Pravidlo kolekce pro událost se zdrojem OnlineResponder a ID 18

Souhrn

Stav a funkce služby Online respondér společnosti Microsoft závisí na řadě funkcí a komponent včetně schopnosti včasného přístupu k údajům o odvolání certifikátů, platnosti certifikátu a řetězu certifikační autority (CA) a celkové reakce a dostupnosti systému.

Řešení

Zkontrolujte, zda verze rozdílového seznamu odvolaných certifikátů odpovídá verzi základního seznamu odvolaných certifikátů

Rozdílový seznam odvolaných certifikátů (CRL) lze použít pouze s odpovídajícím základním seznamem CRL. Postup kontroly, zda verze rozdílového seznamu odvolaných certifikátů odpovídá verzi základního seznamu odvolaných certifikátů:

• Zkontrolujte chyby publikování seznamu CRL na certifikační autoritě (CA).

• Znovu publikujte základní a rozdílový seznam odvolaných certifikátů.

• Zkontrolujte a aktualizujte místní seznamy odvolaných certifikátů na počítači se službou Online respondér.

• Obnovte a aktualizujte informace o odvolání ve službě Online respondér.

• Zkontrolujte, zda nakonfigurovaná distribuční místa seznamu odvolaných certifikátů v certifikační autoritě využívají stejné umístění jako služba Online respondér.

• Aktualizujte informace o odvolání.

• Pokud problém přetrvává, pomocí diagnostiky CryptoAPI 2.0 získejte dodatečné informace o problému.

Abyste mohli provést tyto postupy, musíte být členem místní skupiny Správci na počítači hostujícím službu Online respondér a musíte mít oprávnění ke správě certifikační autority na počítači hostujícím certifikační autoritu, nebo musíte mít přiděleno příslušné oprávnění.

Zkontrolujte chyby publikování seznamu odvolaných certifikátů na certifikační autoritě (CA)

Postup kontroly chyb publikování seznamu CRL na certifikační autoritě:

• Na certifikační autoritě klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Prohlížeč událostí.

• Vyhledejte další chyby nebo upozornění týkající se publikování seznamu odvolaných certifikátů. Další informace viz http://go.microsoft.com/fwlink/?LinkId=102985.

• Vyřešte jakékoli zjištěné problémy a znovu publikujte základní i rozdílový seznam odvolaných certifikátů.

Opětovné publikování základního a rozdílového seznamu odvolaných certifikátů

Postup opětovného publikování základního a rozdílového seznamu odvolaných certifikátů:

• Otevřete okno příkazového řádku na certifikační autoritě.

• Zadejte příkaz certutil -crl a stiskněte klávesu ENTER.

• Zkontrolujte, zda nejsou zaprotokolovány žádné další chyby nebo události.

Zkontrolujte a aktualizujte místní seznamy odvolaných certifikátů na počítači se službou Online respondér

Postup kontroly dostupnosti aktuálního základního a rozdílového seznamu odvolaných certifikátů ve službě Online respondér:

• Na počítači hostujícím službu Online respondér klikněte na tlačítko Start, zadejte příkaz mmc a stiskněte klávesu ENTER.

• Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.

• V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.

• Klikněte na možnost Účet služby a poté klikněte na Další.

• V položce Vybrat službu klikněte na službu Online Respondér, klikněte na Dokončit a poté na tlačítko OK. 

• Vyberte složku seznamu odvolaných certifikátů pro kontejnery Zprostředkující certifikační autority nebo Důvěryhodné kořenové certifikační autority v závislosti na typu certifikační autority podporující službu Online respondér.

• Zkontrolujte číslo základního seznamu odvolaných certifikátů uvedené v rozšíření Indikátor rozdílového seznamu CRL.  Toto číslo by mělo odkazovat na číslo verze publikovaného základního seznamu odvolaných certifikátů. 

• Pokud toto číslo neodpovídá číslu verze publikovaného základního seznamu odvolaných certifikátů, otevřete okno příkazového řádku na certifikační autoritě a provedením příkazu certutil -crl znovu publikujte základní a rozdílový seznam odvolaných certifikátů.

• Načtěte aktualizované údaje seznamu odvolaných certifikátů do služby Online respondér. To provedete tak, že restartujete službu Online respondér na každém členu pole, nebo kliknete pravým tlačítkem na možnost Konfigurace pole v modulu snap-in Online Respondér a kliknete na Obnovit data o odvolání. Poté zkontrolujte, zda jsou čísla verze základního a rozdílového seznamu odvolaných certifikátů totožné.

Zkontrolujte, zda nakonfigurovaná distribuční místa seznamu odvolaných certifikátů v certifikační autoritě využívají stejné umístění jako služba Online respondér

Postup kontroly, nakonfigurovaná distribuční místa seznamu odvolaných certifikátů v certifikační autoritě využívají stejné umístění jako služba Online respondér:

• Ve službě Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.

• Ve stromu konzoly vyberte uzel konfigurace odvolání. 

• V podokně podrobností klikněte pravým tlačítkem na konfiguraci odvolání uvedenou v popisu události a klikněte na Upravit vlastnosti.

• Klikněte na kartu Zprostředkovatel odvolání a klikněte na Zprostředkovatel. Zaznamenejte si adresy URL nakonfigurované v základním a rozdílovém seznamu odvolaných certifikátů. 

• Zkontrolujte, zda má počítač se službou Online respondér přístup k těmto umístěním.

• Otevřete modul snap-in Certifikační autorita, klikněte pravým tlačítkem na název certifikační autority a klikněte na Vlastnosti.

• Na kartě Rozšíření vyberte rozšíření Distribuční místo seznamu CRL, zaznamenejte si uvedené adresy URL a zkontrolujte, zda adresy URL obou počítačů využívají stejné umístění.

Aktualizujte informace o odvolání

Informace o odvolání je možné aktualizovat načtením aktualizovaného seznamu odvolaných certifikátů. Aktualizovaný seznam odvolaných certifikátů lze načíst:

• Pomocí konzoly modulu snap-in služeb restartujte službu Online respondér.

• Pomocí modulu snap-in Online respondér obnovte data o odvolání a zkontrolujte, zda se chyba neobjeví znovu

Aktualizace informací o odvolání pro službu Online respondér pomocí konzoly snap-in služeb:

• Ve službě Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.

• Klikněte na Služba Online respondér a klikněte na Restartovat.

Postup aktualizace informací o odvolání pro službu Online respondér pomocí modulu snap-in Online respondér:

• Na počítači hostujícím službu Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.

• Klikněte pravým tlačítkem na Konfigurace pole a klikněte na Obnovit data o odvolání.

• Zkontrolujte, zda nejsou hlášeny další chyby.

• Klikněte na uzel Online respondéru a zkontrolujte, zda je konfigurace odvolání ve stavu Pracuje.

• V položce Konfigurace pole vyberte počítač Online respondéru, který zaprotokoloval chybu, a poté klikněte na konfiguraci odvolání uvedenou v chybě.

• V podokně podrobností se podívejte na panel Stav konfigurace odvolání a zjistěte stav podpisového certifikátu a zprostředkovatele odvolání.

• Zkontrolujte, zda nejsou hlášeny další chyby.

Povolte diagnostiku CryptoAPI 2.0

Postup povolení diagnostiky CryptoAPI 2.0:

• Ve službě Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Prohlížeč událostí.

• Ve stromu konzoly rozbalte položku Prohlížeč událostí, Protokoly aplikací a služeb, Microsoft, Windows a CAPI2.

• Klikněte pravým tlačítkem na položku Funkční a klikněte na Povolit protokol.

• Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.

• Klikněte pravým tlačítkem na službu AD CS (Active Directory Certificate Services) a na Restartovat.

V závislosti na výsledcích výše uvedených postupů a po aktivaci diagnostiky CryptoAPI 2.0 zkontrolujte, zda certifikační autorita správně publikuje seznamy odvolaných certifikátů a zda jsou tyto seznamy dostupné službě Online respondér.