Das Richtlinienmodul hat einen Fehler erkannt.
Das Richtlinienmodul enthält den Regelsatz, der die Ausstellung, Erneuerung und Sperrung von Zertifikaten steuert. Diese Richtlinie wird über hartcodierte Werte, Registrierungseinstellungen und, falls Sie eine Unternehmenszertifizierungsstelle verwenden, Zertifikatvorlagen erstellt. Das Richtlinienmodul bestimmt, ob eine Zertifikatanforderung genehmigt, abgelehnt oder für einen Administrator zum Genehmigen oder Ablehnen als "Ausstehend" markiert wird. Die mit einem Richtlinienmodul erkannten Probleme können dazu führen, dass eine Zertifizierungsstelle nicht gestartet oder nicht ordnungsgemäß ausgeführt werden kann.
Verarbeitungsfehler des Richtlinienmoduls behandeln
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Wenn diese Fehlermeldungen keine bestimmten Informationen enthalten, prüfen Sie entweder vor oder nach diesem Fehler auf entsprechende zusätzliche Fehler und beheben Sie sie.
Wenn die Warnungen nicht durch die Behandlung der zugehörigen Symptome behoben werden und ein Problem mit einem Richtlinienmodul besteht:
Wenden Sie sich bei Richtlinienmodulen, die nicht von Microsoft stammen, an den Anbieter des Richtlinienmoduls, um Unterstützung zu erhalten.
Bei Richtlinienmodulen von Microsoft wenden Sie sich an den Microsoft-Kundendienst und -Support. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Dieser Fehlercode gibt an, dass die Zertifizierungsstelle keine Verbindung mit den Active Directory-Domänendiensten herstellen oder die erforderlichen Active Directory-Informationen nicht finden konnte. Fehler beim Herstellen der Verbindung zu einem Domänencontroller beruhen in der Regel auf Netzwerkkonnektivitäts- oder Berechtigungsproblemen.
So prüfen Sie auf potenzielle Verbindungsprobleme und beheben diese
Prüfen Sie, dass die Active Directory-Domänendienste aktiv sind, indem Sie bestätigen, dass die Active Directory-Dienste auf den jeweiligen Domänencontrollern aktiv sind. Weitere Informationen zur Active Directory-Überwachung finden Sie im Active Directory Management Pack für MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Verwenden Sie Netzwerkdiagnosetools wie die Befehlszeilentools "Ping" und "Nltest", um den Status der Netzwerkverbindung von der Zertifizierungsstelle zu den Active Directory-Domänendiensten zu überprüfen.
Verwenden Sie das nachfolgende Verfahren Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen, um zu bestätigen, dass die Zertifizierungsstelle über die richtigen Berechtigungen für Objekte und Container in den Active Directory-Domänendiensten verfügt.
MSG_NO_CERT_TYPES
Dieser Fehlercode zeigt an, dass die Zertifizierungsstelle in den Active Directory-Domänendiensten im Container "Zertifikatvorlagen" nach einer Liste von Zertifikatvorlagen gesucht hat, die Liste aber leer war oder nicht gefunden werden konnte.
So prüfen Sie auf potenzielle Zertifikatvorlagenprobleme und beheben diese
Verwenden Sie das Verfahren Konfiguration und Verfügbarkeit von Zertifikatvorlagen bestätigen, um die Berechtigungen und weitere Einstellungen für die Zertifikatvorlage zu überprüfen. Überprüfen Sie außerdem, ob sie zur Zertifizierungsstelle hinzugefügt wurde.
MSG_DOMAIN_INIT
Dieser Fehlercode zeigt an, dass die Zertifizierungsstelle keine Verbindung mit den Active Directory-Domänendiensten herstellen konnte. Dieser Fehler kann auf einem Problem mit der Netzwerkkonnektivität, aber wahrscheinlicher auf einem Berechtigungsproblem beruhen.
So prüfen Sie auf DOMAIN_INIT-Probleme und beheben diese
Verwenden Sie Netzwerkdiagnosetools wie die Befehlszeilentools "Ping" und "Nltest", um den Status der Netzwerkverbindung von der Zertifizierungsstelle zu den Active Directory-Domänendiensten zu überprüfen.
Verwenden Sie das nachfolgende Verfahren Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen, um zu bestätigen, dass die Zertifizierungsstelle über die richtigen Berechtigungen für Objekte und Container in den Active Directory-Domänendiensten verfügt.
Zum Ausführen dieser Verfahren müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Konfiguration und Verfügbarkeit von Zertifikatvorlagen bestätigen
So bestätigen Sie die Konfiguration und Verfügbarkeit von Zertifikatvorlagen:
Klicken Sie auf "Start", geben Sie "certtmpl.msc" ein, und drücken Sie dann die EINGABETASTE.
Wählen Sie die Zertifikatvorlage aus, die dem Fehler zugeordnet ist.
Beheben Sie alle Probleme mit Sicherheitsberechtigungen oder anderen Konfigurationsprobleme, die eine Zertifizierungsstelle an der Ausstellung von Zertifikaten auf Basis der Zertifikatvorlage hindern können, und klicken Sie dann auf "OK".
Öffnen Sie das Zertifizierungsstellen-Snap-In, und doppelklicken Sie auf den Namen der Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf "Zertifikatvorlagen", klicken Sie dann auf "Neu" und anschließend auf "Auszustellende Zertifikatvorlage".
Wählen Sie die Zertifikatvorlage aus, und klicken Sie auf OK.
Berechtigungen für wesentliche Container und Objekte der Active Directory-Domänendienste bestätigen
So bestätigen Sie, dass die Zertifizierungsstelle über die erforderlichen Berechtigungen für Container der Active Directory-Domänendienste und die darin enthaltenen Objekte verfügt:
Klicken Sie auf einem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Standorte und -Dienste".
Klicken Sie auf "Active Directory-Standorte und -Dienste [Domänenname].
Klicken Sie im Menü "Ansicht" auf "Dienstknoten anzeigen".
Doppelklicken Sie auf "Services", dann auf "Public Key Services", und klicken Sie dann mit der rechten Maustaste auf die unten aufgeführten einzelnen Container bzw. auf die im Container aufgelisteten Objekte. Anschließend klicken Sie auf "Eigenschaften".
Bestätigen Sie auf der Registerkarte "Sicherheit" die erforderlichen Berechtigungen.
Nachfolgend sind alle Active Directory-Berechtigungen aufgeführt, die für einen Computer erforderlich sind, der eine Zertifizierungsstelle hostet. Einige dieser Berechtigungen werden über die Mitgliedschaft in der Gruppe "Zertifikatherausgeber" erlangt.
Registrierungsdienstecontainer. Der Zertifizierungsstellencomputer verfügt über den Lese- und Schreibzugriff auf sein eigenes Objekt.
AIA-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf den AIA-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt im AIA-Container.
CDP-Container. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf jeden Container der Zertifizierungsstelle unter dem CDP-Container und der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf jedes Sperrlistenobjekt im eigenen Container.
Zertifizierungsstellencontainer. Die Gruppe "Zertifikatherausgeber" verfügt über den Vollzugriff auf die Objekte in diesem Container.
Zertifikatvorlagencontainer. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die meisten darin enthaltenen Objekte.
KRA-Container. Der Zertifizierungsstellencomputer verfügt über den Vollzugriff auf sein eigenes Objekt.
OID-Container. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff auf diesen Container und die darin enthaltenen Container und Objekte.
NTAuthCertificates-Objekt. Die Gruppen "Organisations-Admins" und "Domänen-Admins" (nicht der Zertifizierungsstellencomputer) verfügen über den Vollzugriff oder Lese-/Schreibzugriff.
Container "Domänencomputer" und "Domänenbenutzer". Die Gruppe "Zertifikatherausgeber" verfügt über Lese- und Schreibberechtigungen für die Eigenschaft "userCertificate" der einzelnen Benutzer- und Computerobjekte in der Gesamtstruktur, in der die Active Directory-Zertifikatsdienste bereitgestellt werden.
So bestätigen Sie, dass das Richtlinienmodul betriebsbereit ist
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste.
Klicken Sie mit der rechten Maustaste auf den Dienst Active Directory-Zertifikatsdienste (AD CS), und klicken Sie dann auf Neu starten.
Öffnen Sie das Ereignisprotokoll und bestätigen Sie, dass es keine Fehler enthält, die sich auf das Richtlinienmodul beziehen.
Auf das Richtlinienmodul bezogene Fehler sind:
Ereignis 9: Quelle: Microsoft-Windows-CertificationAuthority. "Die Active Directory-Zertifikatdienste wurden nicht gestartet: Ein Richtlinienmodul kann nicht geladen werden."
Ereignis 43: Microsoft-Windows-CertificationAuthority. "Das Richtlinienmodul "%1", Methode "%2", hat an der Adresse "%4" einen Ausnahmefehler verursacht. Ausnahmecode: %3."
Ereignis 44: Microsoft-Windows-CertificationAuthority. "Das Richtlinienmodul "%1", Methode "%2", hat einen Fehler zurückgegeben. %5 Zurückgegebener Statuscode: %3. %4"
Ereignis 77: Microsoft-Windows-CertificationAuthority. "Das Richtlinienmodul "%1" hat folgende Warnung protokolliert: %2"
Ereignis 78: Microsoft-Windows-CertificationAuthority. "Das Richtlinienmodul "%1" hat folgenden Fehler protokolliert: %2"
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 43 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.43" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">43</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID58c5cd3e83434b31b92618cd2dcd109f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>