ポリシー モジュールでエラーが発生しました。
ポリシー モジュールには証明書の発行、書き換え、および失効を管理する一連のルールが含まれます。このポリシーはハードコーディングされた値、レジストリ設定から作成され、エンタープライズ証明機関 (CA) を使用している場合は、証明書テンプレートから作成されます。ポリシー モジュールは、証明書の要求が承認、却下されたかどうか、または管理者に承認/却下してもらうため保留中であるかどうかを判断します。ポリシー モジュールで検出された問題が原因となり、CA が起動できなかったり、作動しなかったりする場合があります。
ポリシー モジュール処理エラーを解決する
このエラー状態の修正方法を確認するには、イベント ログ メッセージに報告されたエラー コードを調べてください。
イベント メッセージに次のコードが表示される場合があります。
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
これらのエラー メッセージに具体的な情報が含まれていない場合は、このエラーの前後に関連するエラーが他にもないか確認し、解決します。
関連する症状を解決しても警告が解決されず、ポリシー モジュールに問題がある場合は、次の手順を実行します。
Microsoft 製以外のポリシー モジュールの場合は、ポリシー モジュールのプロバイダーにお問い合わせください。
Microsoft 製のポリシー モジュールの場合は、Microsoft カスタマー サービス & サポートにお問い合わせください。詳細については、 http://go.microsoft.com/fwlink/?LinkId=89446 をご覧ください。
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
このエラー コードは、証明機関 (CA) が Active Directory ドメイン サービスに接続できない、または必要な Active Directory 情報が見つからないことを表します。ドメイン コントローラーへ接続できない場合の原因は通常、ネットワークの接続性またはアクセス許可の問題です。
潜在的な接続性の問題を確認し、修正するには、次の手順を実行します。
各ドメイン コントローラー上で Active Directory サービスが実行中であることを確認し、AD DS が実行中であるかどうかを確認します。Active Directory 監視についての詳細は、MOM の Active Directory 管理パック ( http://go.microsoft.com/fwlink/?LinkID=95697) を参照してください。
ネットワーク診断ツール (Ping や Nltest コマンド ライン ツールなど) を使用して、証明機関 (CA) から AD DS へのネットワークの接続状況を確認します。
以下の「必須 AD DS コンテナーおよびオブジェクトのアクセス許可を確認する」手順を使用して、CA が AD DS のオブジェクトおよびコンテナーに対する正しいアクセス許可を持っていることを確認します。
MSG_NO_CERT_TYPES
このエラー コードは、CA が AD DS 内の証明書テンプレート コンテナーで証明書テンプレートリストを探した結果、リストが見つからなかったか、リストが空だったことを表します。
潜在的な証明書テンプレートの問題を確認し、修正するには、次の手順を実行します。
「証明書テンプレートの構成と可用性を確認する」手順を使用して、証明書テンプレートのアクセス許可やその他の設定や、証明書テンプレートが CA に追加されていることを確認します。
MSG_DOMAIN_INIT
このエラーは、CA が AD DS に接続できないことを表します。原因として、ネットワークの接続性の問題、またはアクセス許可の問題 (より可能性が高い) が考えられます。
DOMAIN_INIT の問題を確認し、修正するには、次の手順を実行します。
ネットワーク診断ツール (Ping や Nltest コマンド ライン ツールなど) を使用して、証明機関 (CA) から AD DS へのネットワークの接続状況を確認します。
以下の「必須 AD DS コンテナーおよびオブジェクトのアクセス許可を確認する」手順を使用して、CA が AD DS のオブジェクトおよびコンテナーに対する正しいアクセス許可を持っていることを確認します。
これらの手順を実行するには、CA 管理権限を付与されているか、または適切な権限を委任されている必要があります。
証明書テンプレートの構成と可用性を確認する
証明書テンプレートの構成と可用性を確認するには、次の手順を実行します。
[スタート] をクリックし、「certtmpl.msc」と入力して Enter キーを押します。
エラーに関連付けられた証明書テンプレートを選択します。
証明書テンプレートに基づいて CA が証明書を発行する妨げとなっている可能性のある、セキュリティのアクセス許可またはその他の構成の問題を修正し、[OK] をクリックします。
証明機関スナップインを開き、CA の名前をダブルクリックします。
[証明書テンプレート] を右クリックしてから、[新規]、[発行する証明書テンプレート] の順にクリックします。
証明書テンプレートを選択し、[OK] をクリックします。
重要な AD DS コンテナーおよびオブジェクトの権限の確認
CA が AD DSコンテナー上およびこれらのコンテナー内のオブジェクトで権限が必要であることを確認するには:
ドメイン コントローラーで、[スタート] をクリックし、[管理ツール]をポイントしてから [Active Directory サイトとサービス] をクリックします。
Active Directory サイトとサービスの [ドメイン名] をクリックします。
[表示] メニュー上で、[サービス ノードの表示] をクリックします。
[Services] をダブルクリックし、[Public Key Services] (公開キー サービス) をダブルクリックし、次に表示される各コンテナーを右クリックするか、またはそのコンテナー内で表示されるオブジェクトを右クリックするかして、[プロパティ] をクリックします。
[セキュリティ] タブ上で、必須の権限を確認します。
次はすべて、CA をホストしているコンピューター上で必要な Active Directory の権限です。これらの権限の一部は、Cert Publishers グループ内のメンバーシップ経由で実現されます。
登録サービス コンテナー。CA コンピューターは独自のプロジェクトへの読み取り/書き込みアクセス権を持っています。
AIA コンテナー。Cert Publishers グループは AIA コンテナー上でフル コントロール アクセス権を所有し、CA コンピューターは AIA コンテナー内の独自のオブジェクト上でフル コントロール アクセス権を所有します。
CDP コンテナー。Cert Publishers グループは CDP コンテナーの下の各 CA コンテナーへのフル コントロール アクセス権を持ち、CA コンピューターは 独自のコンテナー内にあるすべての証明書失効リスト (CRL) オブジェクトへのフル コントロール アクセス権を持ちます。
証明機関コンテナー。Cert Publishers グループは独自のコンテナー内のオブジェクト上へのフル コントロール アクセス権を所有しています。
証明書テンプレート コンテナー。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はこのコンテナーおよびコンテナー内のほとんどのオブジェクトへのフル コントロール アクセス権または読み取り/書き込みアクセス権を所有しています。
KRA コンテナー。CA コンピューターは独自のプロジェクトへのフル コントロール アクセス権を持っています。
OID コンテナー。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はこのコンテナー、およびこのコンテナーとコンテナー内のオブジェクトへのフル コントロール アクセス権または読み取り/書き込みアクセス権を所有しています。
NTAuthCertificates オブジェクト。Enterprise Admins および Domain Admins グループ (CA コンピューター以外) はフル コントロール アクセス権または読み取り/書き込みアクセス権を持っています。
ドメイン コンピューターおよびドメイン ユーザー コンテナー。Cert Publishers グループは、AD CS が展開されているフォレスト内の各ユーザーおよびコンピューター オブジェクト上の userCertificate プロパティの読み取り/書き込みアクセス権を所有しています。
ポリシー モジュールが操作可能であることを確認するには、次の手順を実行します。
CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[サービス] をクリックします。
[Active Directory 証明書サービス (AD CS) ] を右クリックし、[再起動]をクリックします。
イベント ログを開き、ポリシー モジュールに関連付けられたエラーが含まれていないことを確認します。
ポリシー モジュールに関連付けられたエラー :
イベント 9:ソース:Microsoft-Windows-CertificationAuthority。「Active Directory 証明書サービスが開始しませんでした: ポリシー モジュールをロードできません。」
イベント 43:Microsoft-Windows-CertificationAuthority。""%1" ポリシー モジュール "%2" メソッドによりアドレス %4 で例外が発生しました。例外コードは %3 です。"
イベント 44:Microsoft-Windows-CertificationAuthority。""%1" ポリシー モジュール "%2" メソッドがエラーを返しました。%5 返されたステータス コードは %3 です。%4
イベント 77:Microsoft-Windows-CertificationAuthority。""%1" ポリシー モジュールは次の警告を記録しました:%2"
イベント 78:Microsoft-Windows-CertificationAuthority。""%1" ポリシー モジュールは次のエラーを記録しました:%2"
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 78 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.78" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">78</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDb0c07f8880a34bb6bf0a847caa4d5a4b"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>