Службе сетевого ответчика не удалось получить доступ к списку отзыва сертификатов.
Состояние и работа службы сетевого ответчика Microsoft зависит от многих функций и компонентов, включая возможность своевременного доступа к данным отзыва сертификатов, действительность сертификата и цепочки центра сертификации (ЦС), а также отклика и доступности системы в целом.
Включение доступа к текущим спискам отзыва сертификатов
Устранение такой проблемы
Проверьте наличие ошибок публикации списков отзыва сертификации в ЦС.
Если обнаружена ошибка в последней публикации, повторно опубликуйте последние базовый и разностный списки отзыва сертификатов.
Подтвердите действительность URL-адресов, настроенных для конфигурации отзыва.
Обновите сведения о конфигурации отзыва.
Если ошибку исправить не удается, включите диагностику CrytpoAPI 2.0 для получения подробных сведений.
Чтобы выполнить эти процедуры, необходимо быть членом локальной группы "Администраторы" на компьютере, на котором размещен сетевой ответчик и иметь разрешение на управление ЦС для компьютера, на котором размещен ЦС, либо обладать соответствующими делегированными полномочиями.
Поиск ошибок публикации списков отзыва сертификатов в ЦС
Чтобы произвести поиск ошибок публикации списков отзыва сертификатов в ЦС, выполните следующие действия.
В ЦС нажмите кнопку "Пуск", выберите "Администрирование", а затем щелкните "Просмотр событий".
Проверьте наличие дополнительных сообщений об ошибках или предупреждений, связанных с публикацией списков отзыва сертификатов. Для получения дополнительной информации см. http://go.microsoft.com/fwlink/?LinkId=102985.
Устраните все обнаруженные проблемы и опубликуйте как базовый, так и разностный списки отзыва сертификатов.
Повторная публикация базовых и разностных списков отзыва сертификатов
Чтобы повторно опубликовать базовый и разностный списки отзыва сертификатов, выполните следующие действия.
Откройте окно командной строки в ЦС.
Введите "certutil -crl" и нажмите ВВОД.
Убедитесь в том, в журнале отсутствуют другие сообщения об ошибках.
Подтверждение действительности URL-адресов, настроенных для точек распространения базового и разностного списков отзыва сертификатов
Чтобы подтвердить действительность URL-адресов, настроенных для точек распространения базового и разностного списков отзыва сертификатов, выполните следующие действия.
На компьютере, на котором размещен сетевой ответчик, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Сетевой ответчик".
Выберите узел конфигурации отзыва.
В области сведений правой кнопкой щелкните конфигурацию отзыва, указанную в сообщении об ошибке, затем щелкните "Редактировать свойства".
Щелкните вкладку поставщика отзыва, затем щелкните "Поставщик".
Отметьте URL-адреса, настроенные в списках URL-адресов базовых и разностных списков отзыва сертификатов.
Подтвердите, что эти URL-адреса доступны для компьютера, на котором запущен сетевой ответчик, а также то, что они содержат действительные файлы списков отзыва сертификатов, опубликованных ЦС.
Чтобы проверить URL-адреса, по которым ЦС опубликует базовый и разностный списки отзыва сертификатов, вы можете также использовать оснастку "Центр сертификации".
Подтверждение связи точек распространения CRL с ЦС
Чтобы подтвердить связь точек распространения CRL с ЦС, выполните следующие действия.
На компьютере, на котором размещен ЦС, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Центр сертификации".
Щелкните вкладку "Расширения" и отметьте URL-адреса, введенные для расширения "Точка распространения списка отзыва сертификатов (CDP)". Отметьте адреса, для которых выбраны параметры "Публиковать списки отзыва сертификатов в это расположение" и "Публиковать разностные списки отзыва сертификатов в это расположение".
Подтвердите, что эти расположения в сети совпадают с расположениями, настроенными для базового и разностного списка отзыва сертификатов в оснастке "Сетевой ответчик".
На компьютере, на котором публикуется базовый CRL, проверьте расширение "Новейший CRL" для базового CRL. Подтвердите, что в указанном расположении находится разностный список отзыва сертификатов.
При необходимости повторно опубликуйте текущий список отзыва сертификатов, открыв окно командной строки в ЦС и выполнив следующую команду: certutil -crl.
Затем подтвердите, что сетевой ответчик имеет доступ к списку отзыва сертификатов. Для этого откройте оснастку "Сетевой ответчик", правой кнопкой мыши щелкните пункт "Конфигурация массива", а затем щелкните "Обновить данные отзыва".
Обновление сведений об отзывах
Для обновления сведений об отзывах можно восстановить обновленный список отзыва сертификатов. Способы восстановления обновленного списка отзыва сертификатов:
Использование оснастки "Службы" для перезапуска службы сетевого ответчика.
Использование оснастки "Сетевой ответчик" для обновления данных отзыва и подтверждения отсутствия ошибки.
Чтобы обновить сведения об отзывах для сетевого ответчика с помощью консоли оснастки "Службы", выполните следующие действия.
На сетевом ответчике нажмите кнопку "Пуск", выберите "Администрирование", а затем щелкните "Службы".
Щелкните "Службы сетевого ответчика" и "Перезапустить".
Чтобы обновить сведения об отзывах для сетевого ответчика с помощью оснастки "Сетевой ответчик", выполните следующие действия.
На компьютере, на котором размещен сетевой ответчик, нажмите кнопку "Пуск", выберите "Администрирование" и щелкните "Сетевой ответчик".
Дважды щелкните пункт "Конфигурация массива", затем щелкните "Обновить данные отзыва".
Подтвердите отсутствие дополнительных отчетов об ошибках.
Щелкните узел сетевого ответчика и убедитесь в том, что для конфигурации отзыва стоит пометка "Работает".
В разделе "Конфигурация массива" выберите компьютер сетевого ответчика, который внес ошибку в журнал, а затем щелкните конфигурацию отзыва, указанную в ошибке.
Рассмотрите область состояния конфигурации отзыва под областью сведений, чтобы выяснить состояние сертификата подписи и поставщика отзыва.
Подтвердите отсутствие дополнительных отчетов об ошибках.
Включение диагностики CryptoAPI 2.0
Чтобы включить диагностику CryptoAPI 2.0, выполните следующие действия.
На сетевом ответчике нажмите кнопку "Пуск", выберите "Администрирование", а затем щелкните "Просмотр событий".
В дереве консоли разверните "Просмотр событий" "Журналы приложений и служб", "Microsoft", "Windows", и "CAPI2".
Правой кнопкой мыши щелкните "Операционный", затем щелкните "Включить журнал".
Нажмите кнопку "Пуск", выберите "Администрирование", затем щелкните "Службы".
Правой кнопкой мыши щелкните "Службы сертификации Active Directory", затем щелкните "Перезапустить".
В зависимости от результатов описанных выше процедур, после включения диагностики CryptoAPI 2.0, убедитесь в том, что ЦС правильно публикует списки отзыва сертификатов, а списки доступны службе сетевого ответчика.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.OCSPEvents.RevocationProvider.17" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>