El módulo de directivas ha detectado un error.
El módulo de directivas contiene el conjunto de reglas que regulan la emisión, renovación y revocación de certificados. Esta directiva se crea a partir de valores codificados de forma rígida, parámetros del Registro y, si usa una entidad de certificación (CA) empresarial, plantillas de certificado. Este módulo de directivas determina si una solicitud de certificado se aprueba, rechaza o marca como pendiente para que un administrador la apruebe o la rechace. Los problemas detectados con un módulo de directivas pueden provocar que no se inicie la CA o que deje de funcionar.
Solución de errores de procesamiento del módulo de directivas
Para determinar el modo de corregir esta condición de error, examine el informe del código de error del mensaje del registro de eventos.
Este mensaje del registro de eventos puede contener los códigos siguientes:
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Si estos mensajes de error no contienen información específica, compruebe y solucione otros errores relacionados que se produzcan antes o después del error.
Si las advertencias no se pueden solucionar mediante la corrección de síntomas relacionados y hay un problema con el módulo de directivas:
Si el módulo de directivas no es de Microsoft, póngase en contacto con el proveedor del módulo de directivas para obtener asistencia.
Si el módulo de directivas es de Microsoft, póngase en contacto con el servicio de soporte técnico y de atención al cliente de Microsoft. Para obtener más información, consulte http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Este código de error indica que la entidad de certificación (CA) no pudo conectarse a los servicios de dominio de Active Directory, o bien que no pudo encontrar la información necesaria sobre Active Directory. Los errores de conexión a un controlador de dominio suelen deberse a problemas de conectividad de red o de permisos.
Para comprobar y corregir los posibles problemas de conexión:
Para comprobar que AD DS se está ejecutando, confirme que los servicios de Active Directory se ejecuten en los controladores de dominio correspondientes. Para obtener más información acerca de la supervisión de Active Directory, consulte el "Módulo de administración de Active Directory para MOM" ( http://go.microsoft.com/fwlink/?LinkID=95697).
Utilice herramientas de diagnósticos de red, por ejemplo, las herramientas de línea de comandos Ping y Nltest para comprobar el estado de la conexión de red desde la entidad de certificación (CA) a AD DS.
Use el procedimiento "Confirmación de permisos en contenedores y objetos de AD DS esenciales" que aparece a continuación para confirmar que la CA posee los permisos correctos para acceder a los objetos y contenedores en AD DS.
MSG_NO_CERT_TYPES
Este código de error indica que la CA ha buscado una lista de plantillas de certificado en el contenedor CertificateTemplates en AD DS, pero o bien no ha podido encontrar la lista o esta estaba vacía.
Para comprobar y corregir posibles problemas de plantillas de certificado:
Use el procedimiento "Confirmación de la configuración y la disponibilidad de las plantillas de certificado" para comprobar si los permisos y otras configuraciones se encuentran en la plantilla de certificados y si esta se ha agregado a la CA.
MSG_DOMAIN_INIT
Este código de error indica que la CA no se pudo conectar al AD DS. Este error puede ser el resultado de un problema de conectividad de red o, con mayor probabilidad, un problema de permisos.
Para comprobar y corregir problemas de DOMAIN_INIT:
Utilice herramientas de diagnósticos de red, por ejemplo, las herramientas de línea de comandos Ping y Nltest para comprobar el estado de la conexión de red desde la CA a AD DS.
Use el procedimiento "Confirmación de permisos en contenedores y objetos de AD DS esenciales" que aparece a continuación para confirmar que la CA posee los permisos correctos para acceder a los objetos y contenedores en AD DS.
Para llevar a cabo estos procedimientos debe disponer de permiso para administrar CA o haber delegado la autoridad adecuada.
Confirmación de la configuración y la disponibilidad de las plantillas de certificado
Para confirmar la configuración y la disponibilidad de las plantillas de certificado:
Haga clic en Inicio, escriba certtmpl.msc y, a continuación, presione ENTRAR.
Seleccione la plantilla de certificado asociada con el error.
Corrija los posibles problemas de permisos de seguridad u otros problemas de configuración que provoquen que CA no pueda emitir certificados basados en la plantilla de certificado y haga clic en "Aceptar".
Abra el complemento Entidad de certificación y haga doble clic en el nombre de la CA.
Haga clic con el botón secundario en "Plantillas de certificado", seleccione "Nueva" y, a continuación, haga clic en "Plantilla de certificado que se va a emitir".
Seleccione la plantilla de certificado y haga clic en Aceptar.
Confirmación de permisos en contenedores y objetos de AD DS esenciales
Para confirmar que la CA posee los permisos necesarios en los contenedores de AD DS y los objetos dentro de dichos contenedores:
En el controlador de dominio, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Sitios y servicios de Active Directory.
Haga clic en Sitios y servicios de Active Directory [nombreDeDominio].
En el menú Ver, haga clic en Mostrar el nodo de servicios.
Haga doble clic en "Services" y en "Public Key Services"; a continuación, haga clic con el botón secundario en los contenedores de la lista de la parte inferior o en los objetos de la lista dentro del contenedor y haga clic en Propiedades.
En la ficha Seguridad, confirme los permisos necesarios.
A continuación encontrará todos los permisos de Active Directory que deben poseer los equipos que hospedan una CA. Algunos de estos permisos se obtienen solo si pertenece al grupo de publicadores de certificados.
Contenedor de servicios de inscripción. El equipo de la CA posee acceso de lectura y escritura a su propio objeto.
Contenedor AIA. El grupo de publicadores de certificados posee acceso de control total al contenedor AIA y el equipo de CA posee acceso de control total a su propio objeto dentro del contenedor AIA.
Contenedor CDP. El grupo de publicadores de certificados posee acceso de control total en todos los contenedores de las CA dentro del contenedor CDP y el equipo de CA posee acceso de control total a todos los objetos de la lista de revocaciones de certificados (CRL) de su propio contenedor.
Contenedor de entidades de certificación. El grupo de publicadores de certificados posee acceso de control total a los objetos dentro de este contenedor.
Contenedor de plantillas de certificado. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y la mayoría de objetos que contiene.
Contenedor KRA. El equipo de CA posee acceso de control total a su propio objeto.
Contenedor OID. Los grupos Administradores de empresas y Admins. del dominio (no el equipo de CA) poseen acceso de control total o acceso de lectura y escritura a este contenedor y a los contenedores y objetos dentro del mismo.
Objeto NTAuthCertificates. Los grupos Administradores de empresas y Admins. del dominio, no el equipo de CA, tienen acceso de control total o acceso de lectura y escritura.
Contenedores Equipos del dominio y Usuarios del dominio. El grupo de publicadores de certificados tiene permisos de lectura y escritura en la propiedad UserCertificate de todos los objetos de usuario y equipo en el bosque donde se ha implementado AD CS.
Para confirmar que el módulo de directivas funciona correctamente:
En el equipo donde se hospeda la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios.
Haga clic con el botón secundario en el servicio Servicios de certificados de Active Directory (AD CS) y seleccione Reiniciar.
Abra el registro de eventos y confirme que no contiene ningún error relacionado con el módulo de directivas.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 44 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.44" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">44</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>