Sertifika Hizmetleri, NTAuth deposunu açamıyor.
Active Directory Sertifika Hizmetleri (AD CS) Active Directory Etki Alanı Hizmetleri'ndeki (AD DS) belirli nesneler için minimum olarak Okuma erişimi ve bazı durumlarda Yazma erişimi gerektirir. Bu Active Directory nesnelerine erişilememesi, AD CS'nin başlatılmasını engelleyebilir.
CA'yı AD DS kapsayıcılarını açmak üzere etkinleştirin
Bu sorunu çözmek için:
Sertifika yetkilisinin (CA) gerekli Active Directory Etki Alanı Hizmetleri (AD DS) kapsayıcılarına ve nesnelerine yönelik gerekli izinlere sahip olduğunu onaylayın.
NTAuth deposunda CA sertifikası eksikse, bunu el ile yayımlayın.
Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA sertifikası yayımlayın
CA sertifikasını el ile yayımlamak için:
CA üzerinde, bir komut istemi penceresi açın.
CA sertifikasının NTAuth deposunda olup olmadığını denetlemek için certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> yazın ve ENTER tuşuna basın.
Bu depoda değilse, certutil -f -dspublish <cert.cer> NTAuthCA komutunu yazın ve ENTER tuşuna basın.
Not: <domainname> ve <com> yer tutucuları CA'nın yüklü olduğu etki alanının ad alanı adlarıdır. <Cert.cer> ifadesini, CA sertifika dosyasının adıyla değiştirin. "-f" seçeneği silinmiş olsa bile nesneyi yeniden oluşturur.
CA sertifikasının nerede olduğunu bilmiyorsanız, CA'nızı barındıran bilgisayarda aşağıdaki yordamı uygulayarak bulabilirsiniz. Varsayılan olarak, bu dosya %systemroot%\system32\certsrv\certenroll konumunda depolanır.
CA sertifika dosyasını bilgisayar üzerinde bulun
CA sertifika dosyasını yerel dosya sistemi üzerinde bulmak için:
CA üzerinde, bir komut istemi penceresi açın.
certutil -getreg CA\CACertPublicationURLs yazın ve ENTER tuşuna basın.
Bir CA ile Active Directory Etki Alanı Hizmetleri (AD DS) arasındaki bağlantıyı denetlemek için:
CA'yı barındıran bilgisayar üzerinde bir komut istemi penceresi açın.
nltest /sc_verify: [etkialanıadı] yazın ve ENTER tuşuna basın.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylamak için aşağıdaki yordamı kullanın.
[etkialanıadı] ifadesini, CA'nın yüklü olduğu ad alanının adıyla değiştirin.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
Bu yordamı gerçekleştirmek için Domain Admins olanağında üyeliğe sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] olanağına tıklayın; burada [etkialanıadı], etki alanınızın adıdır.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
| Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event_ID | 94 | ||
| Event Source | Microsoft-Windows-CertificationAuthority | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | High | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
TRK <Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>