Fehler beim Starten des AD FS-Windows-Diensts aufgrund eines privaten SchlÃƒÂ¼ssels

Microsoft.ActiveDirectoryFederationServices.2016.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor (UnitMonitor)

Knowledge Base article:

Zusammenfassung

Der AD FS-Windows-Dienst kann nicht gestartet werden, da das AD FS-Dienstkonto nicht auf den privaten SchlÃƒÂ¼ssel fÃƒÂ¼r das Tokensignatur- oder TokenentschlÃƒÂ¼sselungszertifikat zugreifen kann, das sich in der AD FS-Konfigurationsdatenbank befindet.

Wenn der AD FS-Windows-Dienst erfolgreich gestartet wird, wechselt der Monitor in einen "grÃƒÂ¼nen" Bereich, und die ursprÃƒÂ¼ngliche kritische Warnung wird automatisch aufgelÃƒÂ¶st.

Ursachen

Diese Bedingung kann auftreten, wenn das Zertifikat im angegebenen Speicher gefunden wird, aber ein Problem beim Zugriff auf den privaten SchlÃƒÂ¼ssel fÃƒÂ¼r das Zertifikat besteht. HÃƒÂ¤ufige Ursachen fÃƒÂ¼r diese Bedingung:

Das Zertifikat wurde aus einer Quelle installiert, in der der private SchlÃƒÂ¼ssel nicht enthalten war, z. B. einer CER- oder P7B-Datei.
Der private SchlÃƒÂ¼ssel des Zertifikats wurde aus einer Datei (z. B. aus einer PFX-Datei) in einen Speicher importiert, bei dem es sich nicht um den in diesem Ereignis angegebenen Speicher handelt.
Das Zertifikat wurde als Teil einer Zertifikatanforderung generiert, in der die Option "ComputerschlÃƒÂ¼ssel" nicht angegeben war.
Der VerbunddienstidentitÃƒÂ¤t wurde der Lesezugriff auf den privaten SchlÃƒÂ¼ssel des Zertifikats nicht erteilt.

LÃƒÂ¶sungen

MÃƒÂ¶gliche LÃƒÂ¶sungen fÃƒÂ¼r diese Bedingung:

Wenn das Zertifikat aus einer Quelle importiert wurde, die keinen privaten SchlÃƒÂ¼ssel aufweist, wÃƒÂ¤hlen Sie ein Zertifikat mit privatem SchlÃƒÂ¼ssel aus, oder importieren Sie das Zertifikat erneut aus einer Quelle, die den privaten SchlÃƒÂ¼ssel enthÃƒÂ¤lt (z. B. aus einer PFX-Datei).
Wenn das Zertifikat in einen Benutzerkontext importiert wurde, ÃƒÂ¼berprÃƒÂ¼fen Sie, ob der zuvor angegebene Speicher mit dem Speicher ÃƒÂ¼bereinstimmt, in den das Zertifikat importiert wurde.
Wenn das Zertifikat durch eine Zertifikatanforderung generiert wurde, in der die Option "ComputerschlÃƒÂ¼ssel" nicht angegeben war, und der SchlÃƒÂ¼ssel als exportierbar gekennzeichnet ist, exportieren Sie das Zertifikat mit einem privaten SchlÃƒÂ¼ssel aus dem Benutzerspeicher in eine PFX-Datei, und importieren Sie es dann erneut direkt in den in der Konfigurationsdatei angegebenen Speicher.
Wenn der SchlÃƒÂ¼ssel nicht als exportierbar gekennzeichnet ist, fordern Sie mithilfe der Option "ComputerschlÃƒÂ¼ssel" ein neues Zertifikat an.
Wenn der VerbunddienstidentitÃƒÂ¤t der Lesezugriff auf den privaten SchlÃƒÂ¼ssel des Zertifikats nicht erteilt wurde, korrigieren Sie diese Bedingung mithilfe des Zertifikat-Snap-Ins. Weitere Informationen finden Sie im Verfahren "ÃƒÅ“berprÃƒÂ¼fen, ob das AD FS-Dienstbenutzerkonto auf private SchlÃƒÂ¼ssel fÃƒÂ¼r Zertifikate zugreifen kann" im Abschnitt "Vor einer Problembehandlung in AD FS auszufÃƒÂ¼hrende Schritte" im Leitfaden zur Problembehandlung in AD FS.

Element properties:

Target

Microsoft.ActiveDirectoryFederationServices.2016.FederationServer

Parent Monitor

System.Health.AvailabilityState

Category

AvailabilityHealth

Enabled

True

Alert Generate

True

Alert Severity

Error

Alert Priority

Normal

Alert Auto Resolve

True

Monitor Type

Microsoft.Windows.2SingleEventLog2StateMonitorType

Remotable

True

Accessibility

Public

Alert Message

Fehler beim Starten des AD FS-Windows-Diensts aufgrund eines privaten SchlÃƒÂ¼ssels

Das AD FS-Dienstkonto konnte nicht auf den privaten SchlÃƒÂ¼ssel fÃƒÂ¼r das Zertifikat in der AD FS-Konfigurationsdatenbank zugreifen. ÃƒÅ“berprÃƒÂ¼fen Sie die Registerkarte "Warnungskontext" auf Ereignisdetails in Bezug auf Werte fÃƒÂ¼r dieses Zertifikat.

RunAs

Default

Source Code:

<UnitMonitor ID="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor" Accessibility="Public" Enabled="true" Target="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer" ParentMonitorID="Health!System.Health.AvailabilityState" Remotable="true" Priority="Normal" TypeID="Windows!Microsoft.Windows.2SingleEventLog2StateMonitorType" ConfirmDelivery="true">

  <Category>AvailabilityHealth</Category>

  <AlertSettings AlertMessage="Microsoft.ActiveDirectoryFederationServices.2016.FederationServerBadConfigurationIdentityCertificateHasNoPrivateKeyMonitor_AlertMessageResourceID">

    <AlertOnState>Error</AlertOnState>

    <AutoResolve>true</AutoResolve>

    <AlertPriority>Normal</AlertPriority>

    <AlertSeverity>Error</AlertSeverity>

  </AlertSettings>

  <OperationalStates>

    <OperationalState ID="FirstEventRaised" MonitorTypeStateID="FirstEventRaised" HealthState="Error"/>

    <OperationalState ID="SecondEventRaised" MonitorTypeStateID="SecondEventRaised" HealthState="Success"/>

  </OperationalStates>

  <Configuration>

    <FirstComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</FirstComputerName>

    <FirstLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</FirstLogName>

    <FirstExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">133</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </FirstExpression>

    <SecondComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</SecondComputerName>

    <SecondLogName>$Target/Property[Type="Microsoft.ActiveDirectoryFederationServices.2016.FederationServer"]/ADFSEventLog$</SecondLogName>

    <SecondExpression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="UnsignedInteger">100</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <RegExExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>MatchesMOM2005RegularExpression</Operator>

            <Pattern>(^AD FS$)</Pattern>

          </RegExExpression>

        </Expression>

      </And>

    </SecondExpression>

  </Configuration>

</UnitMonitor>