Fout bij het laden van de DKM-certificaatsleutel

Microsoft.ActiveDirectoryFederationServices.2016.CertificateManagementDKMCertificateKeyLoadWarningMonitor (UnitMonitor)

Fout bij laden van DKM-certificaatsleutel

Knowledge Base article:

Samenvatting

Deze monitor geeft aan dat de Federation Service de certificaten voor token-ondertekening, certificaten voor het ontsleutelen van tokens en SSL-certificaten niet kan laden. Als het niet goed werkende certificaat het primaire certificaat is, kan de Windows-service AD FS niet worden gestart.

Als hetzelfde probleem binnen 15 minuten niet nog eens plaatsvindt, verandert de status van deze monitor weer in Groen. De waarschuwingsregel heeft een corresponderende waarschuwing gegenereerd. Deze moet handmatig worden opgelost.

Oorzaken

Deze gebeurtenis kan de volgende oorzaken hebben:

Active Directory-objecten ontbreken onder de opgegeven DN-naam in de diagnosegegevens over het X.509-certificaat voor persoonlijke sleuteldeling dat in deze gebeurtenis wordt genoemd.
De machtigingen van de toegangscontrolelijst van de Active Directory-objecten die opgegeven zijn in de diagnostische gegevens zijn gewijzigd en de service-identiteit van AD FS heeft geen rechten meer heeft om deze objecten te lezen of te wijzigen.

Oplossingen

Deze gebeurtenis kan de volgende oplossingen hebben:

Mogelijk moet u alle Active Directory-objecten herstellen onder de DN-naam die opgegeven is in de diagnostische gegevens in de gebeurtenis.
U kunt de lees-/schrijfmachtigingen voor de toegangsbeheerlijst het beste samen met uw domeinadministrator terugzetten.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.CertificateManagement

Parent Monitor

System.Health.ConfigurationState

Category

ConfigurationHealth

Enabled

True

Alert Generate

True

Alert Severity

Warning

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.SingleEventLogTimer2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Fout bij het laden van de DKM-certificaatsleutel

Raadpleeg de context van de waarschuwing voor meer informatie.

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.CertificateManagementDKMCertificateKeyLoadWarningMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.CertificateManagement" ParentMonitorID="Health!System.Health.ConfigurationState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.SingleEventLogTimer2StateMonitorType" ConfirmDelivery="true">

  <Category>ConfigurationHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.CertificateManagementDKMCertificateKeyLoadWarningMonitor_AlertMessageResourceID">

    <AlertOnState>Warning</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Warning</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="EventRaised" MonitorTypeStateID="EventRaised" HealthState="Warning"/>

    <OperationalState ID="TimerEventRaised" MonitorTypeStateID="TimerEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <ComputerName>$Target/Host/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

    <LogName>$Target/Host/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</LogName>

    <Expression>

      <Or>

        <Expression>

          <And>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">329</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <RegExExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>MatchesMOM2005RegularExpression</Operator>

                <Pattern>(^AD FS$)</Pattern>

              </RegExExpression>

            </Expression>

          </And>

        </Expression>

        <Expression>

          <And>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">331</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <RegExExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>MatchesMOM2005RegularExpression</Operator>

                <Pattern>(^AD FS$)</Pattern>

              </RegExExpression>

            </Expression>

          </And>

        </Expression>

        <Expression>

          <And>

            <Expression>

              <SimpleExpression>

                <ValueExpression>

                  <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

                </ValueExpression>

                <Operator>Equal</Operator>

                <ValueExpression>

                  <Value Type="UnsignedInteger">332</Value>

                </ValueExpression>

              </SimpleExpression>

            </Expression>

            <Expression>

              <RegExExpression>

                <ValueExpression>

                  <XPathQuery Type="String">PublisherName</XPathQuery>

                </ValueExpression>

                <Operator>MatchesMOM2005RegularExpression</Operator>

                <Pattern>(^AD FS$)</Pattern>

              </RegExExpression>

            </Expression>

          </And>

        </Expression>

      </Or>

    </Expression>

    <TimerWaitInSeconds>900</TimerWaitInSeconds>

  </Configuration>

</UnitMonitor>