A tanúsítványszolgáltatás nem tudja megnyitni az NTAuth tárolót.
Az Active Directory tanúsítványszolgáltatás (AD CS) legalább olvasási hozzáférést és néhány esetben írási hozzáférést igényel bizonyos objektumokhoz az Active Directory tartományi szolgáltatásokban (AD DS). Ha nem lehet hozzáférni ezekhez az Active Directory-objektumokhoz, az megakadályozhatja az Active Directory tanúsítványszolgáltatás elindulását.
Az Active Directory tartományi szolgáltatásokban található tárolók megnyitásának engedélyezése a hitelesítésszolgáltató számára
A probléma megoldása:
Ellenőrizze, hogy a hitelesítésszolgáltatás rendelkezik-e a szükséges engedélyekkel az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóihoz és objektumaihoz.
Ha a hitelesítésszolgáltatói tanúsítvány hiányzik az NTAuth tárolóból, tegye azt közzé manuálisan.
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory tanúsítványszolgáltatás telepítve van.
A műveleteket akkor hajthatja végre, ha rendelkezik hitelesítésszolgáltató-kezelési engedéllyel, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Hitelesítésszolgáltatói tanúsítvány közzététele
A hitelesítésszolgáltatói tanúsítvány manuális közzétételéhez hajtsa végre a következő műveleteket:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a(z) certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> parancsot, és nyomja le az ENTER billentyűt annak ellenőrzéséhez, hogy a hitelesítésszolgáltatói tanúsítványfájl az NTAuth tárolóban van-e.
Ha nincs, írja be a következő parancsot, és nyomja le az ENTER billentyűt: certutil -f -dspublish <cert.cer> NTAuthCA.
Megjegyzés: A(z) <domainname> és <com> helyőrző azon tartomány névtérnevei, amelyben a hitelesítésszolgáltató telepítve van. A(z) <Cert.cer> a hitelesítésszolgáltatói tanúsítványfájl neve. Az „-f” jelző akkor is újra létrehozza az objektumot, ha azt törölték.
Ha nem tudja, hogy található a hitelesítésszolgáltatói tanúsítványfájl, azonosíthatja azt, ha elvégzi a következő eljárást a hitelesítésszolgáltatót tartalmazó számítógépen. Alapértelmezés szerint ez a fájl a következő helyen található: %systemroot%\system32\certsrv\certenroll.
Hitelesítésszolgáltatói tanúsítványfájl megkeresése a számítógépen
A Hitelesítésszolgáltatói tanúsítványfájl megkereséséhez a helyi fájlrendszeren hajtsa végre a következő műveleteket:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a certutil -getreg CA\CACertPublicationURLs parancsot, és nyomja le az ENTER billentyűt.
A hitelesítésszolgáltató és az Active Directory tartományi szolgáltatások közötti kapcsolat ellenőrzése:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatót üzemeltető számítógépen.
Írja be az nltest /sc_verify: [tartománynév] parancsot, majd nyomja le az ENTER billentyűt.
A következő eljárással ellenőrizze az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyeket.
Cserélje le a [tartománynév] értékét azon névtér nevére, amelyen a hitelesítésszolgáltató telepítve van.
Az Active Directory tartományi szolgáltatások kritikus fontosságú tárolóira és objektumaira vonatkozó engedélyek ellenőrzése
A műveletet akkor hajthatja végre, ha a Tartományi rendszergazdák csoport tagja, vagy delegálás útján megkapta a megfelelő jogosultságokat.
Annak ellenőrzése, hogy a hitelesítésszolgáltató rendelkezik a megfelelő engedélyekkel az Active Directory tartományi szolgáltatások tárolóihoz és az azokban található objektumokhoz:
A tartományvezérlőn kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Active Directory – helyek és szolgáltatások lehetőségre.
Kattintson az Active Directory – helyek és szolgáltatások [tartománynév] lehetőségre, ahol a [tartománynév] a tartomány neve.
A Nézet menüben kattintson a Szolgáltatás megjelenítése lehetőségre.
Kattintson duplán a Szolgáltatások lehetőségre, majd a Nyilvánoskulcs-szolgáltatások lehetőségre, és kattintson a jobb gombbal az összes, az alábbiakban felsorolt tárolóra vagy a tárolón belüli objektumokra, majd kattintson a Tulajdonságok elemre.
A Biztonság lapon ellenőrizze a szükséges engedélyek meglétét.
A következők azok az Active Directory-engedélyek, amelyek a hitelesítésszolgáltatót üzemeltető számítógép számára szükségesek. Néhány engedély megszerzéséhez tagság szükséges a Tanúsítványközzétevők csoportban.
Igénylésszolgáltatók tárolója. A hitelesítésszolgáltató számítógépe olvasási és írási hozzáféréssel rendelkezik a saját objektumához.
AIA tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az AIA tárolóra vonatkozóan és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz az AIA tárolóban.
CDP-tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az CDP-tároló alatti összes hitelesítésszolgáltató tárolójára vonatkozóan, és a hitelesítésszolgáltató számítógépe teljes hozzáférés engedéllyel rendelkezik az összes CRL lista objektumhoz a saját tárolójában.
Hitelesítésszolgáltatói tároló. A Tanúsítványközzétevők csoport teljes hozzáférés engedéllyel rendelkezik az objektumokhoz ebben a tárolóban.
Tanúsítványsablonok tárolója. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz és a benne lévő legtöbb objektumhoz.
KRA-tároló. A hitelesítésszolgáltató számítógép teljes hozzáférés engedéllyel rendelkezik a saját objektumaihoz.
OID-tároló. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik a tárolóhoz, valamint a tárolókhoz és a bennük lévő objektumokhoz.
NTAuthCertificates objektum. A Vállalati rendszergazdák és a Tartománygazdák csoport (nem a hitelesítésszolgáltató számítógép) teljes hozzáférés engedéllyel vagy olvasási és írási hozzáféréssel rendelkezik.
Tartományi számítógépek és tartományi felhasználók tárolói. A Tanúsítványközzétevők csoport olvasási és írási engedélyekkel rendelkezik az egyes felhasználói és számítógépobjektumok userCertificate tulajdonságára vonatkozóan azon erdőben, amelyben az Active Directory tanúsítványszolgáltatás telepítve van.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>