Insamlingsregel för händelse med källan CertificationAuthority och ID 44

Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.44 (Rule)

Principmodulen påträffade ett fel.

Knowledge Base article:

Sammanfattning

Principmodulen innehåller regeluppsättningen som styr utfärdande, förnyande och återkallande av certifikat. Principen skapas från hårdkodade värden, registerinställningar och, om du använder en företagscertifikatutfärdare, certifikatmallar. Principmodulen avgör om en certifikatbegäran godkänns, nekas eller markeras som väntande så att en administratör kan godkänna eller neka den. Principmodulsproblem kan leda till att certifikatutfärdaren inte startar eller inte längre fungerar.

Lösningar

Åtgärda principmodulens behandlingsfel

Granska felkoden som rapporterats i händelseloggmeddelandet för att avgöra hur feltillståndet ska rättas till.

Händeseloggmeddelandet kan innehålla följande koder:

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN
MSG_NO_CERT_TYPES
MSG_DOMAIN_INIT

Om dessa felmeddelanden inte innehåller någon specifik information kontrollerar och löser du alla ytterligare relaterade fel som uppstått före eller efter detta fel.

Om varningarna inte kan lösas genom att relatera till liknande symptom och något är fel med principmodulen:

Kontakta leverantören av principmodulen för hjälp om principmodulen inte kommer från Microsoft.
I annat fall kontaktar du Microsofts kundservice och support. Mer information finns på http://go.microsoft.com/fwlink/?LinkId=89446.

MSG_NO_CA_OBJECT, MSG_NO_DOMAIN

Den här felkoden indikerar att certifikatutfärdaren inte kunde ansluta till Active Directory Domain Services eller inte kunde hitta den nödvändiga Active Directory-informationen. Om du inte kan ansluta till en domänkontrollant beror det vanligtvis på att problem med nätverksanslutningen eller behörigheter.

Kontrollera och rätta till eventuella anslutningsproblem:

Se till att AD DS körs genom att bekräfta att Active Directory-tjänsterna körs för varje domänkontrollant. Mer information om Active Directory-övervakning finns i Active Directory-hanteringspaketet för MOM ( http://go.microsoft.com/fwlink/?LinkID=95697).
Använd verktyg för nätverksdiagnostik, till exempel Ping och Nltest-kommandoradsverktyg, för att kontrollera statusen för nätverksanslutningen mellan CA och AD DS.
Använd proceduren Bekräfta behörigheter för nödvändiga AD DS-behållare och objekt nedan för att bekräfta att certifikatutfärdaren har behörigheter för nödvändiga AD DS-behållare och -objekt.

MSG_NO_CERT_TYPES

Den här felkoden anger att CA letat efter en lista med certifikatmallar i behållaren Certifikatmallen i AD DS och antingen inte kunde hitta listan eller att listan var tom.

Kontrollera och rätta till eventuella certifikatmallsproblem:

Använd proceduren Bekräfta certifikatmallskonfiguration och tillgänglighet för att kontrollera behörigheterna och andra inställningar för certifikatmallen och se till att den har lagts till i CA.

MSG_DOMAIN_INIT

Den här felkoden anger att CA inte kunde ansluta till AD DS. Felet kan ha orsakats av ett problem med nätverksanslutningen eller troligare, ett behörighetsproblem.

Kontrollera och rätta till eventuella DOMAIN_INIT-problem:

Använd verktyg för nätverksdiagnostik, till exempel Ping och Nltest-kommandoradsverktyg, för att kontrollera statusen för nätverksanslutningen mellan CA och AD DS.
Använd proceduren Bekräfta behörigheter för nödvändiga AD DS-behållare och objekt nedan för att bekräfta att certifikatutfärdaren har behörigheter för nödvändiga AD DS-behållare och -objekt.

För att kunna utföra dessa procedurer måste du ha behörighet att hantera certifikatutfärdare, eller ha tilldelats lämplig auktoritet.

Bekräfta certifikatmallskonfiguration och tillgänglighet

Bekräfta certifikatmallskonfiguration och tillgänglighet:

Klicka på Start, skriv certtmpl.msc och tryck på RETUR.
Markera certifikatmallen som berörs av felet.
Korrigera alla säkerhetsbehörigheter och andra konfigurationsfel som kan förhindra att CA utfärdar certifikat baserat på certifikatmallen och klicka på OK.
Öppna snapin-modulen för certifikatutfärdare och dubbelklicka på namnet för certifikatutfärdaren.
Högerklicka på Certifikatmallar, klicka på Ny och sedan på Certifikatmall som ska utfärdas.
Välj certifikatmallen och klicka på OK.

Bekräfta behörigheter för nödvändiga AD DS-behållare och -objekt.

Bekräfta att certifikatutfärdaren har nödvändiga behörigheter för AD DS-behållare och objekt i dessa behållare:

Klicka på Start på domänkontrollanten, peka på Administrationsverktyg och klicka på Active Directory-platser och -tjänster.
Klicka på Active Directory-platser och -tjänster [domännamn].
Klicka på Visa noden Tjänster i Visa-menyn.
Dubbelklicka på Tjänster, dubbelklicka på Public Key Services och högerklicka på varje behållare som visas nedan, eller på objekten som visas i behållarna och klicka på Egenskaper.
Bekräfta de nödvändiga behörigheterna på fliken Säkerhet.

Följande är Active Directory-behörigheter som krävs för en dator som kör en certifikatutfärdare. Vissa av dessa behörigheter kommer från medlemskap i gruppen Certifikatpublicerare.

Behållare för registreringstjänster. CA-datorn har läs- och skrivbehörighet för sina egna objekt.
AIA-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för AIA-behållaren och CA-datorn har fullständig behörighet för sina egna objekt i AIA-behållaren.
CDP-behållare. Gruppen Certifikatpublicerare har fullständig behörighet för alla certifikatutfärdares behållare under CDP-behållaren och CA-datorn har fullständig behörighet för varje objekt för listor över återkallade certifikat i sina egna behållare.
Behållare för certifikatutfärdare. Gruppen Certifikatpublicerare har fullständig behörighet för objekt i den här behållaren.
Behållare för certifikatmallar. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till de flesta objekten i den.
KRA-behållare. CA-datorn har fullständig behörighet till sina egna objekt.
OID-behållare. Grupperna Företagsadministratörer och Domänadministratörer (inte CA-datorn) har fullständig behörighet eller läs- och skrivbehörighet till den här behållaren och till behållarna och objekten i den.
NTAuthCertificates-objekt. Grupperna Företagsadministratörer och Domänadministratörer, inte CA-datorn, har fullständig behörighet eller läs- och skrivbehörighet.
Behållare för domändatorer och domänanvändare. Gruppen Certifikatpublicerare har läs- och skrivbehörigheter för userCertificate-egenskapen för varje användar- och datorobjekt i skogen där AD CS driftsätts.

Mer information

Bekräfta att principmodulen fungerar:

Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på tjänsten för Active Directory-certifikattjänster (AD CS) och klicka på Starta om.
Öppna händelseloggen och bekräfta att den inte innehåller några fel som rör principmodulen.

Element properties:

Target

Microsoft.Windows.CertificateServices.CARole.6.2

Category

EventCollection

Enabled

True

Event_ID

Event Source

Microsoft-Windows-CertificationAuthority

Alert Generate

True

Alert Severity

Error

Alert Priority

High

Remotable

True

Alert Message

Bearbetning av AD CS-principmodul

Händelsebeskrivning: {0}

Event Log

Application

Member Modules:

ID	Module Type	TypeId	RunAs
DS	DataSource	Microsoft.Windows.EventProvider	Default
Alert	WriteAction	System.Health.GenerateAlert	Default
WriteToCertSvcEvents	WriteAction	Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher	Default
WriteToDB	WriteAction	Microsoft.SystemCenter.CollectEvent	Default

Source Code:

<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.CertSvcEvents.44" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>EventCollection</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">

      <ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>

      <LogName>Application</LogName>

      <Expression>

        <And>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="UnsignedInteger">44</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

          <Expression>

            <SimpleExpression>

              <ValueExpression>

                <XPathQuery Type="String">PublisherName</XPathQuery>

              </ValueExpression>

              <Operator>Equal</Operator>

              <ValueExpression>

                <Value Type="String">Microsoft-Windows-CertificationAuthority</Value>

              </ValueExpression>

            </SimpleExpression>

          </Expression>

        </And>

      </Expression>

    </DataSource>

  </DataSources>

  <WriteActions>

    <WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>

    <WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>

    <WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>2</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="AlertMessageID9588b294036d4587a0048085989b2d96"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Data/EventDescription$</AlertParameter1>

      </AlertParameters>

      <Suppression>

        <SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>

        <SuppressionValue>$Data/PublisherName$</SuppressionValue>

        <SuppressionValue>$Data/LoggingComputer$</SuppressionValue>

      </Suppression>

    </WriteAction>

  </WriteActions>

</Rule>