A tanúsítványszolgáltatás elutasította egy rendkívül hosszú tanúsítványkérelem feldolgozását.
A hitelesítésszolgáltató hozzáférés-vezérlési engedélyei biztosítják, hogy a jogosult összetevők és felhasználók végrehajthassák a szükséges feladatokat. A hozzáférés-vezérlési hibák az elégtelen vagy nem megfelelő engedélyhasználattal kapcsolatos lehetséges problémákat azonosíthatnak.
Hosszú tanúsítványkérelem elküldési kísérletének megoldása
A rendkívül hosszú tanúsítványkérelmek szolgáltatásmegtagadási támadások indítási kísérletét jelezhetik.
A forrást az eseménynapló-üzenetnek kell azonosítani. Tekintse át az összes sikertelen tanúsítványkérelem adatait is, hogy észlel-e egyéb szokatlan tanúsítványkérelmeket.
A lehetséges probléma megoldása:
Tekintse át a sikertelen tanúsítványkérelmeket, hogy meghatározza, a sikertelen kérés ismert vagy megbízható forrásból származik-e.
Ha a kérés tévesen lett elutasítva, módosítsa a MaxIncomingMessageSize beállítást a beállításjegyzékben a nagyon tanúsítványkérelmek engedélyezéséhez.
Ha a kérés tévesen lett elutasítva, azonosítsa a kérés forrását, és akadályozza meg, hogy a forrás további kéréseket küldhessen.
A műveleteket akkor hajthatja végre, ha a helyi Rendszergazdák csoport tagja, vagy delegálás révén megkapta a megfelelő jogosultságokat.
A sikertelen kérelmek áttekintése
A sikertelen kérelmek áttekintéséhez hajtsa végre a következő műveleteket:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Hitelesítésszolgáltató lehetőségre.
Vizsgálja meg a Sikertelen kérelmek mappában tárolt sikertelen kéréseket, és állapítsa meg, hogy megbízható forrásból származnak-e.
Megnyithat egy parancsablakot is, és futtassa a következő parancsot: certutil -view LogFail.
Ha a kérés engedélyezett forrásból származik, de a túl nagy mérete miatt lett elutasítva, megnövelheti a maximális üzenetméretet a következő eljárással, vagy a tanúsítvány kérelmezőjétől kérheti egy új tanúsítványkérelem elküldését.
Az üzenetek maximális méretének módosítása
Az üzenetek alapértelmezett maximális méretbeállítása 10 000 bájt. Ha az előző eljárásban a sikertelen tanúsítványkérelmek áttekintése során engedélyezett forrásokból származó kéréseket észlel, amelyek azért lettek elutasítva, mert túllépték ezt az értéket, fontolja meg ezen beállításjegyzék-beállítás módosítását egy olyan értékre, amely lehetővé teszi a hasonló kérések sikerességét.
Az üzenet maximális méretének módosítása:
Figyelem: A beállításjegyzék nem megfelelő szerkesztése súlyos rendszerhibát okozhat. A beállításjegyzék módosítása előtt készítsen biztonsági másolatot a számítógép fontos adatairól.
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, írja be a cmd parancsot, majd nyomja le az ENTER billentyűt.
Írja be a certutil -setreg CA\MaxIncomingMessageSize <bájt> parancsot, majd nyomja le az ENTER billentyűt.
Annak ellenőrzése, hogy a hitelesítésszolgáltató bejelentkezési környezete helyes:
A hitelesítésszolgáltatót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Szolgáltatások lehetőségre.
Ellenőrizze, hogy az Elindult szó jelenik-e meg az Állapot oszlopban az Active Directory Tanúsítványszolgáltatás szolgáltatásban.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 60 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.60" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">60</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDf35538bb2517423d95f7d32e661b5ffa"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>