Règle de collecte pour événement avec CertificationAuthority de source et ID 19

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.19 (Rule)

Les services de certificats n'ont pas démarré: problème de Registre.

Knowledge Base article:

Résumé

Les services de certificats Active Directory (AD CS) enregistrent les paramètres de configuration critiques dans le Registre et peuvent ne pas démarrer ou fonctionner correctement si ces informations sont corrompues ou supprimées.

Résolutions

Fixer la clé de Registre SubjectTemplate

Par défaut, les informations de configuration du Registre de l'autorité de certification sont situées sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA name.

Si le message du journal des événements stipule que la clé de Registre SubjectTemplate n'est pas valide, vous pouvez mettre à jour l'entrée de Registre avec des informations correctes.

L'emplacement de cette clé de registre est HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA name\SubjectTemplate.

Une chaîne SubjectTemplate valide peut inclure :

CommonName
OrganizationalUnit
Organization
Locality
État
Country

Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs local ou l’autorité appropriée doit vous avoir été déléguée.

Attention : Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.

Pour résoudre les problèmes de Registre :

Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez regedit puis appuyez sur ENTRÉE.
Allez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA name\SubjectTemplate et corrigez les paramètres de la chaîne de modèle d'objet que vous trouvez.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification, puis sur Redémarrer.

Informations complémentaires

Pour confirmer les paramètres du Registre de l'autorité de certification :

Après avoir terminé des modifications des paramètres du Registre de l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Sélectionnez le nom de l'autorité de certification et cliquez sur Redémarrer.
Cliquez sur Démarrer, entrez cmd et appuyez sur ENTRÉE.
Tapez certutil -getreg ca\security puis appuyez sur ENTRÉE.
S'il n'y a plus de paramètres corrompus, le texte La commande -getreg a été exécutée correctement s'affichera.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Paramètres du Registre AD CS – Valeur de modèle d’objet non valide

Description de l'événement : {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.19" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">19</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID315279858cb14d609cf2114410b18c45"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>