Certifikattjänster nekade bearbetning av en extremt lång certifikatbegäran.
Behörigheter för åtkomstkontroll för CA ser till att auktoriserade komponenter och användare kan utföra obligatoriska uppgifter. Fel vid åtkomstkontroll kan identifiera möjliga problem som hör ihop med otillräckligt eller felaktigt användande av behörigheter.
Åtgärda ett försök att skicka en lång certifikatbegäran
Oerhört långa certifikatbegäranden kan vara ett försök att starta en DOS-attack.
Källan bör identifieras i händelseloggsmeddelandet. Du bör också granska informationen om alla misslyckade certifikatbegäranden för att upptäcka om det har förekommit några ovanliga certifikatbegäranden.
Åtgärda det här möjliga problemet:
Granska misslyckade certifikatbegäranden för att avgöra om den misslyckade begäran kommer från en känd eller betrodd källa.
Om begäran avvisades felaktigt ändrar du MaxIncomingMessageSize-inställningen i registret för att tillåta större certifikatbegäranden.
Om begäran inte avvisades felaktigt identifierar du begärans källa och hindrar den källan från att skicka fler begäranden.
För att utföra dessa procedurer måste du ha medlemskap som lokal administratör, eller ha delegerats motsvarande behörighet.
Granska misslyckade certifikatbegäranden
Granska misslyckade certifikatbegäranden:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Granska de misslyckade begärandena i mappen Misslyckade begäranden och avgör om de skickades från en betrodd källa.
Du kan även öppna ett kommandotolkfönster och köra följande kommando: certutil -view LogFail.
Om begäran kom från en legitim källa men avvisades eftersom den var för stor kan du utöka den totala meddelandestorleken med hjälp av följande procedur, eller så får certifikatbeställaren skicka en ny certifikatbegäran.
Ändra maximal meddelandestorlek
Den maximala standardmeddelandestorleken är inställd på 10 000 byte. Om du under granskningen av misslyckade certifikatbegäranden i den föregående proceduren identifierar legitima certifikatbegäranden som avvisades eftersom de överskred detta värde bör du överväga att höja den här registerinställningen till ett värde där liknande begäranden godkänns.
Ändra den maximala meddelandestorleken:
Varning: Systemet kan skadas om du redigerar registret på felaktigt sätt. Säkerhetskopiera viktig information på datorn innan du ändrar registret.
Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -setreg CA\MaxIncomingMessageSize <bytes> och tryck på RETUR.
Bekräfta att CA-inloggningskontexten är korrekt:
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Tjänster.
Bekräfta att ordet Startat visas i Status för Active Directory-certifikattjänster.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
| Category | EventCollection | ||
| Enabled | True | ||
| Event_ID | 60 | ||
| Event Source | Microsoft-Windows-CertificationAuthority | ||
| Alert Generate | True | ||
| Alert Severity | Error | ||
| Alert Priority | High | ||
| Remotable | True | ||
| Alert Message |
| ||
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| Alert | WriteAction | System.Health.GenerateAlert | Default |
| WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
Home
SVE <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.60" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">60</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDf35538bb2517423d95f7d32e661b5ffa"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>