Une erreur s'est produite sur le module de stratégie.
Le module de stratégie contient l'ensemble des règles gouvernant l'émission, le renouvellement et la révocation des certificats. Cette stratégie est fondée sur des valeurs codées en dur, des paramètres de Registre et, si vous utilisez une autorité de certification d'entreprise, sur des modèles de certificats. Le module de stratégie détermine si une demande de certificat est approuvée, rejetée ou marquée comme étant en attente pour qu'un administrateur l'approuve ou la rejette. Les problèmes détectés avec un module de stratégie peuvent entraîner l'échec du démarrage ou l'arrêt du fonctionnement d'une autorité de certification.
Traiter les erreurs de traitement du module de stratégie
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Si ces messages d'erreurs ne contiennent pas d'informations spécifiques, vérifiez et résolvez des erreurs supplémentaires précédant ou suivant cette erreur.
Si les avertissements ne peuvent pas être résolus en traitant des symptômes associés et qu'un module de stratégie pose un problème :
Pour un module de stratégie non Microsoft, contactez le fournisseur du module de stratégie pour obtenir de l'aide.
Pour un module de stratégie Microsoft, contactez le Support technique et Service clientèle Microsoft. Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Ce code d’erreur indique que l’autorité de certification n’a pas pu se connecter aux services de domaine Active Directory ou qu’elle n’a pas pu trouver les informations Active Directory requises. Un échec de connexion à un contrôleur de domaine est normalement dû à un problème de connectivité réseau ou à un problème d'autorisations.
Pour vérifier et corriger des problèmes de connectivité potentiels :
Vérifiez qu'AD DS fonctionne en confirmant que les services Active Directory sont exécutés sur chaque contrôleur de domaine. Pour plus d'informations sur l'analyse Active Directory, voir le pack d'administration Active Directory pour MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Utilisez les outils de diagnostic réseau tels que les outils en ligne de commande Ping et Nltest pour vérifier le statut de la connexion réseau de l'autorité de certification à AD DS.
Utilisez la procédure Confirmer les autorisations pour des conteneurs et objets AD DS essentiels ci-dessous pour confirmer que l'autorité de certification a les autorisations adéquates pour des objets et conteneurs dans AD DS.
MSG_NO_CERT_TYPES
Ce code d'erreur indique que l'autorité de certification a cherche une liste de modèles de certificats dans le conteneur de modèles de certificats d'AD DS mais que soit elle n'a pas trouvé la liste, soit la liste était vide.
Pour vérifier des problèmes de modèles de certificats potentiels et y remédier :
Utilisez la procédure Confirmer la configuration de modèles de certificats et leur disponibilité pour vérifier les autorisations et autres paramètres du modèle de certificat ajouté à l'autorité de certification.
MSG_DOMAIN_INIT
Ce code d'erreur indique que l'autorité de certification n'a pas pu se connecter à AD DS. Cet échec peut résulter d'un problème de connectivité réseau ou, plus vraisemblablement, d'un problème d'autorisations.
Pour vérifier des problèmes DOMAIN_INIT et y remédier :
Utilisez les outils de diagnostic réseau tels que les outils en ligne de commande Ping et Nltest pour vérifier le statut de la connexion réseau de l'autorité de certification à AD DS.
Utilisez la procédure Confirmer les autorisations pour des conteneurs et objets AD DS essentiels ci-dessous pour confirmer que l'autorité de certification a les autorisations adéquates pour des objets et conteneurs dans AD DS.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Confirmer la configuration de modèles de certificats et leur disponibilité
Pour confirmer la configuration de modèles de certificats et leur disponibilité :
Cliquez sur Démarrer, entrez certtmpl.msc puis appuyez sur ENTRÉE.
Sélectionnez le modèle de certificat associé à l'erreur.
Corrigez les autorisations de sécurité ou autres problèmes de configuration pouvant empêcher une autorité de certification d'émettre des certificats basés sur le modèle de certificat et cliquez sur OK.
Ouvrez le composant logiciel enfichable Autorité de certification et double-cliquez sur le nom de l’Autorité de certification.
Cliquez avec le bouton droit sur Modèles de certificats, puis sur Modèle de certificat à délivrer.
Sélectionnez le modèle de certificat et cliquez sur OK
Confirmer des autorisations sur des conteneurs et objets AD DS essentiels
Pour confirmer que l'autorité de certification a eu besoin d'autorisations sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :
Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine].
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.
Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats
Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.
Pour confirmer que le module de stratégie est opérationnel :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Cliquez avec le bouton droit sur le service Services de certificats Active Directory (AD CS), puis sur Redémarrer.
Ouvrez le journal des événements et confirmez qu'il ne contient pas d'erreurs concernant le module de stratégie.
Les erreurs suivantes concernent le module de stratégie :
Événement 9 : Source : Microsoft-Windows-CertificationAuthority. « Les services de certificats Active Directory n'ont pas démarré : Impossible de charger un module de stratégie. »
Événement 43 : Microsoft-Windows-CertificationAuthority. « La méthode « %2 » du module de stratégie « %1 » a entraîné une exception à l’adresse %4. Le code d’exception est %3. »
Événement 44 : Microsoft-Windows-CertificationAuthority. « La méthode « %2 » du module de stratégie « %1 » a renvoyé une erreur. %5 Le code d'état renvoyé est %3. %4 »
Événement 77 : Microsoft-Windows-CertificationAuthority. « Le module de stratégie « %1 » a enregistré l'avertissement suivant : %2 »
Événement 78 : Microsoft-Windows-CertificationAuthority. « Le module de stratégie « %1 » a enregistré l'erreur suivante : %2 »
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 43 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.43" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">43</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID58c5cd3e83434b31b92618cd2dcd109f"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>