Модуль политики обнаружил ошибку.
Модуль политики содержит набор правил, регулирующих выдачу, обновление и отзыв сертификатов. Эта политика состоит из жестко заданных значений и параметров реестра, а также шаблонов сертификатов, если используется центр сертификации (ЦС) предприятия. Модуль политики определяет, будет ли запрос на сертификат утвержден, отклонен или отложен для дальнейшего утверждения или отклонения администратором. Проблемы, обнаруживаемые модулем политики, могут привести к сбою запуска или остановке работы ЦС.
Исправление ошибок обработки модуля политики
Чтобы определить способ исправления этой ошибки, см. код ошибки, указанный в сообщении журнала событий.
Сообщение журнала событий может содержать следующие коды.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Если эти сообщения об ошибках не содержат определенной информации, найдите и устраните все дополнительные связанные ошибки до и после данной ошибки.
Если предупреждения не удается разрешить путем устранения связанных симптомов, а также обнаружена проблема с модулем политики, выполните следующее.
В случае с модулем политики стороннего разработчика обратитесь за помощью к поставщику модуля политики.
В случае с модулем политики, разработанным компанией Майкрософт, обратитесь в службу поддержки пользователей Майкрософт. Дополнительные сведения см. по адресу http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Этот код ошибки означает, что центру сертификации не удалось подключиться к доменным службам Active Directory или найти необходимую информацию об Active Directory. Причиной сбоя подключения к контроллеру домена обычно являются неполадки сетевого подключения или проблемы разрешений.
Чтобы найти и устранить потенциальные неполадки подключения, выполните следующие действия.
Убедитесь, что доменные службы Active Directory запущены, проверив работоспособность служб на каждом контроллере домена. Для получения дополнительной информации о мониторинге Active Directory см. раздел "Пакет управления Active Directory для MOM" ( http://go.microsoft.com/fwlink/?LinkID=95697).
Чтобы проверить состояние сетевого подключения между центром сертификации (ЦС) и доменными службами Active Directory, используйте средства диагностики сети, например служебные программы командной строки Ping и Nltest.
Чтобы подтвердить наличие у ЦС правильных разрешений на объекты и контейнеры в доменных службах Active Directory, используйте процедуру, описанную ниже в разделе "Подтверждение разрешений для базовых контейнеров и объектов доменных служб Active Directory".
MSG_NO_CERT_TYPES
Этот код ошибки означает, что ЦС выполнил поиск списка шаблонов сертификатов в контейнере шаблонов сертификатов доменных служб Active Directory, но список не был найден либо оказался пустым.
Чтобы найти и исправить потенциальные проблемы шаблонов сертификатов, выполните следующие действия.
Чтобы проверить наличие разрешений и других параметров шаблона сертификата, а также подтвердить, что он был добавлен в ЦС, используйте процедуру "Подтверждение конфигурации и доступности шаблона сертификата".
MSG_DOMAIN_INIT
Этот код ошибки означает, что ЦС не удалось подключиться к доменным службам Active Directory. Причиной этого сбоя могут быть неполадки сетевого подключения, а вероятнее — проблема с разрешениями.
Для нахождения и устранения проблем DOMAIN_INIT выполните следующие действия.
Чтобы определить состояние сетевого подключения между ЦС и доменными службами Active Directory, используйте средства диагностики сети, например служебные программы командной строки Ping и Nltest.
Чтобы подтвердить наличие у ЦС правильных разрешений на объекты и контейнеры в доменных службах Active Directory, используйте процедуру, описанную ниже в разделе "Подтверждение разрешений для базовых контейнеров и объектов доменных служб Active Directory".
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Подтверждение конфигурации и доступности шаблона сертификата
Чтобы подтвердить конфигурацию и доступность шаблона сертификата, выполните следующие действия.
Нажмите кнопку "Пуск", введите "certtmpl.msc" и нажмите клавишу ВВОД.
Выберите шаблон сертификата, связанный с ошибкой.
Устраните все ошибки разрешений на доступ и другие проблемы конфигурации, не позволяющие ЦС выдавать сертификаты на основе шаблона сертификата, затем щелкните "OK".
Откройте оснастку "Центр сертификации" и дважды щелкните имя ЦС.
Правой кнопкой мыши щелкните "Шаблоны сертификатов", "Создать", а затем — "Шаблон сертификата для выдачи".
Выберите шаблон сертификата и нажмите кнопку "OK".
Подтверждение разрешений для базовых контейнеров и объектов доменных служб Active Directory
Чтобы подтвердить наличие у ЦС необходимых разрешений на контейнеры доменных служб Active Directory и объекты в этих контейнерах, выполните следующие действия.
На контроллере домена нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы и узлы Active Directory".
Щелкните "Службы и узлы Active Directory" [имя_домена].
В меню "Просмотр" щелкните "Показать узел служб".
Дважды щелкните Services, дважды щелкните Public Key services, затем щелкните правой кнопкой мыши каждый из представленных ниже контейнеров или объектов, перечисленных в контейнере, и щелкните "Свойства".
На вкладке "Безопасность" подтвердите необходимые разрешения.
Далее представлены все разрешения Active Directory, запрашиваемые компьютером, на котором размещен ЦС. Некоторые из этих разрешений предоставляются членам группы издателей сертификатов.
Контейнер служб регистрации. Компьютер ЦС имеет доступ на чтение и запись к собственному объекту.
Контейнер AIA. Группа издателей сертификатов имеет полный доступ к компьютеру AIA, а компьютер ЦС имеет полный доступ к собственному объекту в контейнере AIA.
Контейнер CDP. Группа издателей сертификатов имеет полный доступ к каждому контейнеру ЦС в составе контейнера CDP, а компьютер ЦС имеет полный доступ к каждому объекту списка отзыва сертификатов в собственном контейнере.
Контейнер центра сертификации. Группа издателей сертификатов имеет полный доступ к объектам в этом контейнере.
Контейнер шаблонов сертификатов. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру и большинству объектов в нем.
Контейнер KRA. Компьютер ЦС имеет полный доступ к собственному объекту.
Контейнер OID. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись к этому контейнеру, а также к контейнерам и объектам внутри него.
Объект NTAuthCertificates. Группы администраторов предприятия и администраторов домена (за исключением компьютера ЦС) имеют полный доступ или доступ на чтение и запись
Контейнеры доменных компьютеров и пользователей домена. Группа издателей сертификатов имеет разрешения на чтение и запись для свойства "userCertificate" каждого объекта пользователя и компьютера в лесу, в котором развернуты доменные службы Active Directory.
Чтобы подтвердить рабочее состояние модуля политики, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Службы.
Правой кнопкой мыши щелкните Службы сертификации Active Directory, затем щелкните Перезапустить.
Откройте журнал событий и убедитесь в том, что он не содержит ошибок, связанных с модулем политики.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 44 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.44" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">44</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>