Os Serviços de Certificados não conseguem abrir o arquivo NTAuth.
Os Serviços de Certificados do Active Directory (AD CS) requerem pelo menos acesso de Leitura e em algumas instâncias acesso de Escrita, para alguns objetos nos Serviços de Domínio do Active Directory (AD DS). A falha no acesso a estes objetos do Active Directory pode impedir o início de AD CS.
Ativar a AC para abrir os contentores AD DS
Para resolver este problema:
Confirme se a autoridade de certificação (AC) tem as permissões necessárias para contentores e objetos dos Serviços de Domínio do Active Directory (AD DS) essenciais.
Se o certificado de AC não estiver no arquivo NTAuth, publique-o manualmente.
Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Confirmar permissões em contentores e objetos AD DS essenciais
Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:
Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.
Seguem-se todas as permissões do Active Directory necessárias para um computador que aloja uma AC. Para ter algumas destas permissões é necessário ser membro do grupo de Editores de Certificados.
Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.
Estes procedimentos exigem que tenha permissão para gerir AC ou que lhe tenha sido delegado o nível de autoridade apropriado.
Publicar um certificado de AC
Para publicar manualmente o certificado de AC:
Na AC, abra uma janela da linha de comandos.
Escreva certutil -viewstore ldap:///CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=<domainname>,DC=<com> e prima ENTER para verificar se o certificado de AC está no arquivo NTAuth.
Se não estiver, escreva o comando seguinte: certutil -f -dspublish <cert.cer> NTAuthCA e prima ENTER.
Nota: os marcadores de posição <domainname> e <com> são os nomes do espaço de nomes do domínio onde a AC está instalada. <Cert.cer> é o nome do ficheiro do certificado de AC. A opção "-f" recria o objeto mesmo que tenha sido eliminado.
Se não souber onde está localizado o seu certificado de AC, pode identificá-lo concluindo o procedimento seguinte no computador que aloja a sua AC. Por predefinição, este ficheiro está armazenado em %systemroot%\system32\certsrv\certenroll.
Localizar o ficheiro do certificado de AC num computador
Para localizar o ficheiro do certificado de AC no sistema de ficheiros local:
Na AC, abra uma janela da linha de comandos.
Escreva certutil -getreg CA\CACertPublicationURLs e prima ENTER.
Para verificar a ligação entre uma AC e os Serviços de Domínio do Active Directory (AD DS):
Abra uma janela da linha de comandos no computador que aloja a AC.
Escreva nltest /sc_verify: [nomedomínio] e prima ENTER.
Utilize o procedimento seguinte para confirmar permissões em contentores e objetos AD DS essenciais.
Substitua o [nomedomínio] pelo nome do espaço de nomes onde a AC está instalada.
Confirmar permissões em contentores e objetos AD DS essenciais
Este procedimento exige que seja membro do grupo de Administradores do Domínio, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Para confirmar se a AC tem as permissões necessárias em contentores e objetos AD DS dentro destes contentores:
Num controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços e Locais do Active Directory.
Clique em [nomedomínio] Serviços e Locais do Active Directory onde [nomedomínio] é o nome do seu domínio.
No menu Ver, clique em Mostrar nó "Serviços".
Faça duplo clique em Serviços, duplo clique em Serviços de Chave Pública e clique com o botão direito do rato em cada contentor listado abaixo ou nos objetos listados dentro do contentor e clique em Propriedades.
No separador Segurança, confirme as permissões necessárias.
Seguem-se todas as permissões do Active Directory necessárias para um computador que aloja uma AC. Para ter algumas destas permissões é necessário ser membro do grupo de Editores de Certificados.
Contentor de Serviços de Inscrição. O computador da AC tem acesso de Leitura e Escrita ao seu próprio objeto.
Contentor AIA. O grupo de Editores de Certificados tem acesso Controlo Total no contentor AIA e o computador da AC tem acesso Controlo Total no seu próprio objeto dentro do contentor AIA.
Contentor CDP. O grupo de Editores de Certificados tem acesso Controlo Total no contentor de cada AC, no contentor CDP, e o computador da AC tem acesso Controlo Total em cada objeto de lista de revogação de certificados (CRL) no seu próprio contentor.
Contentor de Autoridades de Certificação. O grupo de Editores de Certificados tem acesso Controlo Total nos objetos dentro deste contentor.
Contentor de Modelos dos Certificados. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e à maioria dos objetos que este contém.
Contentor KRA. O computador da AC tem acesso Controlo Total no seu próprio objeto.
Contentor OID. Os grupos Admins da empresa e Admins do domínio, não o computador da AC, têm acesso Controlo Total ou acesso de Leitura e Escrita a este contentor e aos contentores e objetos que este contém.
Objeto NTAuthCertificates. Os grupos Admins da empresa e Admins do domínio (não o computador da AC) têm acesso Controlo Total ou acesso de Leitura e Escrita.
Contentores de Computadores de Domínio e Utilizadores de Domínios. O grupo de Editores de Certificados tem permissões de Leitura e Escrita na propriedade userCertificate de cada objeto de utilizador e de cada objeto de computador na floresta onde os AD CS são implementados.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 94 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.94" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">94</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDd30877a43b0f471d91dfa87f644c101b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>