Regra de Coleta para evento com CertificationAuthority de origem e ID 43

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.43 (Rule)

O módulo de política encontrou um erro.

Knowledge Base article:

Resumo

O módulo de política contém o conjunto de regras que regula a emissão, renovação e revogação de certificados. Essa política é criada a partir de valores codificados, configurações de registro e, se você estiver usando uma autoridade de certificação (AC) empresarial, modelos de certificado. O módulo de política determina se uma solicitação de certificado é aprovada, negada ou marcada como pendente para um administrador aprovar ou negar. Problemas detectados com um módulo de política podem fazer uma AC falhar em iniciar ou parar de funciona.

Resoluções

Aborde os erros de processamento do módulo de política

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT

Se essas mensagens de erro não contiverem nenhuma informação específica, verifique e solucione quaisquer erros adicionais relacionados antes ou depois desse erro.

Se os avisos não puderem ser resolvidos abordando sintomas relacionadas e houver um problema com o módulo de política:

Para um módulo de política não Microsoft, entre em contato com o provedor do módulo de política para obter assistência.
Para um módulo de política da Microsoft, entre em contato com o Serviço de Suporte e Atendimento ao Cliente Microsoft. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=89446.

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

Esse código de erro indica que a autoridade de certificação (AC) não pode se conectar aos Serviços de Domínio do Active Directory ou não pode encontrar as informações necessárias do Active Directory. Falha em conectar-se a um controlador de domínio normalmente se deve a um problema de conectividade de rede ou problema de permissões.

Para verificar e corrigir problemas em potencial:

Check that AD DS is running by confirming that Active Directory services are running on each domain controller. Para obter mais informações sobre o monitoramento do Active Directory, consulte o Pacote de Gerenciamento Active Directory para MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Use as ferramentas de diagnóstico de rede, tais como as ferramentas de linha de comando Ping e Nltest, para verificar o status da conexão de rede da AC (autoridade de certificação) para o AD DS.
Use o procedimento Confirmar permissões nos contêineres e objetos AD DS essenciais abaixo para confirmar que a AC tem as permissões corretas para objetos e contêineres no AD DS.

MSG_NO_CERT_TYPES

Esse código de erro indica que a AC procurou uma lista de modelos de certificado no contêiner CertificateTemplates no AD DS, mas não conseguiu encontrar a lista ou a lista estava vazia.

Para verificar e corrigir problemas em potencial no modelo de certificado:

Use o procedimento Confirmar configuração de modelo do certificado e disponibilidade para verificar as permissões e outras configurações no modelo de certificado adicionadas à AC.

MSG_DOMAIN_INIT

Esse código de erro indica que a AC não pode se conectar ao AD DS. Essa falha pode ser o resultado de um problema de conectividade de rede ou, mais provável, um problema de permissão.

Para verificar e corrigir problemas de DOMAIN_INIT:

Use as ferramentas de diagnóstico de rede, tais como as ferramentas de linha de comando Ping e Nltest, para verificar o status da conexão de rede da autoridade de certificação (AC) para o AD DS.
Use o procedimento Confirmar permissões nos contêineres e objetos AD DS essenciais abaixo para confirmar que a AC tem as permissões corretas para objetos e contêineres no AD DS.

Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.

Confirmar a configuração e a disponibilidade do modelo de certificado

Para confirmar a configuração e a disponibilidade do modelo de certificado:

Clique em Iniciar, digite certtmpl.msc e pressione ENTER.
Selecione o modelo de certificado associado ao erro.
Corrija quaisquer permissões de segurança ou outros problemas de configuração que possam impedir a AC de emitir certificados com base no modelo de certificado e clique em OK.
Abra o snap-in de autoridade de certificação e clique duas vezes no nome da autoridade de certificação.
Clique com o botão direito em Modelos de Certificado, clique em Novo e em Modelo de Certificado a Emitir.
Selecione o modelo de certificado e clique em OK.

Confirmar permissão sobre contêineres e objetos AD DS essenciais

Para confirmar que a AC tem as permissões necessárias sobre contêineres e objetos AD DS dentro destes contêineres:

Em um controlador de domínio, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Sites e Serviços do Active Directory.
Clique em Sites e Serviços do Active Directory [nome de domínio].
No menu Visualizar, clique em Mostrar Nó de Serviços.
Clique duas vezes em Services, Public Key Services e clique com o botão direito do mouse em cada contêiner listado abaixo os nos objetos listados dentro do contêiner e clique em Propriedades.
Na guia Segurança, confirme as permissões necessárias.

A seguir estão todas as permissões do Active Directory exigidas por um computador hospedando uma AC. Algumas dessas permissões são obtidas via associação no grupo Editores de Certificados.

Contêiner dos Serviços de Inscrição. O computador da AC tem acesso de leitura e Gravar ao seu próprio objeto.
Contêiner AIA. O Grupo Editores de Certificados tem acesso de Controle Total sobre o contêiner AIA e o computador da AC tem acesso de Controle Total sobre seu próprio objeto dentro do contêiner AIA.
Contêiner CDP. O grupo Editores de Certificados tem acesso de Controle Total sobre todos os contêineres da sob o contêiner CDP, e o computador da AC tem acesso de Controle Total sobre todos os objetos da lista de revogação de certificado (CRL) em seu próprio contêiner.
Contêiner de Autoridades de Certificação. O grupo Editores de Certificados tem acesso de Controle Total sobre os objetos dentro deste contêiner.
Contêiner de Modelos de Certificados. Os grupos Administradores de Empresa e Administradores de Domínio (não o computador da AC) têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e à maioria dos objetos dentro dele.
Contêiner KRA. O computador da AC tem acesso de Controle Total sobre seu próprio objeto.
Contêiner OID. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar a esse contêiner e aos contêineres e objetos dentro dele.
Objeto NTAuthCertificates. Os grupos Administradores de Empresa e Administradores de Domínio, não o computador da AC, têm acesso de Controle Total ou acesso de Leitura e Gravar.
Contêineres de Computadores de Domínio e Usuários de Domínio. O grupo Editores de Certificados tem permissões de Leitura e Gravar sobre a propriedade do userCertificate de cada usuário e objeto de computador na floresta em que o AD CS está implantado.

Adicional

Para confirmar que o módulo de política está operacional:

No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas, e clique em Serviços.
Clique com o botão direito do mouse no serviço Serviços de Certificados do Active Directory (AD CS) e clique em Reiniciar.
Abra o log de evento e confirme que ele não contém nenhum erro relativo ao módulo de política.

Erros relacionados ao módulo de política são:

Evento 9: Source: Microsoft-Windows-CertificationAuthority. “Os Serviços de Certificados do Active Directory não iniciaram: Não é possível carregar um módulo de política.”
Evento 43: Microsoft-Windows-CertificationAuthority. O método "%2" do módulo de política "%1" causou uma exceção no endereço %4. O código da exceção é %3."
Evento 44: Microsoft-Windows-CertificationAuthority. "O método "%2" do módulo de política "%1" retornou um erro. %5 O código do status de retorno é %3. %4"
Evento 77: Microsoft-Windows-CertificationAuthority. "O módulo de política "%1" registrou o seguinte aviso: %2”
Evento 78: Microsoft-Windows-CertificationAuthority. "O módulo de política "%1" registrou o seguinte erro: %2”

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Processamento do módulo de política do AD CS – Exceção do módulo de política

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.43" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">43</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID58c5cd3e83434b31b92618cd2dcd109f"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>