Der Online-Responder-Dienst konnte nicht auf eine Zertifikatsperrliste zugreifen.
Der Status und die Funktionsweise des Microsoft Online-Responder-Diensts weisen Abhängigkeiten zu zahlreichen Funktionen und Komponenten auf, einschließlich der Möglichkeit für den Zugriff auf zeitgerechte Zertifikatsperrdaten, der Gültigkeit des Zertifikats und der Kette der Zertifizierungsstelle und der Gesamtsystemantwort und -verfügbarkeit.
Zugriff auf aktuelle Zertifikatsperrlisten aktivieren
So beheben Sie dieses Problem
Prüfen Sie auf der Zertifizierungsstelle auf Fehler bei der Veröffentlichung von Zertifikatsperrlisten.
Wenn bei der letzten Veröffentlichung ein Problem aufgetreten ist, veröffentlichen Sie die letzten Basis- und Deltasperrlisten erneut.
Bestätigen Sie, dass die für die Sperrkonfiguration konfigurierten URLs gültig sind.
Aktualisieren Sie die Informationen der Sperrkonfiguration.
Wenn der Fehler weiterhin auftritt, aktivieren Sie die CryptoAPI 2.0-Diagnose, um weitere Informationen zu erhalten.
Zum Ausführen dieser Verfahren müssen Sie auf dem Computer, der den Online-Responder hostet, Mitglied der lokalen Administratoren sein. Außerdem müssen Sie auf dem Computer, der die Zertifizierungsstelle hostet, über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Zertifizierungsstelle auf Fehler bei der Sperrlistenveröffentlichung überprüfen
So überprüfen Sie die Zertifizierungsstelle auf Fehler bei der Sperrlistenveröffentlichung:
Klicken Sie auf der Zertifizierungsstelle auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Ereignisanzeige".
Prüfen Sie auf weitere Fehlermeldungen oder Warnungen, die sich auf die Veröffentlichung der Sperrliste beziehen. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=102985.
Beheben Sie alle erkannten Probleme, und veröffentlichen Sie sowohl die Basis- als auch die Deltasperrlisten erneut.
Basis- und Deltasperrlisten erneut veröffentlichen
So veröffentlichen Sie Basis- und Deltasperrlisten erneut:
Öffnen Sie ein Eingabeaufforderungsfenster auf der Zertifizierungsstelle.
Geben Sie "certutil -crl" ein, und drücken Sie die EINGABETASTE.
Bestätigen Sie, dass keine weiteren Fehlermeldungen protokolliert werden.
Gültigkeit der für Verteilungspunkte der Basis- und Deltasperrlisten konfigurierten URLs bestätigen
So bestätigen Sie die Gültigkeit der für die Verteilungspunkte der Basis- und Deltasperrlisten konfigurierten URLs:
Klicken Sie auf dem Computer, der den Online-Responder hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Online-Responder".
Wählen Sie den Sperrkonfigurationsknoten aus.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die in der Fehlermeldungsbeschreibung angegebene Sperrkonfiguration, und klicken Sie dann auf "Eigenschaften bearbeiten".
Klicken Sie auf die Registerkarte "Sperranbieter" und dann auf "Anbieter".
Notieren Sie die für "Basissperrlisten" und "Deltasperrlisten" konfigurierten URLs.
Bestätigen Sie, dass der Computer, der den Online-Responder ausführt, auf diese URLs zugreifen kann. Bestätigen Sie außerdem, dass diese URLs gültige Sperrlistendateien enthalten, die von der Zertifizierungsstelle veröffentlicht wurden.
Sie können die URLs auch mit dem Snap-In "Zertifizierungsstelle" prüfen, für die die Zertifizierungsstelle Basis- und Deltasperrlisten veröffentlicht.
Beziehung von Sperrlisten-Verteilungspunkten zur Zertifizierungsstelle bestätigen
So bestätigen Sie die Beziehung von Sperrlisten-Verteilungspunkten zu einer Zertifizierungsstelle:
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie auf die Registerkarte "Erweiterungen", und notieren Sie sich die URLs, die für die Erweiterung "Sperrlisten-Verteilungspunkt" eingegeben wurden. Notieren Sie sich die URLs, für die die Optionen "Sperrlisten an diesem Ort veröffentlichen" und "Deltasperrlisten an diesem Ort veröffentlichen" aktiviert sind.
Bestätigen Sie, dass dies dieselben Netzwerkumgebungen sind, die als Basis- und Deltasperrlisten im Snap-In "Online-Responder" konfiguriert sind.
Überprüfen Sie auf dem Computer, auf dem die Basissperrliste veröffentlicht wird, die Erweiterung Aktuellste Sperrliste für die Basissperrliste. Bestätigen Sie, dass hier ein Speicherort angegeben ist, an dem die Deltasperrliste zu finden ist.
Veröffentlichen Sie die aktuelle Zertifikatsperrliste bei Bedarf erneut, indem Sie ein Eingabeaufforderungsfenster auf der Zertifizierungsstelle öffnen und den folgenden Befehl ausführen: "certutil -crl".
Bestätigen Sie anschließend, dass der Online-Responder auf die Zertifikatsperrliste zugreifen kann. Öffnen Sie dazu das Snap-In "Online-Responder", klicken Sie mit der rechten Maustaste auf "Arraykonfiguration", und klicken Sie dann auf "Sperrungsdaten aktualisieren".
Sperrinformationen aktualisieren
Sie können Sperrinformationen aktualisieren, indem Sie eine aktualisierte Sperrliste abrufen. Aktualisierte Sperrlisten können wie folgt abgerufen werden:
Mithilfe der Snap-In-Konsole "Dienste", um den Online-Responder-Dienst neu zu starten.
Mithilfe des Snap-Ins "Online-Responder", um die Sperrungsdaten zu aktualisieren und zu bestätigen, dass der Fehler nicht angezeigt wird.
So aktualisieren Sie Sperrinformationen für einen Online-Responder mithilfe der Snap-In-Konsole "Dienste"
Klicken Sie auf dem Online-Responder auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Dienste".
Klicken Sie auf "Online-Responder-Dienste", und klicken Sie dann auf "Neu starten".
So aktualisieren Sie Sperrinformationen für einen Online-Responder mithilfe des Snap-Ins "Online-Responder"
Klicken Sie auf dem Computer, der den Online-Responder hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Online-Responder".
Klicken Sie mit der rechten Maustaste auf "Arraykonfiguration", und klicken Sie dann auf "Sperrungsdaten aktualisieren".
Bestätigen Sie, dass keine weiteren Fehler gemeldet wurden.
Klicken Sie auf den Online-Responder-Knoten und bestätigen Sie, dass die Sperrkonfiguration als "Wird ausgeführt" aufgelistet wird.
Wählen Sie unter "Arraykonfiguration" den Online-Responder-Computer aus, der den Fehler protokolliert hat, und klicken Sie dann auf die im Fehler angegebene Sperrkonfiguration.
Zeigen Sie unter dem Detailbereich den Bereich "Sperrkonfigurationsstatus" für den Status des signierenden Zertifikats sowie den Sperranbieter an.
Bestätigen Sie, dass keine weiteren Fehler gemeldet wurden.
CryptoAPI 2.0-Diagnose aktivieren
So aktivieren Sie die CryptoAPI 2.0-Diagnose:
Klicken Sie auf dem Online-Responder auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Ereignisanzeige".
In der Konsolenstruktur erweitern Sie "Ereignisanzeige", "Anwendungs- und Dienstprotokolle", "Microsoft", "Windows" und "CAPI2".
Klicken Sie mit der rechten Maustaste auf "Betriebsbereit", und klicken Sie dann auf "Protokoll aktivieren".
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Dienste".
Klicken Sie mit der rechten Maustaste auf "Active Directory-Zertifikatsdienste", und klicken Sie dann auf "Neu starten".
Stellen Sie in Abhängigkeit von den Ergebnissen der obigen Verfahren und der Aktivierung der CryptoAPI 2.0-Diagnose sicher, dass die Zertifizierungsstelle die Zertifikatsperrlisten ordnungsgemäß veröffentlicht. Stellen Sie außerdem sicher, dass die Sperrlisten für den Online-Responder-Dienst zur Verfügung stehen.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.17" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>