Die Zertifikatsdienste können den Informationsspeicher "NTAuth" nicht öffnen.
Für die Active Directory-Zertifikatsdienste ist mindestens der Lesezugriff und in einigen Situationen der Schreibzugriff auf bestimmte Objekte in den Active Directory-Domänendiensten erforderlich. Wenn beim Zugriff auf diese Active Directory-Objekte ein Fehler auftritt, kann dies den Start der Active Directory-Zertifikatsdienste verhindern.
Der Zertifizierungsstelle das Öffnen von Containern der Active Directory-Domänendienste ermöglichen
So beheben Sie dieses Problem
Bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste verfügt.
Wenn das Zertifizierungsstellenzertifikat im Informationsspeicher "NTAuth" fehlt, veröffentlichen Sie es manuell.
Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe Domänen-Admins sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen
So bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für Container der Active Directory-Domänendienste und der darin enthaltenen Objekte verfügt
Klicken Sie auf einem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie auf "Active Directory-Standorte und -Dienste [Domänenname]", wobei [Domänenname] den Namen Ihrer Domäne angibt.
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services", dann auf "Public Key Services", und klicken Sie dann mit der rechten Maustaste auf die unten aufgeführten einzelnen Container bzw. auf die im Container aufgelisteten Objekte. Anschließend klicken Sie auf "Eigenschaften".
Bestätigen Sie auf der Registerkarte "Sicherheit" die erforderlichen Berechtigungen.
Nachfolgend sind alle Active Directory-Berechtigungen aufgeführt, die für einen Computer erforderlich sind, der eine Zertifizierungsstelle hostet. Einige dieser Berechtigungen werden über die Mitgliedschaft in der Gruppe "Zertifikatherausgeber" erlangt.
Registrierungsdienstecontainer. Der Zertifizierungsstellencomputer verfügt über den Lese- und Schreibzugriff auf sein eigenes Objekt.
AIA-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf den AIA-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt im AIA-Container.
CDP-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf jeden Container der Zertifizierungsstelle unter dem CDP-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf jedes Sperrlistenobjekt im eigenen Container.
Zertifizierungsstellencontainer. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf die Objekte in diesem Container.
Zertifikatvorlagencontainer. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die meisten darin enthaltenen Objekte.
KRA-Container. Der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt.
OID-Container. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die darin enthaltenen Container und Objekte.
NTAuthCertificates-Objekt. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff.
Container "Domänencomputer" und "Domänenbenutzer". Die Gruppe "Zertifikatherausgeber" verfügt über Lese- und Schreibberechtigungen für die Eigenschaft "userCertificate" der einzelnen Benutzer- und Computerobjekte in der Gesamtstruktur, in der die Active Directory-Zertifikatsdienste bereitgestellt werden.
Zum Ausführen dieser Verfahren müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Zertifizierungsstellenzertifikat veröffentlichen
So veröffentlichen Sie das Zertifizierungsstellenzertifikat manuell
Öffnen Sie auf der Zertifizierungsstelle ein Eingabeaufforderungsfenster.
Geben Sie certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> ein, und drücken Sie die EINGABETASTE, um zu prüfen, ob sich das Zertifizierungsstellenzertifikat im Informationsspeicher "NTAuth" befindet.
Ist dies nicht der Fall, geben Sie folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: certutil -f -dspublish <cert.cer> NTAuthCA.
Hinweis: Die Platzhalter <domainname> und <com> sind die Namespacenamen der Domäne, in der die Zertifizierungsstelle installiert ist. <Cert.cer> ist der Name der Zertifikatsdatei der Zertifizierungsstelle. Durch die Option "-f" wird das Objekt neu erstellt, auch wenn es gelöscht wurde.
Wenn Sie nicht wissen, wo sich Ihr Zertifizierungsstellenzertifikat befindet, können Sie das folgende Verfahren auf dem Computer ausführen, der Ihre Zertifizierungsstelle hostet, um das Zertifikat zu identifizieren. Standardmäßig wird diese Datei in %systemroot%\system32\certsrv\certenroll gespeichert
Zertifikatsdatei der Zertifizierungsstelle auf einem Computer suchen
So suchen Sie die Zertifikatsdatei der Zertifizierungsstelle im lokalen Dateisystem
Öffnen Sie auf der Zertifizierungsstelle ein Eingabeaufforderungsfenster.
Geben Sie "certutil -getreg CA\CACertPublicationURLs" ein, und drücken Sie die EINGABETASTE.
So überprüfen Sie die Verbindung zwischen einer Zertifizierungsstelle und den Active Directory-Domänendiensten (AD DS)
Öffnen Sie ein Eingabeaufforderungsfenster auf dem Computer, der die Zertifizierungsstelle hostet.
Geben Sie "nltest /sc_verify: [Domänenname]" ein, und drücken Sie die EINGABETASTE.
Verwenden Sie das folgende Verfahren, um Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste zu bestätigen.
Ersetzen Sie [Domänenname] durch den Namen des Namespaces, in dem die Zertifizierungsstelle installiert ist.
Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen
Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe Domänen-Admins sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für Container der Active Directory-Domänendienste und der darin enthaltenen Objekte verfügt
Klicken Sie auf einem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie auf "Active Directory-Standorte und -Dienste [Domänenname]", wobei [Domänenname] den Namen Ihrer Domäne angibt.
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services", dann auf "Public Key Services", und klicken Sie dann mit der rechten Maustaste auf die unten aufgeführten einzelnen Container bzw. auf die im Container aufgelisteten Objekte. Anschließend klicken Sie auf "Eigenschaften".
Bestätigen Sie auf der Registerkarte "Sicherheit" die erforderlichen Berechtigungen.
Nachfolgend sind alle Active Directory-Berechtigungen aufgeführt, die für einen Computer erforderlich sind, der eine Zertifizierungsstelle hostet. Einige dieser Berechtigungen werden über die Mitgliedschaft in der Gruppe "Zertifikatherausgeber" erlangt.
Registrierungsdienstecontainer. Der Zertifizierungsstellencomputer verfügt über den Lese- und Schreibzugriff auf sein eigenes Objekt.
AIA-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf den AIA-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt im AIA-Container.
CDP-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf jeden Container der Zertifizierungsstelle unter dem CDP-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf jedes Sperrlistenobjekt im eigenen Container.
Zertifizierungsstellencontainer. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf die Objekte in diesem Container.
Zertifikatvorlagencontainer. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die meisten darin enthaltenen Objekte.
KRA-Container. Der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt.
OID-Container. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die darin enthaltenen Container und Objekte.
NTAuthCertificates-Objekt. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff.
Container "Domänencomputer" und "Domänenbenutzer". Die Gruppe "Zertifikatherausgeber" verfügt über Lese- und Schreibberechtigungen für die Eigenschaft "userCertificate" der einzelnen Benutzer- und Computerobjekte in der Gesamtstruktur, in der die Active Directory-Zertifikatsdienste bereitgestellt werden.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>