Regra de Coleta para evento com CertificationAuthority e ID 95

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95 (Rule)

Serviços de Certificados não puderam iniciar: permissões de segurança corrompidas.

Knowledge Base article:

Resumo

Os Serviços de Certificados do Active Directory (AD CS) gravam definições de configuração críticas no registro e podem não iniciar ou funcionar adequadamente se essas informações forem corrompidas ou excluídas.

Resoluções

Corrigir permissões de segurança da autoridade de certificação

Informações sobre permissões de segurança essenciais são armazenadas no registro e são necessárias para uma autoridade de certificação (AC) funcionar adequadamente.

Para executar esses procedimentos, você deve ter uma permissão de Gerenciar AC ou ter recebido a devida autoridade.

Para resolver problemas de permissão de segurança:

Confirme que os descritores de segurança foram corrompidos.
Se tiver um backup do registro, restaure as configurações do registro a partir do backup.
Se tiver um backup da autoridade de certificação, pode restaurar a autoridade de certificação a partir do backup.
Se o procedimento de restauração falhar, crie um log de depuração da autoridade de certificação e entre em contato com o Serviço de Suporte e Atendimento ao Cliente Microsoft. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=89446.

Confirmar a corrupção do descritor de segurança

Para confirmar que os descritores de segurança da AC foram corrompidos:

Abra uma janela de prompt de comando.
Digite certutil -getreg ca\security e pressione ENTER.

Restaurar configurações de Registro da AC

Cuidado: a edição incorreta do Registro pode danificar gravemente o sistema. Antes de fazer alterações no Registro, faça backup de todos os dados importantes.

Para restaurar configurações de Registro de um arquivo do hive:

No computador hospedando a AC, clique em Iniciar, digite regedit e pressione ENTER.
Selecione as chaves para as quais deseja restaurar o hive.
No menu Arquivo, clique em Importar e então selecione a unidade, a pasta ou o computador de rede e pasta em que o hive está localizado.
Em Arquivos do tipo, clique em Arquivos de Hive do Registro e selecione o nome de arquivo correto para o hive.
Clique em Abrir. Quando aparecer uma mensagem indicando que o hive foi importado com sucesso, clique em OK.

Restaurar uma AC de um backup

Observação: Para concluir esse procedimento, é preciso ter criado um backup da sua AC antes da falha, incluindo configurações de Registro, chave privada e certificado de autoridade de certificação, banco de dados do certificado e log do banco de dados.

Para restaurar a AC:

Se você precisar reinstalar o Windows, aplique todos os pacotes de serviço e atualizações de segurança atuais antes de restaurar a AC e reinstale os Serviços de Certificados do Active Directory (AD CS).
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique com o botão direito no nome da AC e em Parar.
Importe o hive do registro para a AC usando o procedimento anterior.
No snap-in da Autoridade de Certificação, clique com o botão direito no nome da AC, clique em Todas as Tarefas e então em Restaurar AC.
Quando o Assistente de Restauração da Autoridade de Certificação iniciar, clique em Avançar e depois em certificado da AC e chave privada.
Clique em Banco de dados de certificado e log do banco de dados do certificado.
Digite o local da pasta de backup e clique em Avançar.
Verifique as configurações de backup. As configurações Emitido Log e Solicitações Pendentes devem estar exibidas.
Clique em Concluir e então em Sim para reiniciar o AD CS.

Criar um log de depuração da AC

Para criar um log de depuração:

No computador que hospeda a AC, clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -setreg ca\debug 0xffffffe3 e pressione ENTER.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Selecione Serviços de Certificados do Active Directory e clique em Iniciar.
Depois de reproduzir o problema, localize o arquivo certsrv.log ;que contém as informações de diagnóstico avançadas no diretório %windir%.
Quando tiver concluído a geração do diagnóstico, abra uma janela de prompt de comando, digite certutil -delreg ca\debug e pressione ENTER para desabilitar a depuração.

Adicional

Para confirmar as configurações de registro da autoridade de certificação (AC):

Depois de ter concluído as alterações às configurações de registro para a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Selecione o nome da AC e clique em Reiniciar.
Clique em Iniciar, digite cmd e pressione ENTER.
Digite certutil -getreg ca\security e pressione ENTER.
Se não houver mais configurações corrompidas, o texto comando -getreg concluído com sucesso aparecerá.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Configurações de Registro do AD CS – Estado da permissão inválido

Descrição do Evento: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">95</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>