Ошибка 4176 capi2

Итак, видим в журнале Window (Event Viewer) раздел Application (Приложение) множественные регистрации ошибки Event ID 4107 источник CAPI2.

В поле описания ошибки следующее:

Failed extract of third-party root list from auto update cab at: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

На момент написания статьи этой болезнью страдали Microsoft Windows Server 2008 R2, Microsoft Windows 7.

Лечим следующим методом:

1. Делаем резервную копию системы (или Точку восстановления системного раздела)

(шаг является рекомендуемым, но не обязательным);

2. Удаляем содержимое папок:

C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent

C:WindowsSystem32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

3. Удаляем все сертификаты, т.е. полностью ключ «Certificates»:

HKEY_LOCAL_MACHINESoftwareMicrosoftSystemCertificatesAuthRootCertificates

4. Перезагружаем операционную систему.

После перезагрузки ОС ключи в реестре заново создаются и в журнале Window в разделе Application (Приложение) должно быть зарегистрированно событие (Information event) c Event ID: 4097 приблизительно следующего содержания:

Successful auto update of third-party root certificate:: Subject: <CN=GTE CyberTrust Global Root, OU=»GTE CyberTrust Solutions, Inc.», O=GTE Corporation, C=US> Sha1 thumbprint: <97817950D81C9670CC34D809CF794431367EF474>.

Удачной работы!

©Автор: Сушков С.А. (соавтор: Ella Sea)

Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.

NetworkService
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

LocalSystem
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

Блокнот ночного сисадмина

пятница, 15 января 2016 г.

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2

Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале приложений с кодом 4107:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.

Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.

Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.

2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый — в реестре создайте следующие параметры:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesAuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000

Или второй — с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:

3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootAutoUpdate]
«RootDirURL»=» FILE:// server_with_certificatesshare»

В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:

Выберите из вышеописанных способов наиболее подходящий для вашей среды.

Событие с ид 4107 или 11 регистрируется в журнале приложений

В этой статье данная статья содержит действия по решению события 4107 и события 11, зарегистрированных в журнале приложений.

Исходная версия продукта: Windows Server 2012 R2, Windows Server 2008 R2 Пакет обновления 1, Windows 7 Пакет обновления 1
Исходный номер КБ: 2328240

Симптомы

В журнале приложений регистрируются следующие сообщения об ошибках:

Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 4107
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.

Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 11
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.

Причина

Эта ошибка возникает из-за истечения срока действия сертификата издателя списка доверия сертификатов Майкрософт. Копия срока жизни с просроченным сертификатом подписи существует в папке CryptnetUrlCache.

Решение

Чтобы устранить проблему, выполните следующие действия.

Откройте окно командной строки. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите команду «Командная подсказка».

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Команду certutil необходимо выполнить для каждого пользователя на рабочей станции. Каждый пользователь должен войти в систему и следовать шагам 1 и 2 выше.

Если просроченный сертификат кэшется в одном из локальных системных профилей, необходимо удалить содержимое некоторых каталогов с помощью проводника Windows. Для этого выполните следующие действия:

Откройте проводник. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите проводник Windows.

Необходимо включить скрытые папки для просмотра каталогов, содержимое которых необходимо удалить. Чтобы включить скрытые файлы и папки, выполните следующие действия.

1. Выберите «Организация», а затем выберите папку и параметры поиска.
2. Выберите вкладку «Вид».
3. Выберите «Показать скрытые файлы и папки».
4. Скройте расширения для известных типов файлов.
5. Скройте защищенные файлы операционной системы.
6. Выберите «Да», чтобы закрыть предупреждение, а затем выберите «ОК», чтобы применить изменения и закрыть диалоговое окно.

Удалите содержимое каталогов, перечисленных здесь. (%windir% — это каталог Windows.)

Вы можете получить сообщение о том, что у вас нет разрешения на доступ к папке. Если вы получили это сообщение, выберите «Продолжить».

LocalService :
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesLocalServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

NetworkService :
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

LocalSystem :
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
%windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

Дополнительные сведения

Событие с ид 4107 также может регистрироваться с недопустимым сообщением о недопустимой ошибке вместо следующей ошибки:

Необходимый сертификат не находится в течение срока действия при проверке на текущий системный час или временную подпись в подписанной файле

Эта ошибка «Данные недействительны» указывает, что объект, возвращенный из сети, не был допустимым CAB-файлом. Поэтому Windows не удалось правильно его разлить. Экземпляры такой ошибки могут возникать, если попытка сетевого и получить CAB-файл не проходит через прокси-сервер. Если прокси-сервер возвращает некоторые данные или сообщение, а не стандартный код ошибки HTTP, Windows попытается анализировать сообщение, полученное от прокси-сервера, ожидая, что оно будет CAB-кодом. Эта ситуация не удалась с недопустимыми данными.

Чтобы устранить эту ошибку, необходимо удалить недействительные записи в кэше, с помощью очистки кэша, следуя шагам в разделе «Решение».

DenTNT.trmw.ru

Записная книжка

Windows: Microsoft-Windows-CAPI2, EventID 4107

Самостоятельное решение проблемы:

1. Откройте командную строку. Для этого нажмите кнопку Пуски последовательно выберите пункты Все программы, Стандартные, Командная строка.
2. В командной строке введите указанную ниже команду и нажмите клавишу ВВОД.

Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.

Если кэш сертификата с истекшим сроком действия хранится в локальных системных профилях, удалите содержимое некоторых каталогов с помощью проводника. Для этого выполните указанные ниже действия.

1. Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.
   1. В меню Упорядочить выберите пункт Параметры папок и поиска .
   2. Откройте вкладку Вид.
   3. Установите флажок Показывать скрытые файлы и папки.
   4. Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
   5. Снимите флажок Скрывать защищенные системные файлы.
   6. Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.
2. Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.

   NetworkService
   %windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheContent
   %windir%ServiceProfilesNetworkServiceAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

   LocalSystem
   %windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheContent
   %windir%System32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCacheMetaData

Пытался поставить Acrobat Reader DC yа чистой машине под управлением Windows 7 (64-бит, русская).

Установщик Acrobat Reader DC загрузился нормально, но после 50%, когда появилась надпись «Установка», программа вывалилась с ошибкой, даже не сказав с какой. Впервые столкнулся с ошибкой в установке Acrobat Reader DC. Ставить «левую» читалку PDF-файлов как-то не хочется, переустанавливать Windows тем более. Надо исправлять…

Лезу в журнал ошибок Windows и вижу:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab с ошибкой Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.

В журнале вижу код ошибки EventID 4107 и в Подробностях сообщение от Microsoft-Windows-CAPI2.
Открыл файл по ссылке, а в нём срок действия истёк много лет назад. Посмотрел на системное время и дату — всё в порядке…
Поиск по запросу Ошибка 4107 capi2 выдал кучу ссылок — ура, проблема известна. Но, нет, — до стопудово рабочего рецепта я так и не добрался…
Видел интересный способ по отключению проверки сертификатов в виндовс — наверняка это работает, но посчитал это неправильным.
В итоге, импортировал сертификаты с рабочей машины с такой же операционкой.

На рабочей машине:
1. Зашёл по пути:
C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
И скопировал оттуда на флешку оба каталога: Content и MetaData
2. Экспортировал ветку реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
и сохранил её под именем 4107.reg

Затем зашёл на «сломанную» машину и загрузил всё это дело на неё вот так:
0. Вынул кабель Ethernet и закрыл все прикладные программы.
1. Зашёл по пути:
C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
и удалил оба каталога Content и MetaData (предварительно на всякий случай сохранив их копии на флешку).
2. Очистил ветку реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
3. Дальше хотел очистить кеш сертификатов, запустив в командной строке из-под админа:
certutil -urlcache * delete
Но, меня отвлекли и я забыл это сделать. Заработало и так, хотя это как-то неправильно…
4. Перезагрузил компьютер
5. Скопировал с флешки каталоги Content и MetaData, положив их на место удалённых по адресу: C:windowssysten32configsystemprofileAppDataLocalLowMicrosoftCryptnetUrlCache
6. Запустил с флешки 4107.reg. Проверил в реестре по пути
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootCertificates
да, там появились сертификаты…
7. На всякий случай перезагрузился ещё раз
8. Запустил установку Acrobat Reader DC.

Ура! Acrobat Reader DC установился и работает 🙂

Возможно, что есть более простой рабочий способ исправления ошибки 4107 capi2, не у всех есть под рукой другая рабочая машина. Поделитесь, кто знает 🙂

Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале

приложений

с кодом 4107:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.

Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.

Возможные варианты решения проблемы:

1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.

2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:

Первый

— в реестре создайте следующие параметры:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftSystemCertificatesAuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000

Или

второй

— с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:

CLASS MACHINE
CATEGORY !!SystemCertificates
    POLICY !!DisableRootAutoUpdate    
       EXPLAIN !!Certificates_config
       VALUENAME "DisableRootAutoUpdate"
       VALUEON NUMERIC 0
          VALUEOFF NUMERIC 1
       KEYNAME "SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot"
    END POLICY
END CATEGORY
[strings]
DisableRootAutoUpdate="Auto Root Update"
Certificates_config="By default automatic updating of the trusted CTL is enabled. To disable the automatic updating trusted CTLe, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

CLASS MACHINE
CATEGORY !!SystemCertificates
    POLICY !!EnableDisallowedCertAutoUpdate        
       EXPLAIN !!Certificates_config
       VALUENAME "EnableDisallowedCertAutoUpdate"
       VALUEON NUMERIC 1
          VALUEOFF NUMERIC 0
       KEYNAME "SoftwarePoliciesMicrosoftSystemCertificatesAuthRoot"
    END POLICY
END CATEGORY
[strings]
EnableDisallowedCertAutoUpdate="Untrusted CTL Automatic Update"
Certificates_config="By default untrusted CTL automatic update is enabled. To disable trusted CTL update, select Disabled."
SystemCertificates="Windows AutoUpdate Settings"

3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificatesAuthRootAutoUpdate]
«RootDirURL»=»FILE://\server_with_certificatesshare»

или

«RootDirURL»=»HTTP://server_with_certificates/share»

В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:

CLASS MACHINE
CATEGORY !!SystemCertificates
    KEYNAME "SoftwareMicrosoftSystemCertificatesAuthRootAutoUpdate"
    POLICY !!RootDirURL
       EXPLAIN !!RootDirURL_help
       PART !!RootDirURL EDITTEXT
             VALUENAME "RootDirURL"
       END PART
    END POLICY
END CATEGORY
[strings]
RootDirURL="URL address to be used instead of default ctldl.windowsupdate.com"
RootDirURL_help="Enter a FILE or HTTP URL to use as the download location of the CTL files."
SystemCertificates="Windows AutoUpdate Settings"

Выберите из вышеописанных способов наиболее подходящий для вашей среды.