Insamlingsregel för händelse med källan CertificationAuthority och ID 95

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95 (Rule)

Certifikattjänster kunde inte starta: säkerhetsbehörigheter har skadats.

Knowledge Base article:

Sammanfattning

Active Directory-certifikattjänster (AD CS) registrerar viktiga konfigurationsinställningar i registret och kanske inte startar eller fungerar korrekt om den här informationen skadas eller tas bort.

Lösningar

Korrigera säkerhetsbehörigheter för certifikatutfärdare

Information om viktiga säkerhetsbehörigheter lagras i registret och behövs för att certifikatutfärdaren (CA) ska fungera korrekt.

För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.

Lös problem med säkerhetsbehörigheter:

Bekräfta att säkerhetsbeskrivningar har skadats.
Om du har en säkerhetskopia av registret återställer du registerinställningarna från säkerhetskopian.
Om du har en säkerhetskopia av certifikatutfärdaren (CA) kan du återställa certifikatutfärdaren från säkerhetskopian.
Om återställningen misslyckas skapar du en felsökningslogg för certifikatutfärdaren och kontaktar Microsofts kundservice och support. Mer information finns på http://go.microsoft.com/fwlink/?LinkId=89446.

Bekräfta skadad säkerhetsbeskrivning

Bekräfta att CA-säkerhetsbeskrivningar har skadats:

Öppna ett kommandotolkfönster.
Skriv certutil -getreg ca\security och tryck på RETUR.

Återställ registerinställningarna för certifikatutfärdaren (CA)

Varning: Systemet kan skadas om du redigerar registret på felaktigt sätt. Säkerhetskopiera viktig information på datorn innan du ändrar registret.

Återställ registerinställningarna från en registerdatafil:

Klicka på Start, skriv regedit och tryck på RETUR på datorn som kör certifikatutfärdaren.
Välj de nycklar som du vill använda för att återställa registerdatafilen.
Klicka på Importera på Arkiv-menyn och välj den enhet, mapp eller nätverksdator och mapp där registerdatafilen finns.
I Filer av typen klickar du på Registret registerdatafiler och väljer korrekt filnamn för registerdatafilen.
Klicka på Öppna. Klicka på OK när ett meddelande visas som anger att registerdatafilen har importerats.

Återställ en certifikatutfärdare (CA) från en säkerhetskopia

Obs! För att slutföra den här proceduren måste du ha skapat en säkerhetskopia av din certifikatutfärdare (CA) inklusive registerinställningar, privata nyckel och CA-certifikat, certifikatdatabas och databaslogg.

Återställa en certifikatutfärdare (CA):

Om du var tvungen att installera Windows på nytt tillämpar du alla aktuella Service Pack innan certifikatutfärdaren (CA) återställs och installerar sedan Active Directory-certifikattjänster (AD CS) på nytt.
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Stopp.
Följ tidigare procedur och importera registerdatafilerna för certifikatutfärdaren (CA).
Högerklicka på namnet för certifikatutfärdaren (CA) i snapin-modulen för certifikatutfärdare, klicka på Alla uppgifter och klicka sedan på Återställ certifikatutfärdaren (CA).
När Guiden Återställ certifikatutfärdare startar klickar du på Nästa och sedan på Privat nyckel och CA-certifikat.
Klicka på Certifikatdatabas och certifikatdatabaslogg.
Skriv sökvägen till säkerhetskopiemappen och klicka på Nästa.
Verifiera inställningarna för säkerhetskopiering. Inställningarna för Utgiven logg och väntande begäranden ska visas.
Klicka på Slutför och sedan på Ja för att starta om AD CS.

Skapa en felsökningslogg för certifikatutfärdaren

Skapa en felsökningslogg:

Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -setreg ca\debug 0xffffffe3 och tryck på RETUR.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Markera tjänsten för Active Directory-certifikattjänster och klicka på Starta.
När du har återskapat problemet letar du rätt på filen certsrv.log som innehåller avancerad diagnostikinformation i katalogen %windir%.
När du har genererat klart diagnostiken öppnar du ett kommandotolksfönster, skriver certutil -delreg ca\debug och trycker på RETUR för att inaktivera felsökningen.

Ytterligare

Bekräfta registerinställningarna för certifikatutfärdaren (CA):

När du har utfört alla ändringar för certifikatufärdarens registerinställningar klickar du på Start, pekar på Administrationsverktyg och klickar på Certifikatutfärdare.
Välj namnet för certifikatutfärdaren (CA) och klicka påStarta om.
Klicka på Start, skriv cmd och tryck på RETUR.
Skriv certutil -getreg ca\security och tryck på RETUR.
Om det inte finns några fler skadade inställningar visas texten -getreg-kommandot har slutförts

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS-registerinställningar – ogiltigt behörighetstillstånd

Händelsebeskrivning: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">95</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>