Impossibile avviare Servizi certificati: autorizzazioni di protezione danneggiate.
Servizi certificati Active Directory (AD CS) registra le impostazioni di configurazione critiche nel Registro di sistema e potrebbe non avviarsi o non funzionare correttamente se queste informazioni vengono danneggiate o eliminate.
Correzione delle autorizzazioni di protezione dell'autorità di certificazione
Le informazioni sulle autorizzazioni di protezione essenziali vengono memorizzate nel Registro di sistema e sono necessarie per il corretto funzionamento di un'autorità di certificazione (CA).
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Per risolvere i problemi legati alle autorizzazioni di protezione:
Verificare se i descrittori di protezione sono stati danneggiati.
Se si dispone di una copia di backup del Registro di sistema, ripristinare le impostazioni del Registro di sistema dal backup.
Se si dispone di una copia di backup della CA, è possibile ripristinare la CA dal backup.
Se la procedura di ripristino non riesce, creare un registro di debug per la CA e contattare il supporto tecnico Microsoft. Per altre informazioni, vedere http://go.microsoft.com/fwlink/?LinkId=89446.
Verificare il danneggiamento dei descrittori di sicurezza
Per verificare se i descrittori di sicurezza sono stati danneggiati:
Aprire una finestra del prompt dei comandi.
Digitare certutil -getreg ca\security e premere INVIO.
Ripristinare le impostazioni del Registro di sistema della CA
Attenzione: modifiche non corrette del Registro di sistema potrebbero danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è necessario eseguire il backup di tutti i dati rilevanti.
Per ripristinare le impostazioni del Registro di sistema da un file di hive:
Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare regedit, quindi premere INVIO.
Selezionare le chiavi in cui si vuole ripristinare l'hive.
Nel menu File, fare clic su Importa, quindi selezionare l'unità, la cartella oppure il computer di rete e la cartella in cui l'hive è situato.
In Tipo file, fare clic su File hive del Registro di sistema, quindi Selezionare il nome di file corretto per l'hive.
Fare clic su Apri. Quando viene visualizzato un messaggio che indica che l'hive è stato importato correttamente, fare clic su OK.
Ripristinare una CA da un backup
Nota: per completare questa procedura, è necessario avere creato una copia di backup della CA in uso prima dell'errore. Il backup deve comprendere le impostazioni del Registro di sistema, la chiave privata e il certificato CA, i database dei certificati e il registro del database.
Per ripristinare una CA:
Se è stato necessario reinstallare Windows, prima di ripristinare la CA applicare tutti i Service Pack e gli aggiornamenti della sicurezza, quindi reinstallare Servizi certificati Active Directory.
Nel computer in cui si trova la CA fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic con il pulsante destro del mouse sul nome della CA, quindi fare clic su Arresta.
Importare l'hive del Registro di sistema per la CA utilizzando la procedura precedente.
Nello snap-in Autorità di certificazione, fare clic con il pulsante destro del mouse sul nome della CA, fare clic su Tutte le attività e quindi fare clic su Ripristina CA.
Quando si avvia il Ripristino guidato Autorità di certificazione, fare clic su Avanti e quindi fare clic su Chiave privata e certificato CA.
Fare clic su Database certificati e registro database certificati.
Digitare il percorso della cartella di backup e quindi fare clic su Avanti.
Verificare che nelle impostazioni di backup siano visualizzate le impostazioni Richieste di registrazione e in sospeso emesse.
Fare clic su Fine, quindi fare clic su Sì per riavviare Servizi certificati Active Directory.
Creare un registro di debug per la CA
Per creare un registro di debug:
Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare cmd e premere INVIO.
Digitare certutil -setreg ca\debug 0xffffffe3 e premere INVIO.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Selezionare il servizio Servizi certificati Active Directory, quindi fare clic su Avvia.
Dopo aver riprodotto il problema, individuare il file certsrv.log contenente informazioni diagnostiche avanzate nella directory %windir%.
Una volta terminata la generazione dei dati diagnostici, aprire una finestra del prompt dei comandi, digitare certutil -delreg ca\debug e premere INVIO per disabilitare il debug.
Per verificare le impostazioni del Registro di sistema per l'Autorità di certificazione (CA):
Dopo avere terminato di apportare modifiche alle impostazioni del Registro di sistema per la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Selezionare il nome della CA, quindi fare clic su Riavvia.
Fare clic su Start, digitare cmd e premere INVIO.
Digitare certutil -getreg ca\security e premere INVIO.
Se non ci sono altre impostazioni danneggiate, verrà visualizzato il testo Comando -getreg completato.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>