.cer> con il file di certificato CA.
Trovare il file del certificato CA in un computer
Per trovare il file del certificato CA nel file system locale:
Aprire una finestra del prompt dei comandi.
Digitare certutil -getreg CA\CACertPublicationURLs e premere INVIO.
Per impostazione predefinita, questo file è archiviato in %systemroot%\system32\certsrv\certenroll.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 93 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.93" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">93</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>