Правило сбора для события с источником CertificationAuthority и ИД 95

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95 (Rule)

Службам сертификации не удалось запуститься: права доступа повреждены.

Knowledge Base article:

Сводка

Службы сертификации Active Directory записывают важные параметры конфигурации реестра, и в случае повреждения или удаления этой информации службы могут не запуститься или работать неправильно.

Решения

Устранение неполадок прав доступа к центру сертификации

Сведения о базовых правах на доступ хранятся в реестре. Они требуются для нормальной работы центра сертификации (ЦС).

Для выполнения этих процедур необходимо иметь разрешение на управление ЦС либо обладать соответствующими делегированными полномочиями.

Чтобы решить проблемы с правами на доступ, выполните следующие действия.

Убедитесь, что дескрипторы безопасности повреждены.
Если у вас есть резервная копия реестра, восстановите из нее параметры реестра.
Если у вас есть резервная копия ЦС, восстановите из нее ЦС.
Если процедура восстановления пройдет неудачно, создайте журнал отладки ЦС и обратитесь в службу поддержки пользователей Майкрософт. Дополнительные сведения см. по адресу http://go.microsoft.com/fwlink/?LinkId=89446.

Проверка дескрипторов безопасности на наличие повреждений

Чтобы проверить, не повреждены ли дескрипторы безопасности, выполните следующие действия.

Откройте окно командной строки.
Введите certutil -getreg ca\security и нажмите клавишу ВВОД.

Восстановление настроек реестра ЦС

Внимание! Неправильное редактирование реестра может значительно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии ценных данных.

Чтобы восстановить параметры реестра из файла куста реестра, выполните следующие действия.

На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "regedit" и нажмите клавишу ВВОД.
Выберите разделы, которые вы хотите восстановить из куста.
В меню "Файл" выберите пункт "Импорт" и выберите диск, папку или сетевой компьютер и папку, где расположен куст реестра.
Для параметра "Файлы типа" выберите "Файлы кустов реестра" и щелкните имя действительного файла для куста.
Нажмите кнопку "Открыть". После того как появится сообщение об успешном импорте куса реестра, нажмите кнопку "OK".

Восстановление ЦС из резервной копии

Примечание: Чтобы завершить эту процедуру, требуется наличие созданной до сбоя резервной копии ЦС, включая настройки реестра, закрытый ключ, сертификат ЦС, базу данных сертификатов и журнал базы данных.

Чтобы восстановить ЦС, выполните следующие действия.

Если вы переустанавливали ОС Windows, установите все текущие пакеты обновления и обновления безопасности перед восстановлением ЦС, после чего переустановите службы сертификации Active Directory (AD CS).
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Правой кнопкой мыши щелкните имя ЦС, затем щелкните "Остановить".
Импортируйте куст реестра для ЦС, выполнив приведенную ранее процедуру.
В оснастке "Центр сертификации" щелкните правой кнопкой мыши имя ЦС, выберите "Все задачи", а затем щелкните "Восстановить ЦС".
После запуска мастера восстановления центра сертификации нажмите кнопку "Далее", а затем выберите закрытый ключ и сертификат ЦС.
Выберите базу данных сертификатов и журнал базы данных сертификатов.
Введите местоположение папки резервной копии и нажмите кнопку "Далее".
Проверьте параметры резервного копирования. Должны отображаться параметры "Журнал выданных и ожидающих запросов".
Нажмите кнопку "Готово" и нажмите "Да", чтобы перезапустить службы сертификации Active Directory.

Создание журнала отладки ЦС

Для создания журнала отладки выполните следующие действия.

На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", введите "cmd" и нажмите клавишу ВВОД.
Введите "certutil -setreg ca\debug 0xffffffe3" и нажмите ВВОД.
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы".
Выберите службы сертификации Active Directory и нажмите кнопку "Пуск".
При воспроизведении ошибки найдите файл "certsrv.log", который содержит дополнительные сведения диагностики, в каталоге %windir%.
После завершения диагностики откройте окно командной строки, введите "certutil -delreg ca\debug" и нажмите ВВОД, чтобы отключить отладку.

Дополнительно

Для подтверждения параметров реестра центра сертификации (ЦС) выполните следующие действия.

Применив изменения к параметрам реестра для ЦС, нажмите кнопку Пуск, выберите Администрирование, затем щелкните Центр сертификации.
Выберите имя ЦС и щелкните Перезапустить.
Нажмите кнопку Пуск, введите cmd, а затем нажмите клавишу ВВОД.
Введите certutil -getreg ca\security и нажмите ВВОД.
Если поврежденных параметров больше нет, появляется сообщение -getreg - команда успешно выполнена.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Параметры реестра службы сертификации Active Directory — недопустимое состояние разрешений

Описание события: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">95</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>