発行元 CertificationAuthority および ID 78 を所有するイベント向けの収集ルール

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.78 (Rule)

ポリシーモジュールでエラーが発生しました。

Knowledge Base article:

概要

ポリシーモジュールには証明書の発行、書き換え、および失効を管理する一連のルールが含まれます。このポリシーはハードコーディングされた値、レジストリ設定から作成され、エンタープライズ証明機関 (CA) を使用している場合は、証明書テンプレートから作成されます。ポリシーモジュールは、証明書の要求が承認、却下されたかどうか、または管理者に承認/却下してもらうため保留中であるかどうかを判断します。ポリシーモジュールで検出された問題が原因となり、CA が起動できなかったり、作動しなかったりする場合があります。

解決方法

ポリシーモジュール処理エラーを解決する

このエラー状態の修正方法を確認するには、イベントログメッセージに報告されたエラーコードを調べてください。

イベントメッセージに次のコードが表示される場合があります。

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT

これらのエラーメッセージに具体的な情報が含まれていない場合は、このエラーの前後に関連するエラーが他にもないか確認し、解決します。

関連する症状を解決しても警告が解決されず、ポリシーモジュールに問題がある場合は、次の手順を実行します。

Microsoft 製以外のポリシーモジュールの場合は、ポリシーモジュールのプロバイダーにお問い合わせください。
Microsoft 製のポリシーモジュールの場合は、Microsoft カスタマーサービス & サポートにお問い合わせください。詳細については、 http://go.microsoft.com/fwlink/?LinkId=89446 をご覧ください。

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

このエラーコードは、証明機関 (CA) が Active Directory ドメインサービスに接続できない、または必要な Active Directory 情報が見つからないことを表します。ドメインコントローラーへ接続できない場合の原因は通常、ネットワークの接続性またはアクセス許可の問題です。

潜在的な接続性の問題を確認し、修正するには、次の手順を実行します。

各ドメインコントローラー上で Active Directory サービスが実行中であることを確認し、AD DS が実行中であるかどうかを確認します。Active Directory 監視についての詳細は、MOM の Active Directory 管理パック ( http://go.microsoft.com/fwlink/?LinkID=95697) を参照してください。
ネットワーク診断ツール (Ping や Nltest コマンドラインツールなど) を使用して、証明機関 (CA) から AD DS へのネットワークの接続状況を確認します。
以下の「必須 AD DS コンテナーおよびオブジェクトのアクセス許可を確認する」手順を使用して、CA が AD DS のオブジェクトおよびコンテナーに対する正しいアクセス許可を持っていることを確認します。

MSG_NO_CERT_TYPES

このエラーコードは、CA が AD DS 内の証明書テンプレートコンテナーで証明書テンプレートリストを探した結果、リストが見つからなかったか、リストが空だったことを表します。

潜在的な証明書テンプレートの問題を確認し、修正するには、次の手順を実行します。

「証明書テンプレートの構成と可用性を確認する」手順を使用して、証明書テンプレートのアクセス許可やその他の設定や、証明書テンプレートが CA に追加されていることを確認します。

MSG_DOMAIN_INIT

このエラーは、CA が AD DS に接続できないことを表します。原因として、ネットワークの接続性の問題、またはアクセス許可の問題 (より可能性が高い) が考えられます。

DOMAIN_INIT の問題を確認し、修正するには、次の手順を実行します。

ネットワーク診断ツール (Ping や Nltest コマンドラインツールなど) を使用して、証明機関 (CA) から AD DS へのネットワークの接続状況を確認します。
以下の「必須 AD DS コンテナーおよびオブジェクトのアクセス許可を確認する」手順を使用して、CA が AD DS のオブジェクトおよびコンテナーに対する正しいアクセス許可を持っていることを確認します。

これらの手順を実行するには、CA 管理権限を付与されているか、または適切な権限を委任されている必要があります。

証明書テンプレートの構成と可用性を確認する

証明書テンプレートの構成と可用性を確認するには、次の手順を実行します。

[スタート] をクリックし、「certtmpl.msc」と入力して Enter キーを押します。
エラーに関連付けられた証明書テンプレートを選択します。
証明書テンプレートに基づいて CA が証明書を発行する妨げとなっている可能性のある、セキュリティのアクセス許可またはその他の構成の問題を修正し、[OK] をクリックします。
証明機関スナップインを開き、CA の名前をダブルクリックします。
[証明書テンプレート] を右クリックしてから、[新規]、[発行する証明書テンプレート] の順にクリックします。
証明書テンプレートを選択し、[OK] をクリックします。

重要な AD DS コンテナーおよびオブジェクトの権限の確認

CA が AD DSコンテナー上およびこれらのコンテナー内のオブジェクトで権限が必要であることを確認するには:

ドメインコントローラーで、[スタート] をクリックし、[管理ツール]をポイントしてから [Active Directory サイトとサービス] をクリックします。
Active Directory サイトとサービスの [ドメイン名] をクリックします。
[表示] メニュー上で、[サービスノードの表示] をクリックします。
[Services] をダブルクリックし、[Public Key Services] (公開キーサービス) をダブルクリックし、次に表示される各コンテナーを右クリックするか、またはそのコンテナー内で表示されるオブジェクトを右クリックするかして、[プロパティ] をクリックします。
[セキュリティ] タブ上で、必須の権限を確認します。

次はすべて、CA をホストしているコンピューター上で必要な Active Directory の権限です。これらの権限の一部は、Cert Publishers グループ内のメンバーシップ経由で実現されます。

登録サービスコンテナー。CA コンピューターは独自のプロジェクトへの読み取り/書き込みアクセス権を持っています。
AIA コンテナー。Cert Publishers グループは AIA コンテナー上でフルコントロールアクセス権を所有し、CA コンピューターは AIA コンテナー内の独自のオブジェクト上でフルコントロールアクセス権を所有します。
CDP コンテナー。Cert Publishers グループは CDP コンテナーの下の各 CA コンテナーへのフルコントロールアクセス権を持ち、CA コンピューターは独自のコンテナー内にあるすべての証明書失効リスト (CRL) オブジェクトへのフルコントロールアクセス権を持ちます。
証明機関コンテナー。Cert Publishers グループは独自のコンテナー内のオブジェクト上へのフルコントロールアクセス権を所有しています。
証明書テンプレートコンテナー。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はこのコンテナーおよびコンテナー内のほとんどのオブジェクトへのフルコントロールアクセス権または読み取り/書き込みアクセス権を所有しています。
KRA コンテナー。CA コンピューターは独自のプロジェクトへのフルコントロールアクセス権を持っています。
OID コンテナー。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はこのコンテナー、およびこのコンテナーとコンテナー内のオブジェクトへのフルコントロールアクセス権または読み取り/書き込みアクセス権を所有しています。
NTAuthCertificates オブジェクト。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はフルコントロールアクセス権または読み取り/書き込みアクセス権を持っています。
ドメインコンピューターおよびドメインユーザーコンテナー。Cert Publishers グループは、AD CS が展開されているフォレスト内の各ユーザーおよびコンピューターオブジェクト上の userCertificate プロパティの読み取り/書き込みアクセス権を所有しています。

追加情報

ポリシーモジュールが操作可能であることを確認するには、次の手順を実行します。

CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[サービス] をクリックします。
[Active Directory 証明書サービス (AD CS) ] を右クリックし、[再起動]をクリックします。
イベントログを開き、ポリシーモジュールに関連付けられたエラーが含まれていないことを確認します。

ポリシーモジュールに関連付けられたエラー :

イベント 9:ソース:Microsoft-Windows-CertificationAuthority。「Active Directory 証明書サービスが開始しませんでした: ポリシーモジュールをロードできません。」
イベント 43:Microsoft-Windows-CertificationAuthority。""%1" ポリシーモジュール "%2" メソッドによりアドレス %4 で例外が発生しました。例外コードは %3 です。"
イベント 44:Microsoft-Windows-CertificationAuthority。""%1" ポリシーモジュール "%2" メソッドがエラーを返しました。%5 返されたステータスコードは %3 です。%4
イベント 77:Microsoft-Windows-CertificationAuthority。""%1" ポリシーモジュールは次の警告を記録しました:%2"
イベント 78:Microsoft-Windows-CertificationAuthority。""%1" ポリシーモジュールは次のエラーを記録しました:%2"

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS ポリシーモジュール処理 - ポリシーモジュールで記録されたエラー

イベントの説明:{0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.78" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">78</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageIDb0c07f8880a34bb6bf0a847caa4d5a4b"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>