Sertifika Hizmetleri başlatılamadı: güvenlik izinleri bozuldu.
Active Directory Sertifika Hizmetleri (AD CS), kritik yapılandırma ayarlarını kayıt defterine kaydeder ve bu bilgilerin bozulması veya silinmesi durumunda başlatılmayabilir veya doğru şekilde çalışmayabilir.
Sertifika yetkilisi güvenlik izinlerini düzeltin
Gerekli güvenlik izinlerine yönelik bilgiler, kayıt defterinde depolanır ve sertifika yetkilisinin (CA) doğru şekilde çalışması için gereklidir.
Bu yordamları gerçekleştirmek için CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
Güvenlik izin sorunlarını çözmek için:
Güvenlik tanımlayıcılarının bozulduğunu onaylayın.
Kayıt defterinin yedeklemesine sahipseniz, kayıt defteri ayarlarını yedeklemeden geri yükleyin.
CA'nın yedeklemesine sahipseniz, CA'yı yedeklemeden geri yükleyebilirsiniz.
Geri yükleme yordamı başarısız olursa, bir CA hata ayıklama günlüğü oluşturun ve Microsoft Müşteri Hizmetleri ve Desteği'ne başvurun. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=89446.
Güvenlik tanımlayıcılarının bozulduğunu onaylayın
CA güvenlik tanımlayıcılarının bozulduğunu onaylamak için:
Bir komut istemi penceresi açın.
certutil -getreg ca\security yazın ve ENTER tuşuna basın.
CA kayıt defteri ayarlarını geri yükleyin
Dikkat: Kayıt defterini yanlış şekilde düzenlemek sisteminize önemli ölçüde hasar verebilir. Kayıt defterinde değişiklik yapmadan önce değerli verilerinizin yedeğini almanız gerekir.
Kayıt defteri ayarlarını bir kovan dosyasından geri yüklemek için:
CA'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, regedit yazın ve sonra ENTER tuşuna basın.
Kovanı geri yüklemek istediğiniz anahtarları seçin.
Dosya menüsünde, İçe Aktar'a tıklayın ve sonra kovanın bulunduğu sürücüyü, klasörü veya ağ bilgisayarını ve klasörü seçin.
Dosya türü alanında, Kayıt Defteri Kovan Dosyaları'na tıklayın ve kovan için doğru dosya adını seçin.
Aç'a tıklayın. Kovanın başarıyla içe aktarıldığını belirten bir ileti göründüğünde Tamam'a tıklayın.
CA'yı yedeklemeden geri yükleyin
Not: Bu yordamı tamamlamak için, hata öncesinde kayıt defteri ayarlarını, özel anahtar ve CA sertifikasını, sertifika veritabanını ve veritabanı günlüğünü de içerecek şekilde CA'nızın bir yedeklemesini oluşturmuş olmanız gerekir.
CA'yı geri yüklemek için:
Windows'u yeniden yüklemeniz gerektiyse, CA'yı geri yüklemeden önce tüm geçerli servis paketlerini ve güvenlik güncelleştirmelerini uygulayın ve Active Directory Sertifika Hizmetleri'ni (AD CS) yeniden yükleyin.
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA'nın adına sağ tıklayın ve Durdur'a tıklayın.
Önceki yordamı kullanarak CA'ya yönelik kayıt defteri kovanını içe aktarın.
Sertifika Yetkilisi ek bileşeninde, CA adına sağ tıklayın, Tüm Görevler'e tıklayın ve sonra CA'yı Geri Yükle'ye tıklayın.
Sertifika Yetkilisi Geri Yükleme Sihirbazı başlatıldığında, İleri'ye tıklayın ve sonra Özel anahtar ve CA sertifikası öğesine tıklayın.
Sertifika veritabanı ve sertifika veritabanı günlüğüne tıklayın.
Yedekleme klasörünün konumunu yazın ve sonra İleri'ye tıklayın.
Yedekleme ayarlarını doğrulayın. Günlük ve Bekleyen İstekler Verildi ayarlarının görüntülenmesi gerekir.
Son'a tıklayın ve sonra AD CS'yi yeniden başlatmak için Evet'e tıklayın.
CA hata ayıklama günlüğü oluşturun
Hata ayıklama günlüğü oluşturmak için:
CA'yı barındıran bilgisayar üzerinde Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -setreg ca\debug 0xffffffe3 yazın ve ENTER tuşuna basın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri hizmetini seçin ve Başlat'a tıklayın.
Sorunu yeniden ürettiğinizde, %windir% dizininde gelişmiş tanılama bilgilerini içeren certsrv.log dosyasını bulun.
Tanılama oluşturmayı tamamladığınızda, hata ayıklamayı devre dışı bırakmak için bir komut istemi penceresi açın, certutil -delreg ca\debug yazın ve ENTER tuşuna basın.
Sertifika yetkilisi (CA) kayıt defteri ayarlarını onaylamak için:
CA için kayıt defteri ayarlarında değişiklik yapmayı tamamladığınızda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
CA adını seçin ve Yeniden Başlat'a tıklayın.
Başlat'a tıklayın, cmd yazın ve ENTER tuşuna basın.
certutil -getreg ca\security yazın ve ENTER tuşuna basın.
Bozuk ayarlar ortadan kalktıysa,-getreg komutu başarıyla tamamlandı metni görünür.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>