İlke modülü bir hatayla karşılaştı.
İlke modülü, sertifika verme, yenileme ve iptal işlemlerini yöneten kural kümesini içerir. Bu ilke sabit kodlanmış değerlerden, kayıt defteri ayarlarından ve bir kurumsal sertifika yetkilisi (CA) kullanıyorsanız, sertifika şablonlarından oluşturulur. İlke modülü, bir sertifika isteğinin onaylanma, reddedilme veya yönetici tarafından onaylanmak veya reddedilmek üzere bekliyor olarak işaretlenme durumunu belirler. İlke modülüyle ilgili olarak algılanan sorunlar, bir CA'nın başlatılamamasına veya çalışmayı durdurmasına neden olabilir.
İlke modülü işleme hatalarını ele alın
Bu hata durumunun nasıl düzeltileceğini belirlemek için, olay günlüğü iletisi içinde bildirilen hata kodunu inceleyin.
Olay günlüğü iletisi aşağıdaki kodları içerebilir:
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Bu hata iletilerinin ayrıntılı bilgi içermemesi durumunda, bu hatadan önce veya sonra verilen tüm diğer ilgili hataları denetleyin ve düzeltin.
Uyarılar ilgili belirtiler düzeltilerek çözülemiyorsa ve ilke modülüyle ilgili bir sorun varsa:
Microsoft olmayan bir ilke modülü için, yardım almak üzere ilke modülü sağlayıcısına başvurun.
Bir Microsoft ilke modülü için, Microsoft Müşteri Hizmetleri ve Desteği'ne başvurun. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=89446.
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Bu hata kodu, sertifika yetkilisinin (CA) Active Directory Etki Alanı Hizmetleri'ne bağlanamadığını veya gerekli Active Directory bilgilerini bulamadığını gösterir. Bir etki alanı denetleyicisine bağlanamama durumu normalde bir ağ bağlantı sorunundan veya izin sorunundan kaynaklanır.
Olası bağlantı sorunlarını denetlemek ve düzeltmek için:
Her bir etki alanı denetleyicisi üzerinde Active Directory hizmetlerinin çalıştığını onaylayarak AD DS olanağının çalışıp çalışmadığını denetleyin. Active Directory izleme hakkında daha fazla bilgi edinmek üzere, MOM için Active Directory Yönetim Paketi'ne bakın ( http://go.microsoft.com/fwlink/?LinkID=95697).
Sertifika yetkilisinden (CA) AD DS'ye giden ağ bağlantısının durumunu denetlemek için Ping ve Nltest komut satırı araçları gibi ağ tanılama araçları kullanın.
CA'nın AD DS içindeki nesnelere ve kapsayıcılara yönelik doğru izinlere sahip olduğunu onaylamak için aşağıdaki Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinler onaylayın yordamını kullanın.
MSG_NO_CERT_TYPES
Bu hata kodu, CA'nın AD DS içindeki Sertifika Şablonları kapsayıcısında bir sertifika şablon listesi aradığını , ancak listeyi bulamadığını veya listenin boş olduğunu gösterir.
Olası sertifika şablonu sorunlarını denetlemek ve düzeltmek için:
Sertifika şablonu üzerindeki izinleri ve diğer ayarları ve sertifika şablonunun CA'ya eklenip eklenmediğini denetlemek için Sertifika şablon yapılandırmasını ve kullanılabilirliğini onaylayın yordamını kullanın.
MSG_DOMAIN_INIT
Bu hata kodu, CA'nın AD DS'ye bağlanamadığını gösterir. Bu hata, bir ağ bağlantı sorunundan veya daha yüksek olasılıkla bir izin sorunundan kaynaklanıyor olabilir.
DOMAIN_INIT sorunlarını denetlemek ve düzeltmek için:
CA'dan AD DS'ye giden ağ bağlantısının durumunu denetlemek için Ping ve Nltest komut satırı araçları gibi ağ tanılama araçları kullanın.
CA'nın AD DS içindeki nesnelere ve kapsayıcılara yönelik doğru izinlere sahip olduğunu onaylamak için aşağıdaki Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinler onaylayın yordamını kullanın.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Sertifika şablonu yapılandırmasını ve kullanılabilirliğini onaylayın
Sertifika şablonu yapılandırmasını ve kullanılabilirliğini onaylamak için:
Başlat'a tıklayın, certtmpl.msc yazın ve sonra ENTER tuşuna basın.
Hatayla ilişkili sertifika şablonunu seçin.
Bir CA'nın sertifika şablonunu temel alan sertifikalar vermesini engelleyebilecek tüm güvenlik izinlerini veya diğer yapılandırma hatalarını düzeltin ve Tamam'a tıklayın.
Sertifika Yetkilisi ek bileşenini açın ve CA'nın adına çift tıklayın.
Sertifika Şablonları'na sağ tıklayın, Yeni'ye tıklayın ve sonra Verilecek Sertifika Şablonu'na tıklayın.
Sertifika şablonunu seçin ve Tamam'a tıklayın.
Gerekli AD DS kapsayıcıları ve nesneleri üzerindeki izinleri onaylayın
CA'nın şu kapsayıcılar dahilindeki AD DS kapsayıcıları ve nesneleri üzerinde gerekli izinlere sahip olduğunu onaylamak için:
Bir etki alanı denetleyicisi üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Active Directory Siteleri ve Hizmetleri'ne tıklayın.
Active Directory Siteleri ve Hizmetleri [etkialanıadı] öğesine tıklayın.
Görünüm menüsünde, Hizmet Düğümünü Göster'e tıklayın.
Hizmetler'e ve Ortak Anahtar Hizmetleri'ne çift tıklayın ve aşağıda listelenen her bir kapsayıcıya veya kapsayıcı içinde listelenen nesnelere sağ tıklayın ve Özellikler'e tıklayın.
Güvenlik sekmesinde, gerekli izinleri onaylayın.
Bir CA barındıran bir bilgisayarın gerekli kıldığı tüm Active Directory izinleri aşağıda verilmiştir. Bu izinlerden bazıları, Cert Publishers grubuna üyelik yoluyla elde edilebilir.
Kayıt Hizmetleri kapsayıcısı. CA bilgisayarı, kendi nesnesine yönelik Okuma ve Yazma erişimine sahiptir.
AIA kapsayıcısı. Cert Publishers grubu, AIA kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, AIA kapsayıcısı içindeki kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
CDP kapsayıcısı. Cert Publishers grubu, CDP kapsayıcısı altındaki her bir CA'nın kapsayıcısı üzerinde Tam Denetim erişimine sahiptir ve CA bilgisayarı, kendi kapsayıcısındaki her sertifika iptal listesi (CRL) nesnesi üzerinde Tam Denetim erişimine sahiptir.
Sertifika Yetkilileri kapsayıcısı. Cert Publishers grubu, bu kapsayıcı içindeki nesneler üzerinde Tam Denetim erişimine sahiptir.
Sertifika Şablonları kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki nesnelerin çoğuna yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
KRA kapsayıcısı. CA bilgisayarı, kendi nesnesi üzerinde Tam Denetim erişimine sahiptir.
OID kapsayıcısı. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), bu kapsayıcıya ve içindeki kapsayıcılara ve nesnelere yönelik Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
NTAuthCertificates nesnesi. Enterprise Admins ve Domain Admins grupları (CA bilgisayarı değil), Tam Denetim erişimine veya Okuma ve Yazma erişimine sahiptir.
Etki Alanı Bilgisayarları ve Etki Alanı Kullanıcıları kapsayıcıları. Cert Publishers grubu, AD CS'nin dağıtıldığı ormandaki her kullanıcı ve bilgisayar nesnesinin userCertificate özelliği üzerinde Okuma ve Yazma izinlerine sahiptir.
İlke modülünün çalışır durumda olduğunu onaylamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri (AD CS) hizmetine sağ tıklayın ve Yeniden Başlat'a tıklayın.
Olay günlüğünü açın ve ilke modülüyle ilgili herhangi bir hata içermediğini onaylayın.
İlke modülüyle ilgili hatalar şunlardır:
Olay 9: Kaynak: Microsoft-Windows-CertificationAuthority. "Active Directory Sertifika Hizmetleri başlatılmadı: Bir ilke modülü yüklenemedi."
Olay 43:Microsoft-Windows-CertificationAuthority. "%1" ilke modülü "%2" yöntemi %4 adresinde bir özel duruma neden oldu. Özel durum kodu: %3."
Olay 44:Microsoft-Windows-CertificationAuthority. "%1" ilke modülü "%2" yöntemi bir hata döndürdü. %5 Döndürülen durum kodu: %3. %4"
Olay 77:Microsoft-Windows-CertificationAuthority. "%1" ilke modülü şu uyarıyı günlüğe kaydetti: %2"
Olay 78:Microsoft-Windows-CertificationAuthority. "%1" ilke modülü şu hatayı günlüğe kaydetti: %2"
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 78 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.78" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">78</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDb0c07f8880a34bb6bf0a847caa4d5a4b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>