Este erro será recebido quando uma CA (autoridade de certificação) emitir um certificado para o servidor de terminal com base em um modelo de certificado especificado na Diretiva de Grupo, e uma das condições a seguir ocorrer:
O nome do modelo de certificado correto não está especificado na Diretiva de Grupo.
As permissões do modelo de certificado não permitem que o servidor de terminal seja registrado neste tipo de certificado.
O certificado não é válido para o uso solicitado.
O modelo de certificado não existe.
Os certificados com base no modelo de certificado não estão sendo emitidos a computadores.
A configuração de Diretiva de grupo Modelo de Certificado de Autenticação de Servidor permite que você insira o nome do modelo de certificado usado para determinar qual certificado será usado para autenticar o servidor de terminal ao usar criptografia SSL ou TLS 1.0. Inserir o nome de um modelo de certificado permite a seleção de certificado automática. Depois que um nome de modelo de certificado for inserido, os certificados que foram criados usando aquele modelo serão considerados, e um dos certificados qualificados será selecionado automaticamente para uso.
Para obter informações sobre modelos de certificado, consulte "Implementando e Administrando Modelos de Certificado no Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522)."
O nome do modelo de certificado correto não está especificado na Diretiva de Grupo
Para verificar se o nome do modelo de certificado correto está especificado na Diretiva de grupo, use o GPMC (console de gerenciamento de diretiva de grupo).
Para executar esse procedimento, você deve estar associado ao grupo Admins. do domínio, ao grupo Administradores de empresa ou ao grupo Proprietários criadores de diretiva de grupo, ou ter a devida autoridade.
Observação: Para gerenciar a Diretiva de Grupo em um controlador de domínio baseado no Windows Server 2008, você deve adicionar antes o recurso do GPMC (Console de Gerenciamento de Diretiva de Grupo). Para fazer isso, inicie o Gerenciador do Servidor e, em Resumo de Recursos, clique em Adicionar Recursos. Na página Selecionar Recursos, marque a caixa de seleção Gerenciamento de Diretiva de Grupo. Siga as instruções na tela para concluir a instalação.
Para verificar se o nome do modelo de certificado correto está especificado na Diretiva de Grupo:
Inicie o GPMC. Para iniciá-lo, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.
No painel esquerdo, localize a OU (unidade organizacional) que você deseja editar.
Para modificar um GPO (objeto de diretiva de grupo) existente para a OU, expanda a OU e clique no GPO.
No painel direito, clique na guia Configurações.
No painel esquerdo, em Configuração do Computador, expanda Modelos Administrativos, Componentes do Windows, Serviços de Terminal e Terminal Server, e clique em Segurança.
No painel direito, na lista de configurações, clique com o botão direito do mouse em Modelo de Certificado de Autenticação de Servidor e clique em Propriedades.
Na guia Configurações, verifique se Habilitado está selecionado e se o nome especificado em Nome do Modelo de Certificado está correto e clique em OK.
Se Habilitado não estiver selecionado ou o nome correto não tiver sido especificado para o modelo de certificado, consulte a seção intitulada "Especificar o modelo de certificado correto na Diretiva de Grupo."
As permissões do modelo de certificado não permitem que o servidor de terminal seja registrado neste tipo de certificado
Uma conta de computador de servidor de terminal deve ter permissões Registrar para ler o modelo de certificado apropriado.
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta ou ter a devida autoridade.
Para verificar as permissões que são concedidas ao servidor de terminal no modelo de certificado:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in de Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
No painel de resultados, clique com o botão direito do mouse no modelo de certificado que será usado como a base para certificados que estejam registrados em servidores de terminal e clique em Propriedades.
Na guia Segurança, em Nomes de grupo ou de usuário, verifique se o servidor de terminal (ou um grupo de segurança que contém o servidor de terminal) aparece na lista e clique nele. No servidor de terminal (ou o grupo de segurança que contém o servidor de terminal) selecionado, em Permissões, verifique se a caixa de seleção para conceder permissões de Registro está marcada e clique em OK.
Se a caixa de seleção para conceder permissões de Registro não estiver marcada, consulte a seção intitulada "Conceder permissões de Registro do modelo de certificado para o servidor de terminal."
O certificado não é válido para o uso solicitado
O modelo de certificado que o AD CS (Serviços de Certificados do Active Directory) usa como a base para certificados do servidor registrados em servidores de terminal deverá ter um EKU (uso avançado de chave) de Autenticação de Servidor.
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta ou ter a devida autoridade.
Para verificar se a extensão do Uso da Chave de Autenticação do Servidor está especificada no modelo de certificado:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in de Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
No painel de resultados, clique com o botão direito do mouse no modelo de certificado que será usado como a base para certificados que estejam registrados em servidores de terminal e clique em Propriedades.
Na guia Extensões, em Extensões incluídas neste modelo, clique em Uso da Chave e em Editar.
Verifique se a extensão do uso da chave de Autenticação do Servidor está selecionada e clique em OK para fechar a caixa de diálogo Propriedades do modelo de certificado.
Se a extensão do Uso da Chave de Autenticação do Servidor não for selecionada, consulte a seção intitulada "Adicionar o EKU de Autenticação de Servidor ao modelo de certificado."
O modelo de certificado não existe
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para verificar se o modelo de certificado existe:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in de Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
No painel de resultados, na lista de modelos de certificados, localize o modelo de certificado que será usado como a base para certificados que estejam registrados em servidores de terminal.
Se o modelo de certificado não aparecer, consulte a seção intitulada "Criar um novo modelo de certificado."
Os certificados com base no modelo de certificado não estão sendo emitidos a computadores
Para que uma CA emita certificados com base no modelo de certificado, este deve ser adicionado ao contêiner de Modelos de Certificados no snap-in de Autoridade de Certificação.
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para verificar se o modelo de certificado foi acrescentado ao contêiner de Modelos de Certificados no snap-in de Autoridade de Certificação:
Em um computador no qual o AD CS esteja instalado, clique em Iniciar, em Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Autoridade de Certificação, em Adicionar e em OK.
Selecione a CA que você deseja gerenciar e clique em Concluir.
Expanda Modelos de Certificados e verifique se o modelo de certificado apropriado aparece na lista. O nome do certificado deverá corresponder ao nome especificado na configuração de Diretiva de Grupo Modelo de Certificado de Autenticação de Servidor. Para obter mais informações, consulte "Para verificar se o certificado correto está especificado na Diretiva de Grupo", descrito anteriormente neste tópico.
Se o modelo de certificado apropriado não aparecer na lista, consulte a seção intitulada "Adicionar o modelo de certificado ao contêiner de Modelos de Certificados."
Especificar o modelo de certificado correto na Diretiva de Grupo
Para solucionar esse problema, especifique o modelo de certificado correto na Diretiva de Grupo.
Para alterar as configurações de Diretiva de Grupo de um domínio ou uma OU (unidade organizacional), você deve estar registrado como um membro do grupo Administradores do Domínio, do grupo Administradores de empresa ou do grupo Proprietários Criadores de Diretiva de Grupo, ou ter recebido o devido controle sobre a Diretiva de Grupo.
Observação: Para gerenciar a Diretiva de Grupo em um controlador de domínio baseado no Windows Server 2008, você deve adicionar antes o recurso do GPMC (Console de Gerenciamento de Diretiva de Grupo). Para fazer isso, inicie o Gerenciador do Servidor e, em Resumo de Recursos, clique em Adicionar Recursos. Na página Selecionar Recursos, marque a caixa de seleção Gerenciamento de Diretiva de Grupo. Siga as instruções na tela para concluir a instalação.
Para especificar o nome do modelo de certificado na Diretiva de Grupo:
Inicie o GPMC. Para iniciá-lo, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.
No painel esquerdo, localize a OU que você deseja editar.
Para modificar um GPO (objeto de diretiva de grupo) existente para a OU, expanda a OU e clique no GPO.
No painel direito, clique na guia Configurações.
No painel esquerdo, em Configuração do Computador, expanda Modelos Administrativos, Componentes do Windows, Serviços de Terminal e Terminal Server, e clique em Segurança.
No painel direito, na lista de configurações, clique com o botão direito do mouse em Modelo de Certificado de Autenticação de Servidor e clique em Propriedades.
Na guia Configurações, clique em Habilitado (se esta configuração de Diretiva de Grupo não estiver mais habilitada), e em Nome do Modelo de Certificado, digite o nome do modelo de certificado correto.
Clique em OK.
Para obter mais informações sobre como configurar a Diretiva de Grupo, consulte a Ajuda do Editor de Diretiva de Grupo Local ( http://go.microsoft.com/fwlink/?LinkId=101633) ou a Ajuda do GPMC ( http://go.microsoft.com/fwlink/?LinkId=101634) na Biblioteca Técnica do Windows Server 2008 (as páginas podem estar em inglês).
Conceder Permissões de registro para o modelo de certificado do servidor de terminal
Para solucionar esse problema, você deverá alterar o modelo de certificado que o AD CS (Serviços de Certificados do Active Directory) usa como a base para certificados do servidor registrados em servidores de terminal. O modelo de certificado deverá ser alterado para conceder permissões de Registro à conta de computador de servidor de terminal.
Para obter informações sobre modelos de certificado, consulte "Implementando e Administrando Modelos de Certificado no Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522)."
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para conceder permissões de Registro do modelo de certificado ao servidor de terminal:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
No painel de resultados, clique com o botão direito do mouse no modelo de certificado que será usado como a base para certificados que estejam registrados em servidores de terminal e clique em Propriedades.
Na guia Segurança, em Nomes de grupo ou de usuário, verifique se o servidor de terminal (ou um grupo de segurança que contém o servidor de terminal) aparece na lista e clique nele. Se este não aparecer, adicione-o.
No servidor de terminal (ou grupo de segurança que contém o servidor de terminal) selecionado, em Permissões, marque a caixa de seleção para conceder permissões de Registro.
Clique em OK para fechar a caixa de diálogo Propriedades do modelo de certificado.
Adicionar o EKU de Autenticação de Servidor ao modelo de certificado Para solucionar esse problema, você deverá alterar o modelo de certificado que o AD CS (Serviços de Certificados do Active Directory) usa como a base para certificados do servidor registrados em servidores de terminal. O modelo de certificado deverá ser alterado para ter um EKU (uso avançado de chave) de Autenticação de Servidor.
Para obter informações sobre modelos de certificado, consulte "Implementando e Administrando Modelos de Certificado no Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522).
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para adicionar a extensão do Uso da Chave de Autenticação de Servidor ao modelo de certificado:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in de Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
No painel de resultados, clique com o botão direito do mouse no modelo de certificado que será usado como a base para certificados que estejam registrados em servidores de terminal e clique em Propriedades.
Na guia Extensões, em Extensões incluídas neste modelo, clique em Uso da Chave e em Editar.
Adicione o EKU de Autenticação de Servidor e feche a caixa de diálogo.
Clique em OK para fechar a caixa de diálogo Propriedades do modelo de certificado.
Criar um novo modelo de certificado
Para solucionar esse problema, execute as ações a seguir:
Crie um novo modelo de certificado. O AD CS (Serviços de Certificados do Active Directory) usará este modelo como a base para certificados do servidor registrados nos servidores de terminal.
Adicione o modelo de certificado ao contêiner de Modelos de Certificados no snap-in de CA (autoridade de certificação). Isso permite que o certificado do servidor seja emitido aos servidores de terminal.
Criar um novo modelo de certificado
Você pode criar um modelo de certificado duplicando um modelo existente e usando suas propriedades como o padrão para o novo modelo. Diferentes aplicativos e tipos de CAs oferecem suporte a diversos modelos de certificado. Por exemplo, alguns modelos de certificado podem ser emitidos e gerenciados somente por meio de CAs corporativas que executam o Windows Server 2003 e alguns podem solicitar que a CA esteja executando o Windows Server 2008. Revise a lista de modelos de certificado padrão e examine suas propriedades para identificar o modelo de certificado existente que atenda melhor às suas necessidades. Isso reduzirá a quantidade de trabalho de configuração que você precisa executar.
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para criar um modelo de certificado:
Em um computador no qual o AD CS esteja instalado, abra o snap-in de Modelos de Certificados. Para abrir o snap-in de Modelos de Certificados, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Modelos de Certificados, em Adicionar e em OK.
Na árvore de console, clique em Modelos de Certificados.
Na lista de modelos, clique com o botão direito do mouse no modelo a ser copiado e clique em Duplicar Modelo.
Selecione a versão mínima da CA a qual você deseja oferecer suporte.
Digite um novo nome para esse modelo de certificado.
Defina configurações adicionais, se necessário, e clique em OK.
Adicione o modelo de certificado ao contêiner de Modelos de Certificados no snap-in de Autoridade de Certificação
Para que uma CA emita certificados com base no modelo de certificado, você precisa adicionar este ao contêiner de Modelos de Certificados no snap-in de Autoridade de Certificação. Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para adicionar o modelo de certificado ao contêiner de Modelos de Certificados:
Abra o snap-in de Autoridade de Certificação em um computador no qual o AD CS esteja instalado. Para abrir o snap-in de Autoridade de Certificação, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Autoridade de Certificação, em Adicionar e em OK.
Selecione a CA que você deseja gerenciar e clique em Concluir.
Clique com o botão direito do mouse no contêiner de Modelos de Certificados, clique em Novo e em Modelo de certificado a ser emitido.
Selecione o modelo de certificado desejado e clique em OK.
Adicionar o modelo de certificado ao contêiner de Modelos de Certificados
Para executar esse procedimento, você deve estar associado ao grupo Administradores de empresa ou ao grupo Admins. do domínio do domínio raiz da floresta, ou ter a devida autoridade.
Para adicionar o modelo de certificado ao contêiner de Modelos de Certificados no snap-in de Autoridade de Certificação:
Abra o snap-in de Autoridade de Certificação em um computador no qual o AD CS esteja instalado. Para abrir o snap-in de Autoridade de Certificação, clique em Iniciar, Executar, digite mmc e pressione ENTER.
No menu Arquivo, clique em Adicionar/remover snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Autoridade de Certificação, em Adicionar e em OK.
Selecione a CA que você deseja gerenciar e clique em Concluir.
Clique com o botão direito do mouse no contêiner de Modelos de Certificados, clique em Novo e em Modelo de certificado a ser emitido.
Selecione o modelo de certificado desejado e clique em OK.
Target | Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 1064 | ||
Event Source | Microsoft-Windows-TerminalServices-RemoteConnectionManager | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1064" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1064</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-RemoteConnectionManager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1064.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>