Эта ошибка выдается, когда центр сертификации выпустил для сервера терминалов сертификат на основе шаблона сертификата, заданного в групповой политике, и удовлетворяется одно из следующих условий.
В групповой политике не задано верное имя шаблона сертификата.
Разрешения шаблона сертификата не позволяют серверу терминалов делать заявку на сертификат такого типа.
Сертификат не действителен для запрошенного применения.
Шаблон сертификата не существует.
Сертификаты, основанные на данном шаблоне сертификата, не выпускаются для компьютеров.
Параметр групповой политики Шаблон сертификата проверки подлинности сервера позволяет ввести имя шаблона сертификата, используемое для определения того, какой сертификат используется для проверки подлинности на сервере терминалов, когда применяется шифрование SSL или TLS 1.0. Ввод имени шаблона сертификата позволяет осуществлять автоматический выбор сертификата. После ввода имени шаблона сертификата просматриваются сертификаты, созданные с использованием этого шаблона, и один из подходящих сертификатов автоматически выбирается для использования.
Сведения о шаблонах сертификатов см. в разделе "Реализация и администрирование шаблонов сертификатов в Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522, на английском языке).
В групповой политике не задано верное имя шаблона сертификата
Чтобы проверить, задано ли в групповой политике верное имя шаблона сертификата, воспользуйтесь консолью управления групповыми политиками.
Для выполнения данной процедуры необходимо быть членом группы Администраторы домена, Администраторы предприятия или Владельцы-создатели групповой политики либо являться обладателем соответствующих делегированных полномочий.
Примечание. Для управления групповой политикой на контроллере домена на базе Windows Server 2008 нужно сначала добавить компонент консоль управления групповыми политиками. Чтобы это сделать, запустите диспетчер сервера и в области Сводка компонентов щелкните Добавить компоненты. На странице Выбор компонентов установите флажок Управление групповыми политиками . Для завершения установки следуйте отображаемым на экране инструкциям.
Чтобы проверить, задано ли в групповой политике верное имя шаблона сертификата, выполните следующие действия.
Запустите консоль управления групповыми политиками. Для этого нажмите кнопку Пуск, выберите команду Администрирование, а затем Управление групповыми политиками.
На левой панели найдите подразделение, которое требуется изменить.
Для изменения имеющегося объекта групповой политики для подразделения разверните это подразделение и щелкните объект групповой политики.
На правой панели перейдите на вкладку Параметры.
На левой панели в области Конфигурация компьютера последовательно разверните узлы Административные шаблоны, Компоненты Windows, Службы терминалов и Сервер терминалов, а затем щелкните Безопасность.
На правой панели в списке параметров щелкните правой кнопкой мыши Шаблон сертификата проверки подлинности сервера и выберите команду Свойства.
На вкладке Параметры проверьте, выбрана ли установка Включено и верное ли имя задано в области Имя шаблона сертификата, после чего нажмите кнопку ОК.
Если параметр Включен не выбран или для шаблона сертификата не указано верное имя, см. ниже раздел "Указание верного имени шаблона сертификата в групповой политике".
Разрешения шаблона сертификата не позволяют серверу терминалов делать заявку на сертификат такого типа
Учетная запись компьютера сервера терминалов должна иметь разрешения Заявка для чтения соответствующего шаблона сертификата.
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Для проверки разрешений на шаблон сертификата, предоставленных серверу терминалов, выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
На вкладке Безопасность в области Группы или пользователи проверьте, имеется ли в списке сервер терминалов (или содержащая его группа безопасности), и щелкните этот сервер терминалов. Выбрав сервер терминалов (или содержащую его группу безопасности), в области Разрешения проверьте, установлен ли флажок, допускающий разрешения Заявка, а затем нажмите кнопку ОК.
Если флажок, допускающий разрешения Заявка, не установлен, см. ниже раздел "Предоставление разрешений Заявка на шаблон сертификата серверу терминалов".
Сертификат не действителен для запрошенного применения
Шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов, должен иметь расширенное использование ключа проверки подлинности сервера.
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы выяснить, задано ли в шаблоне сертификата расширенное использование ключа проверки подлинности сервера, выполните следующие действия
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
На вкладке Расширения в области Расширения, включенные в этот шаблон щелкните Использование ключа и нажмите кнопку Изменить.
Проверьте, выбрано ли расширение использования ключа проверки подлинности сервера, и нажмите кнопку ОК для закрытия диалогового окна Свойства для шаблона сертификата.
Если расширение использования ключа проверки подлинности сервера не выбрано, см. ниже раздел "Добавление расширенного использования ключа проверки подлинности сервера в шаблон сертификата".
Шаблон сертификата не существует
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы проверить существование шаблона сертификата, выполните следующие действия:
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В области результатов в списке шаблонов сертификатов найдите шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов.
Если этот шаблон сертификата отсутствует, см. ниже раздел "Создание нового шаблона сертификата".
Сертификаты, основанные на данном шаблоне сертификата, не выпускаются для компьютеров
Для того чтобы центр сертификации выпускал сертификаты на основе шаблона сертификата, этот шаблон сертификата нужно добавить в контейнер шаблонов сертификатов оснастки "Центр сертификации".
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Для того чтобы проверить, добавлен ли центр сертификации в контейнер шаблонов сертификатов оснастки "Центр сертификации", выполните следующие действия.
На том компьютер, где установлена служба сертификации Active Directory, нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Центр сертификации, нажмите кнопку Добавить, а затем ОК.
Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово.
Разверните узел Шаблоны сертификатов и проверьте, имеется ли в списке нужный шаблон сертификата. Имя сертификата должно соответствовать имени, заданному в параметре групповой политики Шаблон сертификата проверки подлинности сервера. Дополнительные сведения см. выше в разделе "Проверка задания верного сертификата в групповой политике".
Если требуемый сертификат отсутствует в списке, см. ниже раздел "Добавление шаблона сертификата в контейнер шаблонов сертификатов".
Задание верного шаблона сертификата в групповой политике
Для устранения этой проблемы задайте верный шаблон сертификата в групповой политике.
Для изменения параметров групповой политики для домена или подразделения необходимо войти как член группы Администраторы домена, Администраторы предприятия или Владельцы-создатели групповой политики либо быть обладателем соответственных делегированных полномочий на управление групповой политикой.
Примечание. Для управления групповой политикой на контроллере домена на базе Windows Server 2008 нужно сначала добавить компонент консоль управления групповыми политиками. Чтобы это сделать, запустите диспетчер сервера и в области Сводка компонентов щелкните Добавить компоненты. На странице Выбор компонентов установите флажок Управление групповыми политиками . Для завершения установки следуйте отображаемым на экране инструкциям.
Чтобы задать верный шаблон сертификата в групповой политике, выполните следующие действия.
Запустите консоль управления групповыми политиками. Для этого нажмите кнопку Пуск, выберите команду Администрирование, а затем Управление групповыми политиками.
На левой панели найдите подразделение, которое требуется изменить.
Для изменения имеющегося объекта групповой политики для подразделения разверните это подразделение и щелкните объект групповой политики.
На правой панели перейдите на вкладку Параметры.
На левой панели в области Конфигурация компьютера последовательно разверните узлы Административные шаблоны, Компоненты Windows, Службы терминалов и Сервер терминалов, а затем щелкните Безопасность.
На правой панели в списке параметров щелкните правой кнопкой мыши Шаблон сертификата проверки подлинности сервера и выберите команду Свойства.
На вкладке Параметры щелкните Включен (если этот параметр групповой политики еще не включен) и в поле Имя шаблона сертификата введите имя верного шаблона сертификата.
Нажмите кнопку ОК.
Дополнительные сведения о настройке параметров групповых политик см. в справке редактора локальных групповых политик ( http://go.microsoft.com/fwlink/?LinkId=101633) или в справке консоли управления групповыми политиками ( http://go.microsoft.com/fwlink/?LinkId=101634) в технической библиотеке Windows Server 2008 (на английском языке).
Предоставление разрешений Заявка на шаблон сертификата серверу терминалов
Для устранения этой проблемы необходимо изменить шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов. Необходимо изменить шаблон сертификата для представления разрешений Заявка учетной записи компьютера сервера терминалов.
Сведения о шаблонах сертификатов см. в разделе "Реализация и администрирование шаблонов сертификатов в Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522, на английском языке).
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы предоставить разрешения Заявка на шаблон сертификата серверу терминалов, выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
На вкладке Безопасность в области Группы или пользователи проверьте, имеется ли в списке нужный сервер терминалов (или содержащая его группа безопасности), и щелкните этот сервер терминалов. Если его нет, добавьте его.
Выбрав сервер терминалов (или содержащую его группу безопасности), в области Разрешения установите ли флажок, допускающий разрешения Заявка.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства для шаблона сертификата.
Добавление расширенного использования ключа проверки подлинности сервера в шаблон сертификатаДля устранения этой проблемы необходимо изменить шаблон сертификата, используемый службами сертификатов Active Directory в качестве основы для сертификатов сервера, выдаваемых серверам терминалов. Необходимо изменить шаблон сертификата, чтобы он имел расширенное использование ключа проверки подлинности сервера.
Сведения о шаблонах сертификатов см. в разделе "Реализация и администрирование шаблонов сертификатов в Windows Server 2008" ( http://go.microsoft.com/fwlink/?LinkID=92522, на английском языке).
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы добавить расширение использования ключа проверки подлинности сервера в шаблон сертификата, выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В области результатов щелкните правой кнопкой мыши шаблон сертификата, используемый как основа для сертификатов, выдаваемых серверам терминалов, и выберите команду Свойства.
На вкладке Расширения в области Расширения, включенные в этот шаблон щелкните Использование ключа и нажмите кнопку Изменить.
Добавьте расширенное использование ключа проверки подлинности сервера и закройте диалоговое окно.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства для шаблона сертификата.
Создание нового шаблона сертификата
Для устранения этой неполадки выполните следующее.
Создайте новый шаблон сертификата. Службы сертификатов Active Directory будут использовать этот шаблон в качестве основы для сертификатов сервера, выдаваемых серверам терминалов.
Добавьте шаблон сертификата в контейнер шаблонов сертификатов оснастки "Центр сертификации". Это позволит выдавать сертификат сервера серверам терминалов.
Создание нового шаблона сертификата
Можно создать шаблон сертификата, скопировав имеющийся шаблон и используя его свойства как свойства по умолчанию нового шаблона. Разные приложения и типы центров сертификации поддерживают разные шаблоны сертификатов. Например, некоторые шаблоны сертификатов могут выпускать и ими могут управлять только центры сертификации, работающие под управлением Windows Server 2003, другие требуют, чтобы центр сертификации работал под управлением Windows Server 2008. Просмотрите список шаблонов сертификатов по умолчанию и их свойства, чтобы определить, какие из имеющихся шаблонов сертификатов лучше отвечают вашим нуждам. Это позволит сократить объем предстоящей работы по настройке.
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы создать шаблона сертификата, выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Шаблоны сертификатов". Чтобы открыть оснастку "Шаблоны сертификатов", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Шаблоны сертификатов, нажмите кнопку Добавить, а затем ОК.
В дереве консоли щелкните Шаблоны сертификатов.
В списке шаблонов щелкните правой кнопкой мыши шаблон, который требуется скопировать, и выберите команду Скопировать шаблон.
Выберите минимальную версию центра сертификации, которую требуется поддерживать.
Введите новое имя для данного шаблона сертификата.
При необходимости настройте дополнительные параметры и нажмите кнопку ОК.
Добавьте шаблон сертификата в контейнер шаблонов сертификатов оснастки "Центр сертификации".
Для того чтобы центр сертификации выпускал сертификаты на основе шаблона сертификата, этот шаблон сертификата необходимо добавить в контейнер шаблонов сертификатов оснастки "Центр сертификации". Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы добавить шаблон сертификата в контейнер шаблонов сертификатов, выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Центр сертификации". Чтобы открыть оснастку "Центр сертификации", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Центр сертификации, нажмите кнопку Добавить, а затем ОК.
Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово.
Щелкните правой кнопкой мыши контейнер Шаблоны сертификатов, выберите команду Создать и щелкните Выдаваемый шаблон сертификата.
Выберите требуемый шаблон сертификата и нажмите кнопку ОК.
Добавление шаблона сертификата в контейнер шаблонов сертификатов оснастки "Центр сертификации"
Для выполнения данной процедуры необходимо быть членом группы Администраторы предприятия или Администраторы домена корневого домена леса либо являться обладателем соответствующих делегированных полномочий.
Чтобы добавить шаблон сертификата в контейнер шаблонов сертификатов оснастки "Центр сертификации", выполните следующие действия.
На том компьютере, где установлена служба сертификации Active Directory, откройте оснастку "Центр сертификации". Чтобы открыть оснастку "Центр сертификации", нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите клавишу ВВОД.
В меню Файл выберите команду Добавить или удалить оснастку.
В диалоговом окне Добавление и удаление оснастки щелкните Центр сертификации, нажмите кнопку Добавить, а затем ОК.
Выберите центр сертификации, которым требуется управлять, и нажмите кнопку Готово.
Щелкните правой кнопкой мыши контейнер Шаблоны сертификатов, выберите команду Создать и щелкните Выдаваемый шаблон сертификата.
Выберите требуемый шаблон сертификата и нажмите кнопку ОК.
Target | Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer | ||
Category | EventCollection | ||
Enabled | True | ||
Event_ID | 1064 | ||
Event Source | Microsoft-Windows-TerminalServices-RemoteConnectionManager | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | Normal | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | System |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
<Rule ID="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1064" Enabled="onStandardMonitoring" Target="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>System</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">1064</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-TerminalServices-RemoteConnectionManager</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="Alert" TypeID="SystemHealth!System.Health.GenerateAlert">
<Priority>1</Priority>
<Severity>2</Severity>
<AlertOwner/>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.Server.2008.TerminalServicesRole.Service.TerminalServer.EventCollection.1064.AlertMessage"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
<Custom1/>
<Custom2/>
<Custom3/>
<Custom4/>
<Custom5/>
<Custom6/>
<Custom7/>
<Custom8/>
<Custom9/>
<Custom10/>
</WriteAction>
</WriteActions>
</Rule>