V modulu zásad došlo k chybě.
Modul zásad obsahuje soubor pravidel řídicích vydávání, obnovování a odvolávání certifikátů. Tato zásada je vytvořena z pevně zakódovaných hodnot, nastavení registru a šablon certifikátů, pokud používáte certifikační autoritu organizace. Modul zásad určuje, zda bude žádost o certifikát schválena, zamítnuta nebo označena jako čekající na schválení či zamítnutí správcem. Problémy zjištěné u modulu zásad mohou bránit ve spuštění certifikační autority, nebo mohou způsobit přerušení její funkce.
Odstraňte chyby zpracovávání modulu zásad
Způsob řešení tohoto chybového stavu určíte prozkoumáním kódu chyby uvedeného ve zprávě protokolu událostí.
Zpráva protokolu událostí může obsahovat následující kódy:
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Pokud tyto chybové zprávy neobsahují žádné konkrétní informace, vyhledejte a odstraňte jakékoli další související chyby před nebo po této chybě.
Nelze-li upozornění vyřešit odstraněním souvisejících příznaků a existuje-li problém s modulem zásad:
V případě modulu zásad od jiného subjektu než společnosti Microsoft kontaktujte s žádostí o pomoc dodavatele modulu zásad.
Pokud se jedná o modul zásad společnosti Microsoft, obraťte se na oddělení služeb zákazníkům a zákaznické podpory společnosti Microsoft. Další informace viz http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Tento kód chyby poukazuje na to, že se certifikační autorita (CA) nemohla připojit ke službě AD DS (Active Directory Domain Services) nebo nemohla najít požadované informace služby Active Directory. Chyba při připojování k řadiči domény je obvykle způsobena problémem s připojením k síti nebo problémem s oprávněními.
Postup kontroly a odstranění případných problémů s připojením:
Zkontrolujte, zda je spuštěna služba AD DS prostřednictvím ověření, že je na každém řadiči domény spuštěna služba Active Directory. Další informace o monitorování služby Active Directory najdete v sadě Management Pack služby Active Directory pro MOM( http://go.microsoft.com/fwlink/?LinkID=95697).
Ke kontrole stavu síťového připojení z certifikační autority (CA) do služby AD DS použijte nástroje pro diagnostiku sítě, jako jsou příkazy Ping a Nltest pro nástroj pro příkazový řádek.
K ověření, zda má certifikační autorita správná oprávnění k objektům a kontejnerům ve službě AD DS, použijte níže uvedený postup Kontrola oprávnění u důležitých kontejnerů a objektů služby AD DS.
MSG_NO_CERT_TYPES
Tento kód chyby poukazuje na to, že certifikační autorita hledala v kontejneru Šablony certifikátů ve službě AD DS seznam šablon certifikátů, ale buď jej nemohla najít, nebo byl seznam prázdný.
Postup kontroly a odstranění případných problémů s šablonou certifikátu:
Ke kontrole oprávnění a dalších nastavení šablony certifikátu a k ověření jejího přidání do certifikační autority použijte postup Kontrola konfigurace a dostupnosti šablony certifikátu.
MSG_DOMAIN_INIT
Tento kód chyby poukazuje na to, že se certifikační autorita nemohla připojit ke službě AD DS. Tato chyba může být důsledkem problému s připojením k síti nebo pravděpodobněji problému s oprávněními.
Postup kontroly a odstranění problémů DOMAIN_INIT:
Ke kontrole stavu síťového připojení z certifikační autority do služby AD DS použijte nástroje pro diagnostiku sítě, jako jsou příkazy Ping a Nltest pro nástroj pro příkazový řádek.
K ověření, zda má certifikační autorita správná oprávnění k objektům a kontejnerům ve službě AD DS, použijte níže uvedený postup Kontrola oprávnění u důležitých kontejnerů a objektů služby AD DS.
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Zkontrolujte konfiguraci a dostupnost šablony certifikátu
Postup kontroly konfigurace a dostupnosti šablony certifikátu:
Klikněte na tlačítko Start, zadejte certtmpl.msc a stiskněte klávesu ENTER.
Vyberte šablonu certifikátu, která souvisí s chybou.
Opravte jakákoli oprávnění zabezpečení nebo jiné problémy s konfigurací, které by mohly certifikační autoritě bránit ve výdeji certifikátů na základě šablony certifikátu, a klikněte na tlačítko OK.
Otevřete modul snap-in Certifikační autorita a dvakrát klikněte na název certifikační autority.
Klikněte pravým tlačítkem na Šablony certifikátů, klikněte na Nový a poté na Vystavovaná šablona certifikátu.
Vyberte šablonu certifikátu a klikněte na tlačítko OK.
Zkontrolujte oprávnění u důležitých kontejnerů a objektů služby AD DS
Postup kontroly, zda má certifikační autorita v rámci kontejnerů a objektů služby AD DS potřebná oprávnění:
Na řadiči domény klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Lokality a služby Active Directory.
Klikněte na Lokality a služby Active Directory [název_domény].
V nabídce Zobrazení klikněte na Zobrazit uzel služeb.
Dvakrát klikněte na Služby, dvakrát klikněte na Služby veřejného klíče a klikněte pravým tlačítkem na každý kontejner uvedený níže, nebo na objekty v kontejneru, a klikněte na Vlastnosti.
Na kartě Zabezpečení zkontrolujte požadovaná oprávnění.
Níže jsou uvedena všechna oprávnění požadovaná počítačem hostujícím certifikační autoritu. Některá z těchto oprávnění jsou získána díky členství ve skupině Cert Publishers.
Kontejner Služby zápisu. Počítač certifikační autority má oprávnění ke čtení a zápisu ke svému vlastnímu objektu.
Kontejner Přístupu k informacím autority. Skupina Cert Publishers má přístup s úplným řízením ke kontejneru přístupu k informacím autority a počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu v rámci kontejneru přístupu k informacím autority.
Kontejner Distribuční místo seznamu CRL (CDP). Skupina Cert Publishers má přístup s úplným řízením ke každému kontejneru certifikační autority v rámci kontejneru distribučního místa seznamu CRL a počítač certifikační autority má přístup s úplným řízením ke každému objektu seznamu odvolaných certifikátů (CRL) ve svém vlastním kontejneru.
Kontejner Certifikační autority. Skupina Cert Publishers má přístup s úplným řízením k objektům v tomto kontejneru.
Kontejner Šablony certifikátů. Skupiny Enterprise Admins a Domain Admins (nikoli počítač certifikační autority) mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k většině jeho objektů.
Kontejner Agenta obnovení klíčů (KRA). Počítač certifikační autority má přístup s úplným řízením ke svému vlastnímu objektu.
Kontejner OID. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu k tomuto kontejneru a k v něm obsaženým kontejnerům a objektům.
Objekt NTAuthCertificates. Skupiny Enterprise Admins a Domain Admins, nikoli počítač certifikační autority, mají přístup s úplným řízením nebo oprávnění ke čtení či zápisu.
Kontejner Doménové počítače a Uživatelé domény. Skupina Cert Publishers má oprávnění ke čtení a zápisu pro vlastnost userCertficate u každého uživatele a objektu počítače v doménové struktuře, do níž je nasazena služba AD CS.
Postup ověření funkce modulu zásad:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Klikněte pravým tlačítkem na službu AD CS (Active Directory Certificate Services) a na Restartovat.
Otevřete protokol událostí a zkontrolujte, zda neobsahuje chyby související s modulem zásad.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event_ID | 44 | ||
| Event Source | Microsoft-Windows-CertificationAuthority | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | High | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
CSY <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.44" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">44</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>