Regola Raccolta per l'evento con origine Autorità di certificazione e ID 94

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.94 (Rule)

Servizi certificati: impossibile aprire archivio NTAuth.

Knowledge Base article:

Riepilogo

Servizi certificati Active Directory (AD CS) richiede almeno l'accesso in lettura, e in alcuni casi l'accesso in scrittura, a determinati oggetti di Servizi di dominio Active Directory (AD DS). Il mancato accesso a questi oggetti di Active Directory può impedire l'avvio di Servizi certificati Active Directory.

Soluzioni

Abilitazione della CA all'apertura dei contenitori di Servizi di dominio Active Directory

Per risolvere questo problema:

Verificare che l'Autorità di certificazione (CA) disponga delle autorizzazioni necessarie per i contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.
Se il certificato CA non è presente nell'archivio NTAuth, pubblicarlo manualmente.

Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.

Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory

Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:

Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.

Di seguito sono riportate tutte le autorizzazioni di Active Directory richieste da un computer su cui si trova una CA. Alcune di queste autorizzazioni vengono ottenute mediante l'appartenenza al gruppo Cert Publishers.

Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.

Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.

Pubblicare un certificato CA

Per pubblicare manualmente il certificato CA:

Sulla CA, aprire una finestra del prompt dei comandi.
Digitare certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<nomedominio>,DC=<com> e premere INVIO per verificare se il certificato CA è incluso nell'archivio NTAuth.
In caso contrario digitare il comando certutil -f -dspublish <certificato.cer> NTAuthCA e premere INVIO.

Nota: I segnaposto <nomedominio> e <com> sono i nomi degli spazi dei nomi del dominio in cui è installata la CA. <certificato.cer> è il nome del file di certificato CA. L'opzione "-f" ricrea l'oggetto anche se è stato eliminato.

Se non si conosce la posizione del certificato CA, è possibile individuarla completando la procedura seguente nel computer che ospita la CA. Per impostazione predefinita, questo file è archiviato in %systemroot%\system32\certsrv\certenroll.

Trovare il file del certificato CA in un computer

Per trovare il file del certificato CA nel file system locale:

Sulla CA, aprire una finestra del prompt dei comandi.
Digitare certutil -getreg CA\CACertPublicationURLs e premere INVIO.

Informazioni aggiuntive

Per verificare la connessione tra una CA e Servizi di dominio Active Directory (AD DS):

Aprire una finestra del prompt dei comandi sul computer su cui si trova la CA.
Digitare nltest /sc_verify: [nomedominio] e premere INVIO.
Attenersi alla procedura riportata di seguito per verificare le autorizzazioni sui contenitori e gli oggetti essenziali di Servizi di dominio Active Directory.

Sostituire [nomedominio] con il nome dello spazio dei nomi in cui è installata la CA.

Verificare le autorizzazioni sui contenitori e oggetti essenziali di Servizi di dominio Active Directory

Per eseguire questa procedura, è necessario appartenere al gruppo Domain Admins oppure avere ricevuto in delega l'autorità appropriata.

Per verificare che la CA disponga delle autorizzazioni necessarie per i contenitori e gli oggetti di Servizi di dominio Active Directory all'interno di questi contenitori:

Su un controller di dominio, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio], dove [nomedominio] è il nome del proprio dominio.
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, fare clic con il pulsante destro del mouse su ogni contenitore elencato di seguito o sugli oggetti elencati all'interno del contenitore, quindi fare clic su Proprietà.
Nella scheda Protezione, verificare le autorizzazioni necessarie.

Contenitore servizi di registrazione. Il computer CA dispone di accesso in lettura e in scrittura sul proprio oggetto.
Contenitore AIA. Il gruppo Cert Publishers dispone di accesso con controllo completo sul contenitore AIA; il computer della CA dispone di accesso con controllo completo sul proprio oggetto all'interno del contenitore AIA.
Contenitore CDP. Il gruppo Cert Publishers dispone di accesso con controllo completo su ogni contenitore della CA situato sotto il contenitore CDP; il computer della CA dispone di accesso con controllo completo su ogni oggetto dell'elenco di revoche di certificati (CRL) all'interno del proprio contenitore.
Contenitore Autorità di certificazione. Il gruppo Cert Publishers dispone di accesso con controllo completo sugli oggetti situati all'interno di questo contenitore.
Contenitore Modelli di certificato. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e alla maggior parte degli oggetti in esso contenuti.
Contenitore Agente di recupero chiavi. Il computer della CA dispone di accesso con controllo completo sul proprio oggetto.
Contenitore Identificatori oggetto. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura a questo contenitore e ai contenitori e oggetti in esso contenuti.
Oggetto NTAuthCertificates. I gruppi Enterprise Admins e Domain Admins (non il computer della CA) dispongono di accesso con controllo completo o di accesso in lettura e in scrittura.
Contenitori Computer del dominio e Utenti del dominio. Il gruppo Cert Publishers dispone di autorizzazioni di lettura e scrittura sulla proprietà userCertificate di ogni oggetto utente e computer compreso nella foresta in cui viene distribuito Servizi certificati Active Directory.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Connessione Servizi di dominio Active Directory di Servizi certificati Active Directory - Non è possibile aprire l'archivio NTAuth

Descrizione evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.94" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">94</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>