Правило сбора для события с источником CertificationAuthority и ИД 82

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.82 (Rule)

Службы сертификации обнаружили ошибку загрузки сертификатов агента восстановления ключей.

Knowledge Base article:

Сводка

Для поддержки архивации ключей службам сертификации Active Directory требуются сертификаты агента восстановления ключей, сертификаты обмена и ключи. Работа сертификатов агента восстановления ключей, сертификатов обмена и поставщиков служб шифрования, необходимых для их создания, играет важную роль в инфраструктуре открытого ключа.

Решения

Использование версии Windows Server 2008, поддерживающей архивацию ключей служб сертификации Active Directory

Архивация ключей доступна только для центров сертификации (ЦС), установленных на компьютерах под управлением операционных систем Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.

Подтвердите, что используемый ЦС установлен на компьютере под управлением Windows Server 2008 Enterprise или Windows Server 2008 Datacenter.

Чтобы определить выпуск Windows, выполните следующие действия.

Откройте окно проводника, правой кнопкой мыши щелкните Компьютер, затем щелкните Свойства.
Убедитесь, что в разделе под заголовком Выпуск Windows указана одна из версий, поддерживающих архивацию ключей.

Дополнительно

Чтобы подтвердить правильную работу архивации и восстановления ключей, выполните следующие действия.

На компьютере, на котором размещен ЦС, нажмите кнопку Пуск, выберите Администрирование и щелкните Центр сертификации.
В дереве консоли щелкните правой кнопкой мыши имя центра сертификации (ЦС), а затем щелкните Свойства.
Щелкните вкладку Агенты восстановления.
Подтвердите, что все перечисленные сертификаты агентов восстановления отмечены как Действительный.
В разделе "Контейнер шаблонов сертификатов" подтвердите наличие у сертификата шифрования функции Архивировать закрытый ключ субъекта, настраиваемой на вкладке Обработка запроса.
Откройте оснастку "Сертификаты" для учетной записи пользователя, обладающего разрешениями на регистрацию сертификата на основе этого шаблона сертификата.
В дереве консоли щелкните правой кнопкой мыши Личное, выберите Все задачи и щелкните Запросить новый сертификат, чтобы запустить мастер регистрации сертификатов.
Зарегистрируйте сертификат на основе шаблона шифрования и подтвердите успешное завершение регистрации и отсутствие сообщений об ошибках.
По завершении регистрации откройте оснастку "Центр сертификации".
В дереве консоли щелкните Выданные сертификаты.
Найдите запись о выданном сертификате и добавьте столбец Архивированный ключ в список отображения оснастки.
Убедитесь в том, что в столбце Архивированный ключ для выданного сертификата появилась пометка Да.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Архивация и восстановление ключей службы сертификации Active Directory — слишком мало действительных KRA

Описание события: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.82" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">82</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID1cdf9e0d2e54422988ac237815a5f512"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>