Службам сертификации не удалось запуститься: права доступа повреждены.
Службы сертификации Active Directory записывают важные параметры конфигурации реестра, и в случае повреждения или удаления этой информации службы могут не запуститься или работать неправильно.
Устранение неполадок прав доступа к центру сертификации
Сведения о базовых правах на доступ хранятся в реестре. Они требуются для нормальной работы центра сертификации (ЦС).
Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.
Чтобы решить проблемы с правами на доступ, выполните следующие действия.
Убедитесь, что дескрипторы безопасности повреждены.
Если у вас есть резервная копия реестра, восстановите из нее параметры реестра.
Если у вас есть резервная копия ЦС, восстановите из нее ЦС.
Если процедура восстановления пройдет неудачно, создайте журнал отладки ЦС и обратитесь в службу поддержки пользователей Майкрософт. Дополнительные сведения см. по адресу http://go.microsoft.com/fwlink/?LinkId=89446.
Проверка дескрипторов безопасности на наличие повреждений
Чтобы проверить, не повреждены ли дескрипторы безопасности, выполните следующие действия.
Откройте окно командной строки.
Введите certutil -getreg ca\security и нажмите клавишу ВВОД.
Восстановление настроек реестра ЦС
Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.
Чтобы восстановить параметры реестра из файла куста реестра, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "regedit" и нажмите клавишу ВВОД.
Выберите разделы, которые вы хотите восстановить из куста.
В меню "Файл" выберите пункт "Импорт" и выберите диск, папку или сетевой компьютер и папку, где расположен куст реестра.
Для параметра "Файлы типа" выберите "Файлы кустов реестра" и щелкните имя действительного файла для куста.
Нажмите кнопку "Открыть". После того как появится сообщение об успешном импорте куса реестра, нажмите кнопку "OK".
Восстановление ЦС из резервной копии
Примечание: Чтобы завершить эту процедуру, требуется наличие созданной до сбоя резервной копии ЦС, включая настройки реестра, закрытый ключ, сертификат ЦС, базу данных сертификатов и журнал базы данных.
Чтобы восстановить ЦС, выполните следующие действия.
Если вы переустанавливали ОС Windows, установите все текущие пакеты обновления и обновления безопасности перед восстановлением ЦС, после чего переустановите службы сертификации Active Directory (AD CS).
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Правой кнопкой мыши щелкните имя ЦС, затем щелкните "Остановить".
Импортируйте куст реестра для ЦС, выполнив приведенную ранее процедуру.
В оснастке "Центр сертификации" щелкните правой кнопкой мыши имя ЦС, выберите "Все задачи", а затем щелкните "Восстановить ЦС".
После запуска мастера восстановления центра сертификации нажмите кнопку "Далее", а затем выберите закрытый ключ и сертификат ЦС.
Выберите базу данных сертификатов и журнал базы данных сертификатов.
Введите местоположение папки резервной копии и нажмите кнопку "Далее".
Проверьте параметры резервного копирования. Должны отображаться параметры "Журнал выданных и ожидающих запросов".
Нажмите кнопку "Готово" и нажмите "Да", чтобы перезапустить службы сертификации Active Directory.
Создание журнала отладки ЦС
Для создания журнала отладки выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите клавишу ВВОД.
Введите "certutil -setreg ca\debug 0xffffffe3" и нажмите ВВОД.
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы".
Выберите службы сертификации Active Directory и нажмите кнопку "Пуск".
При воспроизведении ошибки найдите файл "certsrv.log", который содержит дополнительные сведения диагностики, в каталоге %windir%.
После завершения диагностики откройте окно командной строки, введите "certutil -delreg ca\debug" и нажмите ВВОД, чтобы отключить отладку.
Для подтверждения параметров реестра центра сертификации (ЦС) выполните следующие действия.
Применив изменения к параметрам реестра для ЦС, нажмите кнопку Пуск, выберите Администрирование, затем щелкните Центр сертификации.
Выберите имя ЦС и щелкните Перезапустить.
Нажмите кнопку Пуск, введите cmd, а затем нажмите клавишу ВВОД.
Введите certutil -getreg ca\security и нажмите ВВОД.
Если поврежденных параметров больше нет, появляется сообщение -getreg - команда успешно выполнена.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>