Проблема:
ОС Windows XP SP3 Rus, в журнале «Приложения» постоянно появляются ошибки от источника «crypt32» с кодами 8 и 11:
Тип события: Ошибка
Источник события: crypt32
Категория события: Отсутствует
Код события: 8
Дата: 21.07.2013
Время: 16:18:23
Пользователь: Н/Д
Компьютер: Comp01
Описание:
Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/m ... ootseq.txt> с кодом ошибки: Сетевое подключение не существует.
Тип события: Ошибка
Источник события: crypt32
Категория события: Отсутствует
Код события: 11
Дата: 21.07.2013
Время: 16:21:18
Пользователь: Н/Д
Компьютер: Comp01
Описание:
Ошибка извлечения стороннего корневого списка из CAB автоматического обновления на: <http://www.download.windowsupdate.com/m ... ootstl.cab> с кодом ошибки: Недопустимые данные.
Причина:
Ошибка с кодом 8:
Это может происходить, если включен компонент обновления корневых сертификатов и компьютера не удается подключиться к узлу Windows Update в Интернете. Компонент обновления корневых сертификатов автоматическое обновление доверенных корневых сертификатов центров с сервера Microsoft Update через равные промежутки времени.
Ошибка с кодом 11:
Эта проблема возникает, если истек срок действия сертификата издателя в списке доверия Майкрософт. Копия этого списка с соответствующим сертификатом подписи хранится в папке CryptnetUrlCache.
Решение от Microsoft:
Эти решения можно применять вручную для каждого компьютера
Чтобы устранить ошибку с кодом 8, необходимо:
просто подключиться к Интернету
либо
отключить компонент обновления корневых сертификатов. Для чего в апплете «Установка и удаление программ» кликаем «Добавление и удаление компонентов Windows», снимаем флажок «Обновление корневых сертификатов» и подтверждаем выбранные изменения.
Чтобы устранить ошибку с кодом 11, необходимо:
Запустить соответствующий патч от Microsoft для автоматического исправления ошибки с номером 11 на локальном компьютере, который можно скачать здесь
или
Выполнить следующие действия:
-
Выполнить команду:
Код: Выделить всё
certutil -urlcache * delete
Примечание. Эту команду нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить это действие.
-
Удалить содержимое следующих каталогов:
-
LocalService
-
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
-
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
-
-
NetworkService
-
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
-
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
-
-
LocalSystem
-
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
-
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
-
-
Советы по теме можно почитать в статье technet
Решение для применения через групповые политики:
-
Открываем групповые политики нужного объекта (того, чьи компьютеры выдают сообщения об ошибках 8 и 11)
-
Отключаем параметр «Автоматическое обновление корневых сертификатов», для чего последовательно открываем «Конфигурация компьютера» -> «Административные шаблоны» -> «Система» -> «Управления связью через Интернет» -> «Параметры связи через Интернет» -> находим параметр «Отключить Автоматическое обновление корневых сертификатов» -> устанавливаем для него значение «Включить»
(Путь в реестре до данной политики: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot,
параметр «DisableRootAutoUpdate» типа dword -> установить значение в 00000001) -
Добавляем свой локальный домен в список назначения зон безопасности со значением «интрасеть». Для этого открываем «Конфигурация пользователя» -> «Административные шаблоны» -> «Компоненты Windows» -> «Internet Explorer» -> «Панель управления обозревателем» -> «Страница безопасности» -> находим параметр «Список назначения зон безопасности для узлов» -> добавляем в список свой домен (например *.mydomain.local)«» со значением «1» (интрасеть)
-
Применяем новые политики на компьютерах клиентов:
Код: Выделить всё
gpupdate /force
Примечание:
Отсутствие регулярного обновления доверенных корневых сертификатов со временем может обернуться проблемами - начнут возникать проблемы с открытием сайтов (SSL сертификаты которых подписаны CA, к которому нет доверия), с установкой и запуском подписанных приложений или скриптов,и пр. Поэтому, если в домене отключено автоматическое обновление корневых сертификатов, то рекомендуется хотя бы раз в 2-3 месяца выполнять импорт списка актуальных доверенных сертификатов с сайта Microsoft и распространение его через групповые политики.
О том, как это сделать, читаем статью Обновление корневых сертификатов на Windows 2003 Server.