Los Servicios de servidor de certificados no pueden abrir el almacén NTAuth.
Los servicios de certificados de Active Directory (AD CS) requieren como mínimo acceso de lectura y, en algunos casos, acceso de escritura a determinados objetos en los servicios de dominio de Active Directory (AD DS). AD CS puede no iniciarse en caso de no tener acceso a estos objetos de Active Directory.
Habilitar la CA para que abra los contenedores de AD DS
Para resolver este problema:
Confirme que la entidad de certificación (CA) posee los permisos necesarios para acceder a los contenedores y objetos básicos de los Servicios de dominio de Active Directory (AD DS).
Si el certificado de CA no se encuentra en el almacén NTAuth, publíquelo manualmente.
Para llevar a cabo este procedimiento, debe ser miembro del grupo Admins. del dominio o tener delegada la autoridad adecuada.
Confirmación de permisos en contenedores y objetos de AD DS esenciales
Para confirmar que la CA posee los permisos necesarios en los contenedores de AD DS y los objetos dentro de dichos contenedores:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio] donde [nombreDeDominio] es el nombre de su dominio.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en los contenedores de la lista de la parte inferior o en los objetos de la lista dentro del contenedor y haga clic en Propiedades.
En la ficha Seguridad, confirme los permisos necesarios.
A continuación encontrará todos los permisos de Active Directory que deben poseer los equipos que hospedan una CA. Algunos de estos permisos se obtienen solo si pertenece al grupo de publicadores de certificados.
Contenedor de servicios de inscripción. El equipo de la CA posee acceso de lectura y escritura a su propio objeto.
Contenedor AIA. El grupo de publicadores de certificados posee acceso de control total al contenedor AIA y el equipo de CA posee acceso de control total a su propio objeto dentro del contenedor AIA.
Contenedor CDP. El grupo de publicadores de certificados posee acceso de control total en todos los contenedores de las CA dentro del contenedor CDP y el equipo de CA posee acceso de control total a todos los objetos de la lista de revocaciones de certificados (CRL) de su propio contenedor.
Contenedor de entidades de certificación. El grupo de publicadores de certificados posee acceso de control total a los objetos dentro de este contenedor.
Contenedor de plantillas de certificado. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y la mayoría de objetos que contiene.
Contenedor KRA. El equipo de CA posee acceso de control total a su propio objeto.
Contenedor OID. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y a los contenedores y objetos dentro del mismo.
Objeto NTAuthCertificates. Los grupos Administradores de empresas y Admins. del dominio, no el equipo de CA, tienen acceso de control total o acceso de lectura y escritura.
Contenedores Equipos del dominio y Usuarios del dominio. El grupo de publicadores de certificados tiene permisos de lectura y escritura en la propiedad UserCertificate de todos los objetos de usuario y equipo en el bosque donde se ha implementado AD CS.
Para llevar a cabo estos procedimientos debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Publicar un certificado de CA
Para publicar manualmente un certificado de CA:
En la CA, abra una ventana del símbolo del sistema.
Escriba certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> y presione ENTRAR para comprobar si el certificado de CA se encuentra en el almacén NTAuth.
Si no es así, escriba el siguiente comando: certutil -f -dspublish <cert.cer> NTAuthCA y presione ENTRAR.
Nota: Los marcadores <domainname> y <com> son los nombres de espacios de nombres del dominio en el que está instalada la CA. <Cert.cer> es el nombre del archivo del certificado de CA. La opción "-f" vuelve a crear el objeto incluso si ha sido eliminado.
Si no sabe donde se encuentra su certificado de CA, puede identificarlo al completar el siguiente procedimiento en el equipo que aloja la CA. De forma predeterminada, este archivo se almacena en %systemroot%\system32\certsrv\certenroll
Ubicar el archivo del certificado de CA en un equipo
Para localizar el archivo de certificado de CA en el sistema de archivos local:
En la CA, abra una ventana del símbolo del sistema.
Escriba certutil -getreg CA\CACertPublicationURLs y presione ENTRAR.
Para comprobar la conexión entre una CA y los servicios de dominio de Active Directory (AD DS):
Abra una ventana del símbolo del sistema en el equipo donde se hospede la CA.
Escriba nltest /sc_verify: [domainname] y presione ENTRAR.
Use el procedimiento siguiente para confirmar permisos en los contenedores y objetos esenciales de AD DS.
Sustituya [nombreDeDominio] por el nombre del espacio de nombres donde esté instalada la CA.
Confirmación de permisos en contenedores y objetos de AD DS esenciales
Para llevar a cabo este procedimiento, debe ser miembro del grupo Admins. del dominio o tener delegada la autoridad adecuada.
Para confirmar que la CA posee los permisos necesarios en los contenedores de AD DS y los objetos dentro de dichos contenedores:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio] donde [nombreDeDominio] es el nombre de su dominio.
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en los contenedores de la lista de la parte inferior o en los objetos de la lista dentro del contenedor y haga clic en Propiedades.
En la ficha Seguridad, confirme los permisos necesarios.
A continuación encontrará todos los permisos de Active Directory que deben poseer los equipos que hospedan una CA. Algunos de estos permisos se obtienen solo si pertenece al grupo de publicadores de certificados.
Contenedor de servicios de inscripción. El equipo de la CA posee acceso de lectura y escritura a su propio objeto.
Contenedor AIA. El grupo de publicadores de certificados posee acceso de control total al contenedor AIA y el equipo de CA posee acceso de control total a su propio objeto dentro del contenedor AIA.
Contenedor CDP. El grupo de publicadores de certificados posee acceso de control total en todos los contenedores de las CA dentro del contenedor CDP y el equipo de CA posee acceso de control total a todos los objetos de la lista de revocaciones de certificados (CRL) de su propio contenedor.
Contenedor de entidades de certificación. El grupo de publicadores de certificados posee acceso de control total a los objetos dentro de este contenedor.
Contenedor de plantillas de certificado. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y la mayoría de objetos que contiene.
Contenedor KRA. El equipo de CA posee acceso de control total a su propio objeto.
Contenedor OID. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y a los contenedores y objetos dentro del mismo.
Objeto NTAuthCertificates. Los grupos Administradores de empresas y Admins. del dominio, no el equipo de CA, tienen acceso de control total o acceso de lectura y escritura.
Contenedores Equipos del dominio y Usuarios del dominio. El grupo de publicadores de certificados tiene permisos de lectura y escritura en la propiedad UserCertificate de todos los objetos de usuario y equipo en el bosque donde se ha implementado AD CS.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>