Les services de certificats n'ont pas pu démarrer : les autorisations de sécurité ont été corrompues.
Les services de certificats Active Directory (AD CS) enregistrent les paramètres de configuration critiques dans le Registre et peuvent ne pas démarrer ou fonctionner correctement si ces informations sont corrompues ou supprimées.
Déterminer des autorisations de sécurité de l'autorité de certification
Les informations sur les autorisations de sécurité essentielles sont stockées dans le Registre et nécessaires pour qu'une autorité de certification fonctionne correctement.
Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.
Pour résoudre les problèmes d'autorisations de sécurité :
Confirmez que les descripteurs de sécurité ont été corrompus.
Si vous avez une sauvegarde du Registre, restaurez les paramètres du Registre depuis la sauvegarde.
Si vous avez une sauvegarde de l'autorité de certification, vous pouvez restaurer l'autorité de certification depuis la sauvegarde.
Si la procédure de restauration échoue, créez un journal de débogage de l'autorité de certification et contactez le Support technique et Service clientèle Microsoft. Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkId=89446.
Confirmer l'endommagement du descripteur de sécurité
Pour confirmer que les descripteurs de sécurité ont été corrompus :
Ouvrez une fenêtre d’invite de commande.
Tapez certutil -getreg ca\security, puis appuyez sur ENTRÉE.
Restaurer les paramètres du Registre de l'autorité de certification
Attention : Toute modification incorrecte du Registre peut endommager gravement votre système. Avant d'apporter des modifications au Registre, sauvegardez toutes vos données importantes.
Pour restaurer les paramètres du Registre depuis un fichier de ruche :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez regedit, puis appuyez sur ENTRÉE.
Sélectionnez les clés dans lesquelles vous voulez restaurer la ruche.
Dans le menu Fichier, cliquez sur Importer, puis sélectionnez le lecteur, le dossier ou l'ordinateur réseau et le dossier dans lequel se trouve la ruche.
Dans Type de fichiers, cliquez sur Fichiers ruche du registre et sélectionnez le nom de fichier correct pour la ruche.
Cliquez sur Ouvrir. Lorsqu'un message indiquant que la ruche a été importée avec succès s'affiche, cliquez sur OK.
Restaurer une autorité de certification depuis une sauvegarde
Remarque : pour exécuter cette procédure, vous devez avoir créé une sauvegarde de votre autorité de certification avant l'échec, y compris des paramètres de Registre, une clé privée et une base de données de certificat d'autorité de certification, ainsi qu'un journal de base de données.
Pour restaurer une autorité de certification :
Si vous devez réinstaller Windows, appliquez tous les service packs et toutes les mises à jour actuels avant de restaurer l'autorité de certification et réinstallez les services de certificats Active Directory (AD CS).
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez avec le bouton droit sur le nom de l'autorité de certification et cliquez sur Arrêter.
Importer la ruche du Registre pour l'autorité de certification en utilisant la procédure ci-dessus.
Dans le composant logiciel enfichable de l'autorité de certification, cliquez avec le bouton droit sur le nom de l'autorité de certification, cliquez-sur Toutes les tâches, puis sur Restaurer l'autorité de certification.
Lorsque l'Assistant Restauration d'autorité de certification démarre, cliquez sur Suivant, puis sur Clé privée et sur Certificat d'autorité de certification.
Cliquez sur Base de données de certificats et sur le journal de la base de données de certificats.
Tapez le chemin d’accès au dossier de sauvegarde, puis cliquez sur Suivant.
Vérifiez les paramètres de sauvegarde. Les paramètres Journal émis et demandes en attente doivent être affichés.
Cliquez sur Terminer, puis sur Oui pour redémarrer AD CS.
Créer un journal de débogage de l'autorité de certification
Pour créer un journal de débogage :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, entrez cmd, puis appuyez sur ENTRÉE.
Tapez certutil -setreg ca\debug 0xffffffe3 puis appuyez sur ENTRÉE.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Sélectionnez le service Services de certificats Active Directory et cliquez sur Démarrer.
Une fois que vous avez reproduit le problème, accédez au fichier certsrv.log contenant des informations de diagnostic avancées situé dans le répertoire %windir%.
Lorsque vous avez terminé de générer les diagnostics, ouvrez une fenêtre d'invite de commandes, entrez certutil -delreg ca\debug et appuyez sur ENTRÉE pour désactiver le débogage.
Pour confirmer les paramètres du Registre de l'autorité de certification :
Après avoir terminé des modifications des paramètres du Registre de l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Sélectionnez le nom de l'autorité de certification et cliquez sur Redémarrer.
Cliquez sur Démarrer, entrez cmd et appuyez sur ENTRÉE.
Tapez certutil -getreg ca\security puis appuyez sur ENTRÉE.
S'il n'y a plus de paramètres corrompus, le texte La commande -getreg a été exécutée correctement s'affichera.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>