CertificationAuthority kaynağına ve 95 kimliğine sahip olay için Toplama Kuralı

Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95 (Rule)

Sertifika Hizmetleri başlatılamadı: güvenlik izinleri bozuldu.

Knowledge Base article:

Özet

Active Directory Sertifika Hizmetleri (AD CS), kritik yapılandırma ayarlarını kayıt defterine kaydeder ve bu bilgilerin bozulması veya silinmesi durumunda başlatılmayabilir veya doğru şekilde çalışmayabilir.

Çözümler

Sertifika yetkilisi güvenlik izinlerini düzeltin

Gerekli güvenlik izinlerine yönelik bilgiler, kayıt defterinde depolanır ve sertifika yetkilisinin (CA) doğru şekilde çalışması için gereklidir.

Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.

Güvenlik izin sorunlarını çözmek için:

Güvenlik tanımlayıcılarının bozulduğunu onaylayın.
Kayıt defterinin yedeklemesine sahipseniz, kayıt defteri ayarlarını yedeklemeden geri yükleyin.
CA'nın yedeklemesine sahipseniz, CA'yı yedeklemeden geri yükleyebilirsiniz.
Geri yükleme yordamı başarısız olursa, bir CA hata ayıklama günlüğü oluşturun ve Microsoft Müşteri Hizmetleri ve Desteği'ne başvurun. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=89446.

Güvenlik tanımlayıcılarının bozulduğunu onaylayın

CA güvenlik tanımlayıcılarının bozulduğunu onaylamak için:

Bir komut istemi penceresi açın.
certutil -getreg ca\security yazın ve ENTER tuşuna basın.

CA kayıt defteri ayarlarını geri yükleyin

Dikkat: Kayıt defterini yanlış şekilde düzenlemek sisteminize önemli ölçüde hasar verebilir. Kayıt defterinde değişiklik yapmadan önce değerli verilerinizin yedeğini almanız gerekir.

Kayıt defteri ayarlarını bir kovan dosyasından geri yüklemek için:

CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, regedit yazın ve sonra ENTER tuşuna basın.
Kovanı geri yüklemek istediğiniz anahtarları seçin.
Dosya menüsünde, İçe Aktar'a tıklayın ve sonra kovanın bulunduğu sürücüyü, klasörü veya ağ bilgisayarını ve klasörü seçin.
Dosya türü alanında, Kayıt Defteri Kovan Dosyaları'na tıklayın ve kovan için doğru dosya adını seçin.
Aç'a tıklayın. Kovanın başarıyla içe aktarıldığını belirten bir ileti göründüğünde Tamam'a tıklayın.

CA'yı yedeklemeden geri yükleyin

Not: Bu yordamı tamamlamak için, hata öncesinde kayıt defteri ayarlarını, özel anahtar ve CA sertifikasını, sertifika veritabanını ve veritabanı günlüğünü de içerecek şekilde CA'nızın bir yedeklemesini oluşturmuş olmanız gerekir.

CA'yı geri yüklemek için:

Windows'u yeniden yüklemeniz gerektiyse, CA'yı geri yüklemeden önce tüm geçerli servis paketlerini ve güvenlik güncelleştirmelerini uygulayın ve Active Directory Sertifika Hizmetleri'ni (AD CS) yeniden yükleyin.
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Durdur'a tıklayın.
Önceki yordamı kullanarak CA'ya yönelik kayıt defteri kovanını içe aktarın.
Sertifika Yetkilisi ek bileşeninde, CA adına sağ tıklayın, Tüm Görevler'e tıklayın ve sonra CA'yı Geri Yükle'ye tıklayın.
Sertifika Yetkilisi Geri Yükleme Sihirbazı başlatıldığında, İleri'ye tıklayın ve sonra Özel anahtar ve CA sertifikası öğesine tıklayın.
Sertifika veritabanı ve sertifika veritabanı günlüğüne tıklayın.
Yedekleme klasörünün konumunu yazın ve sonra İleri'ye tıklayın.
Yedekleme ayarlarını doğrulayın. Günlük ve Bekleyen İstekler Verildi ayarlarının görüntülenmesi gerekir.
Son'a tıklayın ve sonra AD CS'yi yeniden başlatmak için Evet'e tıklayın.

CA hata ayıklama günlüğü oluşturun

Hata ayıklama günlüğü oluşturmak için:

CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -setreg ca\debug 0xffffffe3 yazın ve ENTER tuşuna basın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri hizmetini seçin ve Başlat'a tıklayın.
Sorunu yeniden ürettiğinizde, %windir% dizininde gelişmiş tanılama bilgilerini içeren certsrv.log dosyasını bulun.
Tanılama oluşturmayı tamamladığınızda, hata ayıklamayı devre dışı bırakmak için bir komut istemi penceresi açın, certutil -delreg ca\debug yazın ve ENTER tuşuna basın.

Ek

Sertifika yetkilisi (CA) kayıt defteri ayarlarını onaylamak için:

CA için kayıt defteri ayarlarında değişiklik yapmayı tamamladığınızda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA adını seçin ve Yeniden Başlat'a tıklayın.
Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -getreg ca\security yazın ve ENTER tuşuna basın.
Bozuk ayarlar ortadan kalktıysa,-getreg komutu başarıyla tamamlandı metni görünür.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.2016

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

AD CS Kayıt Defteri Ayarları - Geçersiz izin durumu

Olay Açıklaması: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">95</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>