ภาพรวม
เราพบปัญหานี้ในเซิร์ฟเวอร์เสมือนบางตัวที่โอนย้ายจากผู้ให้บริการ "คลาวด์" กลับไปที่ศูนย์ข้อมูลภายในของเรา สาเหตุหลักคือการอนุญาตไปยัง%SystemRoot%\System32\catroot2
โฟลเดอร์ มีความแตกต่างจำนวนมากระหว่างการอนุญาตในโฟลเดอร์นั้นบนเซิร์ฟเวอร์ที่สมบูรณ์และเทียบกับเซิร์ฟเวอร์ที่โอนย้าย ผมเชื่อว่าหนึ่งที่สำคัญคือการที่ไม่ได้มีTrustedInstaller
full access
อาการเพิ่มเติม
เมื่อดูที่บันทึกของแอปพลิเคชันในตัวแสดงเหตุการณ์เราเห็นข้อผิดพลาดจำนวนหนึ่ง:
Source: CAPI2
EventId: 257
Text: The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.
Source: ESENT
EventId: 490
Text: Catalog Database (416) Catalog Database: An attempt to open the file "C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" for read / write access failed with system error 5 (0x00000005): "Access is denied. ". The open file operation will fail with error -1032 (0xfffffbf8).
เบาะแสอยู่ในข้อความของ ESENT error เช่นปัญหาการอนุญาตการเข้าถึงไฟล์ภายใต้โฟลเดอร์ catroot2
มติ
ให้การควบคุมบัญชี Trusted Installer อย่างเต็มรูปแบบกับโฟลเดอร์ catroot2 และลูก ๆ
ในกรณีที่ไม่เพียงพอสำหรับการเปรียบเทียบการเรียกใช้icacls %systemroot%\system32\catroot2
บนเซิร์ฟเวอร์ที่มีประโยชน์จะให้สิ่งนี้:
C:\Windows\system32\catroot2 NT SERVICE\CryptSvc:(F)
NT SERVICE\CryptSvc:(OI)(CI)(IO)(F)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
หมายเหตุ: เพื่อเพิ่ม Trusted Installer nt service\trustedinstaller
คุณจะต้องค้นหาบนบัญชีผู้ใช้คอมพิวเตอร์ในท้องถิ่น
หลังจากแทนที่การอนุญาตcatroot2
ให้เปิดคุณต้องคลิกที่replace permissions on child objects & containers
ช่องทำเครื่องหมายเพื่อให้แน่ใจว่ารายการย่อยได้รับการอนุญาต
ไม่จำเป็นต้องรีบูตสำหรับการแก้ไขเอง (แม้ว่าจะเห็นได้ชัดว่าเมื่อการอัปเดตเริ่มทำงานอีกครั้งคุณจะต้องรีบูตเพื่อการแก้ไข)