Serviços de Certificados não conseguiram abrir o armazenamento NTAuth.
Os Serviços de Certificado do Active Directory (AD CS) exigem pelo menos um acesso de Leitura, e, em alguns casos, acesso de Gravação, para certos objetos nos Serviços de Domínio do Active Directory (AD DS). Falha em acessar os objetos do Active Directory pode impedir o AD CS de iniciar.
Habilitar a autoridade de certificação a abrir contêineres do AD DS
Para solucionar esse problema:
Confirme que a autoridade de certificação (AC) tem as permissões necessárias sobre contêineres e objetos dos Serviços de Domínio do Active Directory (AD DS) essenciais.
Se o certificado da autoridade de certificação estiver ausente no armazenamento NTAuth, publique-o manualmente.
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Confirme permissão sobre contêineres e objetos AD DS essenciais.
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e gravação ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravação a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravação a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravação.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravação sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.
Publicar um certificado da autoridade de certificação
Para publicar manualmente o certificado da autoridade de certificação:
Na AC, abra uma janela de prompt de comando.
Digite certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> e pressione ENTER para verificar se o certificado da AC está no armazenamento NTAuth.
Se não estiver, digite o seguinte comando: certutil -f -dspublish <cert.cer> NTAuthCA e pressione ENTER.
Observação: os espaços reservados <domainname> e <com> são nomes de namespace do domínio no qual a AC está instalada. <Cert.cer> é o nome do arquivo de certificado da AC. A opção "-f" recria o objeto mesmo que ele tenha sido excluído.
Caso você não saiba onde seu Certificado de Autoridade de Certificação está localizado, poderá identificá-lo realizando o procedimento a seguir no computador que hospeda sua AC. Por padrão, esse arquivo é armazenado em %systemroot%\system32\certsrv\certenroll
Localizar o arquivo de certificado da autoridade de certificação em um computador
Para localizar o arquivo de certificado da AC no sistema de arquivos local:
Em AC, abra uma janela de prompt de comando.
Digite certutil -getreg CA\CACertPublicationURLs e pressione ENTER.
Para verificar a conexão entre um AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela de prompt de comando no computador hospedando a AC.
Digite nltest /sc_verify: [domainname] e pressione ENTER.
Use o seguinte procedimento para confirmar permissões sobre contêineres e objetos AD DS essenciais.
Substitua [nome de domínio] pelo nome do namespace em que a AC está instalada.
Confirme permissão sobre contêineres e objetos AD DS essenciais.
Para executar esse procedimento, você deve estar associado a Administradores do Domínio ou ter a devida autoridade.
Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:
Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio], em que [nome de domínio] é o nome do seu domínio.
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.
A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.
Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e gravação ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravação a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravação a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravação.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravação sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>