Règle de collecte pour événement avec autorité de certification de source et ID 44

Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.44 (Rule)

Une erreur s'est produite sur le module de stratégie.

Knowledge Base article:

Résumé

Le module de stratégie contient l'ensemble des règles gouvernant l'émission, le renouvellement et la révocation des certificats. Cette stratégie est fondée sur des valeurs codées en dur, des paramètres de Registre et, si vous utilisez une autorité de certification d'entreprise, sur des modèles de certificats. Le module de stratégie détermine si une demande de certificat est approuvée, rejetée ou marquée comme étant en attente pour qu'un administrateur l'approuve ou la rejette. Les problèmes détectés avec un module de stratégie peuvent entraîner l'échec du démarrage ou l'arrêt du fonctionnement d'une autorité de certification.

Résolutions

Traiter les erreurs de traitement du module de stratégie

Pour savoir comment corriger cette erreur, examinez le code d’erreur figurant dans le message du journal des événements.

Le message du journal des événements peut inclure les codes suivants :

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT

Si ces messages d'erreurs ne contiennent pas d'informations spécifiques, vérifiez et résolvez des erreurs supplémentaires précédant ou suivant cette erreur.

Si les avertissements ne peuvent pas être résolus en traitant des symptômes associés et qu'un module de stratégie pose un problème :

Pour un module de stratégie non Microsoft, contactez le fournisseur du module de stratégie pour obtenir de l'aide.
Pour un module de stratégie Microsoft, contactez les services du support technique de Microsoft. Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkId=89446.

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

Ce code d'erreur indique que l'autorité de certification n'a pas pu se connecter aux services de domaine Active Directory ou qu'elle n'a pas pu trouver les informations Active Directory requises. Un échec de connexion à un contrôleur de domaine est normalement dû à un problème de connectivité réseau ou à un problème d'autorisations.

Pour vérifier et corriger des problèmes de connectivité potentiels :

Vérifiez qu'AD DS fonctionne en confirmant que les services Active Directory sont exécutés sur chaque contrôleur de domaine. Pour plus d'informations sur l'analyse Active Directory, voir le pack d'administration Active Directory pour MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Utilisez les outils de diagnostic réseau tels que les outils en ligne de commande Ping et Nltest pour vérifier le statut de la connexion réseau de l'autorité de certification à AD DS.
Utilisez la procédure Confirmer les autorisations pour des conteneurs et objets AD DS essentiels ci-dessous pour confirmer que l'autorité de certification a les autorisations adéquates pour des objets et conteneurs dans AD DS.

MSG_NO_CERT_TYPES

Ce code d'erreur indique que l'autorité de certification a cherche une liste de modèles de certificats dans le conteneur de modèles de certificats d'AD DS mais que soit elle n'a pas trouvé la liste, soit la liste était vide.

Pour vérifier des problèmes de modèles de certificats potentiels et y remédier :

Utilisez la procédure Confirmer la configuration de modèles de certificats et leur disponibilité pour vérifier les autorisations et autres paramètres du modèle de certificat ajouté à l'autorité de certification.

MSG_DOMAIN_INIT

Ce code d'erreur indique que l'autorité de certification n'a pas pu se connecter à AD DS. Cet échec peut résulter d'un problème de connectivité réseau ou, plus vraisemblablement, d'un problème d'autorisations.

Pour vérifier des problèmes DOMAIN_INIT et y remédier :

Utilisez les outils de diagnostic réseau tels que les outils en ligne de commande Ping et Nltest pour vérifier le statut de la connexion réseau de l'autorité de certification à AD DS.
Utilisez la procédure Confirmer les autorisations pour des conteneurs et objets AD DS essentiels ci-dessous pour confirmer que l'autorité de certification a les autorisations adéquates pour des objets et conteneurs dans AD DS.

Pour effectuer ces procédures, vous devez avoir une autorisation de Gérer l'autorité de certification ou l’autorité appropriée doit vous avoir été déléguée.

Confirmer la configuration de modèles de certificats et leur disponibilité

Pour confirmer la configuration de modèles de certificats et leur disponibilité :

Cliquez sur Démarrer, entrez certtmpl.msc puis appuyez sur ENTRÉE.
Sélectionnez le modèle de certificat associé à l'erreur.
Corrigez les autorisations de sécurité ou autres problèmes de configuration pouvant empêcher une autorité de certification d'émettre des certificats basés sur le modèle de certificat et cliquez sur OK.
Ouvrez le composant logiciel enfichable Autorité de certification et double-cliquez sur le nom de l'autorité de certification.
Cliquez avec le bouton droit sur Modèles de certificats, puis sur Modèle de certificat à délivrer.
Sélectionnez le modèle de certificat et cliquez sur OK

Confirmer des autorisations sur des conteneurs et objets AD DS essentiels

Pour confirmer que l'autorité de certification a eu besoin d'autorisations sur des conteneurs AD DS et sur des objets se trouvant à l'intérieur de ces conteneurs :

Sur un contrôleur de domaine, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Sites et services Active Directory.
Cliquez sur Sites et services Active Directory [nom de domaine].
Dans le menu Affichage, cliquez sur Afficher le nœud des services.
Double-cliquez sur Services, double-cliquez sur Public Key Services et cliquez avec le bouton droit sur chaque conteneur répertorié ci-dessous sous sur les objets répertoriés à l'intérieur du conteneur, puis cliquez sur Propriétés.
Sous l'onglet Sécurité, confirmer les autorisations requises.

Les autorisations ci-dessous sont toutes des autorisations Active Directory requises par un ordinateur hébergeant une autorité de certification. Certaines de ces autorisations sont obtenues via l'adhésion au groupe Éditeurs de certificats

Conteneur des services d'inscription. L'ordinateur d'autorité de certification a un accès en lecture et en écriture à son propre objet.
Conteneur AIA. Le groupe Éditeurs de certificats a un accès avec contrôle total au conteneur AIA et l'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet à l'intérieur du conteneur AIA.
Conteneur CDP. Le groupe Éditeurs de certificats a un accès avec contrôle total à chaque conteneur d'autorité de certification sous le conteneur CDP, et l'ordinateur d'autorité de certification a un accès avec contrôle total à chaque objet de liste de révocation de certificats dans son propre conteneur.
Conteneur d'autorité de certification. Le groupe Éditeurs de certificats a un accès avec contrôle total aux objets se trouvant à l'intérieur du conteneur.
Conteneur de modèles de certificats. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont accès avec contrôle total ou accès en lecture et en écriture à ce conteneur et à la plupart des objets qu'il contient.
Conteneur KRA. L'ordinateur d'autorité de certification a un accès avec contrôle total à son propre objet.
Conteneur OID. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture à ce conteneur et aux objets qu'il contient.
Objet NTAuthCertificates. Les groupes Administrateurs de l’entreprise et Administrateurs de domaine (pas l'ordinateur d'autorité de certification) ont un accès avec contrôle total ou un accès en lecture et en écriture.
Ordinateurs du domaine et conteneurs d'utilisateurs du domaine. Le groupe Éditeurs de certificats a des autorisations de lecture et d'écriture sur la propriété userCertificate de chaque objet utilisateur et ordinateur dans la forêt où les AD CS sont déployés.

Informations complémentaires

Pour confirmer que le module de stratégie est opérationnel :

Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Cliquez avec le bouton droit sur le service Services de certificats Active Directory (AD CS), puis sur Redémarrer.
Ouvrez le journal des événements et confirmez qu'il ne contient pas d'erreurs concernant le module de stratégie.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.2

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Traitement du module de stratégie AD CS

Description de l'événement : {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.44" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">44</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>