Certifikattjänster kunde inte starta: säkerhetsbehörigheter har skadats.
Active Directory-certifikattjänster (AD CS) registrerar viktiga konfigurationsinställningar i registret och kanske inte startar eller fungerar korrekt om den här informationen skadas eller tas bort.
Korrigera säkerhetsbehörigheter för certifikatutfärdare
Information om viktiga säkerhetsbehörigheter lagras i registret och behövs för att certifikatutfärdaren (CA) ska fungera korrekt.
För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.
Lös problem med säkerhetsbehörigheter:
Bekräfta att säkerhetsbeskrivningar har skadats.
Om du har en säkerhetskopia av registret återställer du registerinställningarna från säkerhetskopian.
Om du har en säkerhetskopia av certifikatutfärdaren (CA) kan du återställa certifikatutfärdaren från säkerhetskopian.
Om återställningen misslyckas skapar du en felsökningslogg för certifikatutfärdaren och kontaktar Microsofts kundservice och support. Mer information finns på http://go.microsoft.com/fwlink/?LinkId=89446.
Bekräfta skadad säkerhetsbeskrivning
Bekräfta att CA-säkerhetsbeskrivningar har skadats:
Öppna ett kommandotolkfönster.
Skriv certutil -getreg ca\security och tryck på RETUR.
Återställ registerinställningarna för certifikatutfärdaren (CA)
Varning: Systemet kan skadas om du redigerar registret på felaktigt sätt. Säkerhetskopiera viktig information på datorn innan du ändrar registret.
Återställ registerinställningarna från en registerdatafil:
Klicka på Start, skriv regedit och tryck på RETUR på datorn som kör certifikatutfärdaren.
Välj de nycklar som du vill använda för att återställa registerdatafilen.
Klicka på Importera på Arkiv-menyn och välj den enhet, mapp eller nätverksdator och mapp där registerdatafilen finns.
I Filer av typen klickar du på Registret registerdatafiler och väljer korrekt filnamn för registerdatafilen.
Klicka på Öppna. Klicka på OK när ett meddelande visas som anger att registerdatafilen har importerats.
Återställ en certifikatutfärdare (CA) från en säkerhetskopia
Obs! För att slutföra den här proceduren måste du ha skapat en säkerhetskopia av din certifikatutfärdare (CA) inklusive registerinställningar, privata nyckel och CA-certifikat, certifikatdatabas och databaslogg.
Återställa en certifikatutfärdare (CA):
Om du var tvungen att installera Windows på nytt tillämpar du alla aktuella Service Pack innan certifikatutfärdaren (CA) återställs och installerar sedan Active Directory-certifikattjänster (AD CS) på nytt.
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Högerklicka på namnet för certifikatutfärdaren (CA) och klicka på Stopp.
Följ tidigare procedur och importera registerdatafilerna för certifikatutfärdaren (CA).
Högerklicka på namnet för certifikatutfärdaren (CA) i snapin-modulen för certifikatutfärdare, klicka på Alla uppgifter och klicka sedan på Återställ certifikatutfärdaren (CA).
När Guiden Återställ certifikatutfärdare startar klickar du på Nästa och sedan på Privat nyckel och CA-certifikat.
Klicka på Certifikatdatabas och certifikatdatabaslogg.
Skriv sökvägen till säkerhetskopiemappen och klicka på Nästa.
Verifiera inställningarna för säkerhetskopiering. Inställningarna för Utgiven logg och väntande begäranden ska visas.
Klicka på Slutför och sedan på Ja för att starta om AD CS.
Skapa en felsökningslogg för certifikatutfärdaren
Skapa en felsökningslogg:
Klicka på Start på datorn som kör certifikatutfärdaren, skriv cmd och tryck på RETUR.
Skriv certutil -setreg ca\debug 0xffffffe3 och tryck på RETUR.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Markera tjänsten för Active Directory-certifikattjänster och klicka på Starta.
När du har återskapat problemet letar du rätt på filen certsrv.log som innehåller avancerad diagnostikinformation i katalogen %windir%.
När du har genererat klart diagnostiken öppnar du ett kommandotolksfönster, skriver certutil -delreg ca\debug och trycker på RETUR för att inaktivera felsökningen.
Bekräfta registerinställningarna för certifikatutfärdaren (CA):
När du har utfört alla ändringar för certifikatufärdarens registerinställningar klickar du på Start, pekar på Administrationsverktyg och klickar på Certifikatutfärdare.
Välj namnet för certifikatutfärdaren (CA) och klicka påStarta om.
Klicka på Start, skriv cmd och tryck på RETUR.
Skriv certutil -getreg ca\security och tryck på RETUR.
Om det inte finns några fler skadade inställningar visas texten -getreg-kommandot har slutförts
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>