W module zasad wystąpił błąd.
Moduł zasad zawiera zestaw reguł dotyczących wystawiania, odnawiania i odwoływania certyfikatów. Zasady są tworzone na podstawie ustalonych wartości i ustawień rejestru, a jeśli jest używany urząd certyfikacji przedsiębiorstwa, także na podstawie szablonów certyfikatów. Moduł zasad określa, czy żądanie certyfikatu ma zostać zatwierdzone, odrzucone czy też oznaczone jako oczekujące na zatwierdzenie lub odrzucenie przez administratora. Wykrycie problemów z modułem zasad może spowodować niepowodzenie uruchomienia urzędu certyfikacji lub przerwanie jego pracy.
Naprawienie błędów przetwarzania modułu zasad
Aby ustalić sposób naprawienia tego błędu, zapoznaj się z kodem błędu podanym w komunikacie w dzienniku zdarzeń.
Komunikat w dzienniku zdarzeń może zawierać następujące kody:
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT
Jeśli te komunikaty o błędach nie zawierają żadnych konkretnych informacji, znajdź i usuń wszelkie dodatkowe błędy zgłoszone przed tym błędem lub bezpośrednio po nim.
Jeśli ostrzeżenia nie dają się usunąć pomimo usunięcia zgłaszanych objawów, a problem dotyczy modułu zasad:
W przypadku modułu zasad dostarczonego przez inną firmę niż Microsoft skontaktuj się z dostawcą modułu, aby uzyskać pomoc.
W przypadku modułu zasad dostarczonego przez firmę Microsoft skontaktuj się z działem obsługi klienta i pomocy technicznej firmy Microsoft. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=89446
MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
Ten kod błędu sygnalizuje, że urząd certyfikacji (CA) nie mógł nawiązać połączenia z Usługami domenowymi Active Directory lub znaleźć wymaganych informacji Active Directory. Niepowodzenie połączenia z kontrolerem domeny jest zazwyczaj spowodowane problemem z łącznością sieciową lub uprawnieniami.
Aby sprawdzić i rozwiązać potencjalne problemy z łącznością:
Upewnij się, że usługi AD DS są uruchomione, sprawdzając, czy na każdym kontrolerze domeny są uruchomione usługi Active Directory. Więcej informacji na temat monitorowania usług Active Directory zawiera dokumentacja pakietu administracyjnego usługi Active Directory dla programu MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Stan połączenia sieciowego między urzędem certyfikacji (CA) a usługami AD DS można sprawdzić za pomocą narzędzi diagnostyki sieci, na przykład narzędzi wiersza polecenia Ping i Nltest.
Poniższa procedura Potwierdzanie uprawnień dostępu do niezbędnych kontenerów i obiektów usług AD DS umożliwia sprawdzenie, czy urząd certyfikacji ma odpowiednie uprawnienia do obiektów i kontenerów usług AD DS.
MSG_NO_CERT_TYPES
Ten kod błędu sygnalizuje, że urząd certyfikacji szukał listy szablonów certyfikatów w kontenerze Szablony certyfikatów w usługach AD DS, ale nie znalazł listy lub była ona pusta.
Aby sprawdzić i rozwiązać potencjalne problemy z szablonami certyfikatów:
Korzystając z procedury Sprawdzenie konfiguracji i dostępności szablonów certyfikatów, sprawdź uprawnienia dostępu i inne ustawienia szablonu certyfikatu oraz upewnij się, że został on dodany do urzędu certyfikacji.
MSG_DOMAIN_INIT
Ten kod błędu sygnalizuje, że urząd certyfikacji nie mógł nawiązać połączenia z usługami AD DS. Niepowodzenie może być spowodowane problemem z łącznością sieciową lub (co bardziej prawdopodobne) problemem z uprawnieniami.
Aby sprawdzić i rozwiązać problemy DOMAIN_INIT:
Za pomocą narzędzi diagnostyki sieci, na przykład narzędzi wiersza poleceń Ping i Nltest, sprawdź stan połączenia sieciowego między urzędem certyfikacji a usługami AD DS.
Poniższa procedura Potwierdzanie uprawnień dostępu do niezbędnych kontenerów i obiektów usług AD DS umożliwia sprawdzenie, czy urząd certyfikacji ma odpowiednie uprawnienia do obiektów i kontenerów usług AD DS.
Aby wykonać te procedury, trzeba posiadać uprawnienie Zarządzaj urzędem certyfikacji lub otrzymać odpowiednie uprawnienia poprzez oddelegowanie.
Sprawdzanie konfiguracji i dostępności szablonów certyfikatów
Aby sprawdzić konfigurację i dostępność szablonu certyfikatu:
Kliknij przycisk Start, wpisz polecenie certtmpl.msc i naciśnij klawisz ENTER.
Wybierz szablon certyfikatu związany z błędem.
Skoryguj wszelkie problemy z uprawnieniami zabezpieczeń lub inne problemy konfiguracyjne, które mogą uniemożliwiać urzędowi certyfikacji wystawianie certyfikatów na podstawie danego szablonu certyfikatu, a następnie kliknij przycisk OK.
Otwórz przystawkę Urząd certyfikacji i dwukrotnie kliknij nazwę urzędu certyfikacji.
Kliknij prawym przyciskiem myszy opcję Szablony certyfikatów, kliknij polecenie Nowy, a następnie kliknij opcję Szablon certyfikatu do wystawienia.
Wybierz szablon certyfikatu i kliknij przycisk OK.
Potwierdzanie uprawnień dostępu do niezbędnych kontenerów i obiektów usług AD DS
Aby potwierdzić, że urząd certyfikacji ma potrzebne uprawnienia do kontenerów usług AD DS i obiektów w tych kontenerach:
Na kontrolerze domeny kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Lokacje i usługi Active Directory.
Kliknij opcję Lokacje i usługi Active Directory [nazwadomeny].
W menu Widok kliknij polecenie Pokaż węzeł usług.
Dwukrotnie kliknij opcję Usługi, dwukrotnie kliknij opcję Usługi klucza publicznego i kliknij prawym przyciskiem myszy każdy z niżej wymienionych kontenerów (lub obiektów wymienionych w kontenerze), a następnie kliknij polecenie Właściwości.
Na karcie Zabezpieczenia potwierdź dostępność wymaganych uprawnień.
Poniżej wymieniono wszystkie uprawnienia usługi Active Directory wymagane przez komputer udostępniający urząd certyfikacji. Niektóre z tych uprawnień wynikają z przynależności do grupy Wydawcy certyfikatów.
Kontener Usługi rejestrowania. Komputer urzędu certyfikacji ma dostęp do odczytu i zapisu własnego obiektu.
Kontener AIA. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera AIA, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu w kontenerze AIA.
Kontener CDP. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do kontenera każdego urzędu certyfikacji w obrębie kontenera CDP, a komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do każdego obiektu listy odwołania certyfikatów (CRL) w swoim własnym kontenerze.
Kontener Urzędy certyfikacji. Grupa Wydawcy certyfikatów ma uprawnienia dostępu Pełna kontrola do obiektów w obrębie tego kontenera.
Kontener Szablony certyfikatów. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera i większości obiektów w jego obrębie.
Kontener KRA. Komputer urzędu certyfikacji ma uprawnienia dostępu Pełna kontrola do własnego obiektu.
Kontener OID. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji), mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu tego kontenera oraz kontenerów i obiektów w jego obrębie.
Obiekt NTAuthCertificates. Grupy Administratorzy przedsiębiorstwa i Administratorzy domeny (ale nie komputer urzędu certyfikacji) mają uprawnienia dostępu Pełna kontrola lub uprawnienia do odczytu i zapisu.
Kontenery Komputery domeny i Użytkownicy domeny. Grupa Wydawcy certyfikatów ma uprawnienia do odczytu i zapisu właściwości userCertificate każdego obiektu użytkownika i komputera w lesie, w którym wdrożono usługi AD CS.
Aby potwierdzić, że moduł zasad działa poprawnie:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij prawym przyciskiem myszy pozycję Usługi certyfikatów Active Directory, a następnie kliknij polecenie Uruchom ponownie.
Otwórz dziennik zdarzeń i upewnij się, że nie zawiera on żadnych błędów dotyczących modułu zasad.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 44 | ||
Event Source | Microsoft-Windows-CertificationAuthority | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.44" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">44</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>