证书服务未启动:外部策略模块。
策略模块包含管理证书的颁发、续订和吊销的规则集。该策略通过硬编码值、注册设置以及证书模板(如果使用的是企业证书颁发机构 (CA) 的话)创建。策略模块可确定证书申请是否通过批准、被拒或标记为挂起,以用于管理员批准或拒绝。策略模块所监测到的问题可以导致 CA 启动失败或停止运行。
允许 AD CS 加载策略模块
AD CS 策略模块必须具有足够的内存空间和磁盘空间才能正常启动。如果策略模块没有启动,可通过以下方式解决此错误 :
初始化策略模块。
如果这样不能解决问题,则执行以下操作:
识别策略模块名称,联系供应商以获得支持。
要执行这些过程,您必须拥有管理 CA 权限,或者您必须被委派了适当的权限。
“初始化策略模块”
要允许 Active Directory 证书服务 (AD CS) 初始化策略模块,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,指向“管理工具”,然后单击“可靠性和性能监视器”。
检查计算机的内存使用情况,如果需要,请增加系统资源。
重新启动计算机和 CA。
如果无法加载策略模块和通过解决相关症状来消除警告,则可能是策略模块本身存在问题,只有供应商才能解决。因此,请确定策略模块名称,联系供应商以获得支持。
对于非 Microsoft 策略模块,请联系策略模块供应商以获取帮助。
对于 Microsoft 策略模块,请与 Microsoft 客户服务和支持联系。有关详细信息,请参见 http://go.microsoft.com/fwlink/?LinkId=89446。
“识别策略模块名称”
要识别策略模块名称,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,指向“管理工具”,然后单击“证书颁发机构”。
右键单击 CA 的名称,然后单击“属性”。
单击“策略模块”选项卡,然后单击“属性”。
记下策略模块的标识信息
若要确认策略模块是否可操作的,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,指向“管理工具”,然后单击“服务”。
右键单击“Active Directory 证书服务 (AD CS)”服务,然后单击“重新启动”。
打开事件日志,然后确认该事件日志中不包含与策略模块相关的任何错误。
与策略模块相关的错误如下:
事件 9:源:Microsoft-Windows-CertificationAuthority。“Active Directory 证书服务未启动:无法加载策略模块。”
事件 43:Microsoft-Windows-CertificationAuthority。““%1”策略模块“%2”方法在地址 %4 引起异常。异常代码是 %3。”
事件 44:Microsoft-Windows-CertificationAuthority。““%1”策略模块“%2”方法返回一个错误。%5 返回的状态代码是 %3。%4”
事件 77:Microsoft-Windows-CertificationAuthority。““%1”策略模块记录了以下警告:%2”
事件 78:Microsoft-Windows-CertificationAuthority。““%1”策略模块记录了以下错误:%2”
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 9 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.9" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">9</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDb8ee865c4c31494b9bb9b9e18f36ec20"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>