Nie można uruchomić usług certyfikatów: uszkodzone uprawnienia zabezpieczeń.
Usługi certyfikatów Active Directory (AD CS) zapisują w rejestrze kluczowe ustawienia konfiguracyjne, a uszkodzenie lub usunięcie tych danych może uniemożliwić uruchomienie lub prawidłowe działanie tych usług.
Rozwiązanie problemu z uprawnieniami zabezpieczeń urzędu certyfikacji
Przechowywane w rejestrze informacje o niezbędnych uprawnieniach zabezpieczeń są konieczne dla prawidłowego funkcjonowania urzędu certyfikacji (CA).
Aby wykonać te procedury, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Aby rozwiązać problemy z uprawnieniami zabezpieczeń:
Sprawdź, czy zostały uszkodzone deskryptory zabezpieczeń.
Jeśli dostępna jest kopia zapasowa rejestru, przywróć z niej ustawienia rejestru.
Jeśli dostępna jest kopia zapasowa urzędu certyfikacji, można przywrócić z niej urząd certyfikacji.
Jeśli procedura przywracania nie powiedzie się, utwórz dziennik debugowania urzędu certyfikacji i skontaktuj się z działem obsługi klienta i pomocy technicznej firmy Microsoft. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=89446.
Sprawdzanie, czy deskryptory zabezpieczeń zostały uszkodzone
Aby sprawdzić, czy deskryptory zabezpieczeń urzędu certyfikacji zostały uszkodzone:
Otwórz okno wiersza polecenia.
Wpisz polecenie certutil -getreg ca\security i naciśnij klawisz ENTER.
Przywracanie ustawień rejestru urzędu certyfikacji
Uwaga: Nieprawidłowe edytowanie rejestru może doprowadzić do poważnego uszkodzenia systemu. Przed dokonaniem zmian w rejestrze należy utworzyć kopię zapasową ważnych danych.
Aby przywrócić ustawienia rejestru z pliku gałęzi:
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wpisz polecenie regedit i naciśnij klawisz ENTER.
Wybierz klucze, w których ma zostać przywrócona gałąź.
W menu plik kliknij polecenie Importuj, a następnie wybierz dysk, folder lub komputer w sieci i folder, gdzie znajduje się plik gałęzi.
W polu Pliki typu kliknij opcję Pliki gałęzi rejestru i wybierz odpowiednią nazwę pliku gałęzi.
Kliknij przycisk Otwórz. Po wyświetleniu komunikatu o pomyślnym importowaniu gałęzi kliknij przycisk OK.
Przywracanie urzędu certyfikacji z kopii zapasowej
Uwaga: aby było możliwe wykonanie tej procedury, musi istnieć wykonana przed awarią kopia zapasowa urzędu certyfikacji obejmująca ustawienia rejestru, klucz prywatny, certyfikat urzędu certyfikacji, bazę danych certyfikatów i dziennik bazy danych.
Aby przywrócić urząd certyfikacji:
Jeśli konieczne było ponowne zainstalowanie systemu Windows, przed przywróceniem urzędu certyfikacji zastosuj wszystkie bieżące dodatki Service Pack i aktualizacje zabezpieczeń oraz zainstaluj ponownie Usługi certyfikatów Active Directory (AD CS).
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij pozycję Urząd certyfikacji.
Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i kliknij polecenie Zatrzymaj.
Importuj gałąź rejestru dotyczącą urzędu certyfikacji, wykonując poprzednią procedurę.
W przystawce Urząd certyfikacji kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, a następnie kliknij polecenie Wszystkie zadania i polecenie Przywróć urząd certyfikacji.
Po uruchomieniu Kreatora przywracania urzędu certyfikacji kliknij przycisk Dalej, a następnie opcję Klucz prywatny i certyfikat urzędu certyfikacji.
Kliknij opcję Baza danych certyfikatów i dziennik bazy danych certyfikatów.
Wpisz lokalizację folderu kopii zapasowej i kliknij przycisk Dalej.
Sprawdź ustawienia kopii zapasowej. Powinny zostać wyświetlone ustawienia Dziennik wystawionych i żądania oczekujące.
Kliknij przycisk Zakończ, a następnie kliknij przycisk Tak, aby ponownie uruchomić usługi AD CS.
Tworzenie dziennika debugowania urzędu certyfikacji
Aby utworzyć dziennik debugowania:
Na komputerze hostującym urząd certyfikacji kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie certutil -setreg ca\debug 0xffffffe3 i naciśnij klawisz ENTER.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Wybierz pozycję Usługi certyfikatów Active Directory, a następnie kliknij opcję Uruchom.
Po odtworzeniu problemu znajdź plik certsrv.log zawierający zaawansowane informacje diagnostyczne w katalogu %windir%.
Po wygenerowaniu danych diagnostycznych otwórz okno wiersza polecenia, wpisz polecenie certutil -delreg ca\debug i naciśnij klawisz ENTER, aby wyłączyć debugowanie.
Aby sprawdzić zapisane w rejestrze ustawienia urzędu certyfikacji (CA):
Po wprowadzeniu wszelkich zmian ustawień rejestru dotyczących urzędu certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Wybierz nazwę urzędu certyfikacji i kliknij opcję Uruchom ponownie.
Kliknij przycisk Start, wpisz polecenie cmd i naciśnij klawisz ENTER.
Wpisz polecenie certutil -getreg ca\security i naciśnij klawisz ENTER.
Jeśli nie ma już więcej uszkodzonych ustawień, zostanie wyświetlony tekst Polecenie -getreg zostało wykonane pomyślnie.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>