Certifikační služba nemůže otevřít úložný prostor NTAuth.
Služba AD CS (Active Directory Certificate Services) vyžaduje nejméně oprávnění ke čtení, a v některých případech oprávnění k zápisu, pro určité objekty služby AD DS (Active Directory Domain Services). Chyba při přístupu k těmto objektům adresářové služby Active Directory může bránit spuštění služby AD CS.
Umožněte certifikační autoritě otevírat kontejnery služby AD DS
Postup odstranění tohoto problému:
Zkontrolujte, zda má certifikační autorita (CA) potřebná oprávnění k důležitým kontejnerům a objektům služba AD DS (Active Directory Domain Services).
Pokud certifikát certifikační autority v úložném prostoru NTAuth chybí, publikujte jej ručně.
Abyste mohli provést tento postup, musíte být členem skupiny Domain Admins, nebo musíte mít přiřazeno příslušné oprávnění.
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS nezbytná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény], kde [název_domény] je názvem vaší domény.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Publikování certifikátu certifikační autority
Postup ručního publikování certifikátu certifikační autority:
V certifikační autoritě otevřete okno příkazového řádku.
Zadejte certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> a stisknutím klávesy ENTER zkontrolujte, zda je certifikát CA úložiště NTAuth.
Pokud ne, zadejte příkaz: certutil -f -dspublish <cert.cer> NTAuthCA a stiskněte klávesu ENTER.
Poznámka: Zástupné symboly <domainname> a <com> jsou názvy oboru názvů domény, kde je CA nainstalována. <Cert.cer> je název souboru certifikátu CA. Možnost "-f" znovu vytvoří objekt, i když byl odstraněn.
Pokud nevíte, kde je uložen certifikát vaší CA, můžete to zjistit provedením následujícího postupu v počítači hostujícím vaši CA. Ve výchozím nastavení je tento soubor uložen ve složce %systemroot%\system32\certsrv\certenroll.
Vyhledejte v počítači certifikát certifikační autority
Postup vyhledání souboru certifikátu certifikační autority v místním systému souborů:
V certifikační autoritě otevřete okno příkazového řádku.
Zadejte příkaz certutil -getreg CA\CACertPublicationURLs a stiskněte klávesu ENTER.
Postup kontroly připojení mezi certifikační autoritou a službou Active Directory Domain Services (AD DS):
Otevřete okno příkazového řádku na počítači hostujícím certifikační autoritu.
Zadejte příkaz nltest /sc_verify: [název_domény] a stiskněte klávesu ENTER.
Pomocí následujícího postupu zkontrolujte oprávnění k důležitým kontejnerům a objektům služby AD DS.
[název_domény] nahraďte názvem z oboru názvů, v němž je nainstalována certifikační autorita.
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Abyste mohli provést tento postup, musíte být členem skupiny Domain Admins, nebo musíte mít přiřazeno příslušné oprávnění.
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS nezbytná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény], kde [název_domény] je názvem vaší domény.
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>