Certifikační služba nebyla spuštěna: oprávnění zabezpečení byla poškozena.
Služba AD CS (Active Directory Certificate Services) zaznamenává důležitá nastavení konfigurace do registru a nemusí se spustit nebo řádně pracovat, pokud dojde k poškození nebo odstranění těchto informací.
Opravte oprávnění zabezpečení certifikační autority
Informace o důležitých oprávněních zabezpečení jsou uloženy v registru a jsou nutné k zajištění řádné funkce certifikační autority (CA).
Abyste mohli provést tyto postupy, musíte mít oprávnění pro správu certifikační autority, nebo musíte mít přiděleno příslušné oprávnění.
Postup řešení problémů s oprávněními:
Zkontrolujte, zda nedošlo k poškození popisovačů zabezpečení.
Máte-li k dispozici zálohu registru, obnovte nastavení registru ze zálohy.
Máte-li k dispozici zálohu certifikační autority, obnovte nastavení certifikační autority ze zálohy.
Pokud se postup obnovy nezdaří, vytvořte protokol ladění certifikační autority a obraťte se na oddělení služeb zákazníkům a zákaznické podpory společnosti Microsoft. Další informace viz http://go.microsoft.com/fwlink/?LinkId=89446.
Zkontrolujte poškození popisovače zabezpečení
Postup kontroly poškození popisovačů zabezpečení:
Otevřete okno příkazového řádku.
Zadejte příkaz certutil -getreg ca\security a stiskněte klávesu ENTER.
Obnovte nastavení certifikační autority v registru
Upozornění: Nesprávné úpravy registru mohou vážně poškodit počítač. Před provedením změn v registru byste měli zálohovat veškerá hodnotná data.
Postup obnovení nastavení registru ze souboru podregistru:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz regedit a stiskněte klávesu ENTER.
Vyberte klíče, do kterých chcete obnovit podregistr.
V nabídce Soubor klikněte na Import a vyberte jednotku, složku nebo síťový počítač a složku, ve které se nachází podregistr.
V seznamu Typ souborů klikněte na Soubory podregistru a vyberte správný název souboru podregistru.
Klikněte na Otevřít. Jakmile se zobrazí zpráva s informací, že byl podregistr úspěšně importován, klikněte na tlačítko OK.
Obnovení certifikační autority ze zálohy
Poznámka: Předpokladem tohoto postupu je, že jste před vznikem chyby vytvořili zálohu certifikační autority včetně nastavení registru, privátního klíče a certifikátu certifikační autority, databáze certifikátů a protokolu databáze.
Postup obnovení certifikační autority:
Pokud bylo nutné přeinstalovat systém Windows, před obnovením certifikační autority nainstalujte všechny aktuální aktualizace Service Pack a aktualizace zabezpečení a přeinstalujte službu AD CS (Active Directory Certificate Services).
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte pravým tlačítkem na název certifikační autority a klikněte na Zastavit.
Pomocí předcházejícího postupu importujte podregistr pro certifikační autoritu.
V modulu snap-in Certifikační autorita klikněte pravým tlačítkem na název certifikační autority, klikněte na Všechny úlohy a na Obnovit certifikační autoritu.
Po spuštění Průvodce obnovením certifikační autority klikněte na Další a poté na Privátní klíč a certifikát certifikační autority.
Klikněte na Databáze certifikátů a protokol databáze certifikátů.
Zadejte umístění složky se zálohou a klikněte na Další.
Ověřte nastavení zálohování. Měl by se zobrazit nastavení protokolu vystavených certifikátů a požadavků čekajících na vyřízení.
Kliknutím na Dokončit a poté na Ano restartujte službu AD CS.
Vytvoření protokolu ladění certifikační autority
Postup vytvoření protokolu ladění:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz cmd a stiskněte ENTER.
Zadejte příkaz -setreg ca\debug 0xffffffe3 a stiskněte klávesu ENTER.
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Vyberte službu AD CS (Active Directory Certificate Services) a klikněte na Spustit.
Po reprodukování problému vyhledejte v adresáři %windir% soubor certsrv.log, který obsahuje pokročilé diagnostické informace.
Po dokončení vytváření diagnostiky otevřete okno příkazového řádku a zadáním příkazu certutil -delreg ca\debug a stiskem klávesy ENTER vypněte ladění.
Postup kontroly nastavení certifikační autority (CA) v registru:
Po provedení jakýchkoli změn v nastavení registru pro certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel Nástroje pro správu a klikněte na Certifikační autorita.
Vyberte název certifikační autority a klikněte na Restartovat.
Klikněte na tlačítko Start, zadejte cmd a stiskněte klávesu ENTER.
Zadejte příkaz certutil -getreg ca\security a stiskněte klávesu ENTER.
Pokud nejsou poškozena žádná další nastavení, zobrazí se text příkaz -getreg byl úspěšně dokončen.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 95 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.95" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">95</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID28e38c0808c649d7b7063997775b7a66"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>