[FAQ:WSER2]Active Directory Certificate Serviceが開始できない

Windows Server 2012 R2 Essentialsでは、必要なサービスが稼働しているかなど、サーバー/クライアントともに、常に正常性の監視をしています。正常性に問題がある場合は、サーバーダッシュボードに通知が表示されます。

サーバー側で必要なサービスが開始されていない場合、「1つ以上のサービスが開始されていません」と表示されますが、稼働していないサービスとしてActive Directory Certificate Service(以下、ADCS)が表示される場合があります。

サーバーマネージャーを起動すると、以下のような状態になります。

ADCSの再起動を試してみる

まずは、サーバーマネージャーから、ツール>証明機関を起動し、xxx-SERVER-CAが停止している場合、右クリックして、すべてのタスク>サービスの開始を押下します。

それでも起動しない場合

イベントビューアーにログが表示されていないか確認して下さい。

私の場合は、以下のように、ESENTのエラーと、Certification Authorityのエラーが記録されていました。

エラー内容は、

certsrv.exe (7024) 範囲のチェックサムが一致しないため、ファイル “C:\Windows\system32\CertLog\edb.log” のオフセット 16384 (0x0000000000004000) から 4096 (0x00001000) バイトのログ範囲の読み取りを確認できませんでした。

というものです。また、次のエラーも大量に記録されていました。

svchost (6160) 読み取りまたは書き込みのためにファイル “C:\Windows\system32\LogFiles\Sum\Api.chk” を開こうとしましたが、システム エラー 5 (0x00000005): “アクセスが拒否されました。 ” が発生したため開けませんでした。ファイルを開く処理は、エラー -1032 (0xfffffbf8) のため失敗します。

これは、C:\Windows\system32\LogFiles\Sumフォルダーに、NETWORK SERVICEアカウントの必要な権限が付与されていない場合に生じるエラーのようです。

https://support.microsoft.com/ja-jp/kb/2811566

対処方法

  1. まず、C:\Windows\system32\LogFiles\Sumフォルダーに、NETWORK SERVICEアカウントに対するフルコントロール権を付与します。
  2. 次に、C:\Windows\System32\CertLogフォルダーを開き、edb.logファイル、edbxxxxxx.logファイル(xは数値)がある場合はC:\Windows\System32\CertLogの下に、deleteフォルダーなどを作成して念のためそちらに移動させます。
  3. 証明機関を開き、xxxx-SERVER-CAを右クリックしてすべてのタスク>サービスの開始を実行してください

HP Directplus オンラインストア

シェアする

  • このエントリーをはてなブックマークに追加

フォローする