Блокнот ночного сисадмина

пятница, 15 января 2016 г.

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2

Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале приложений с кодом 4107:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.

Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.

Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.

2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый — в реестре создайте следующие параметры:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000

Или второй — с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:

3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate]
«RootDirURL»=» FILE:// \\server_with_certificates\share\»

В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:

Выберите из вышеописанных способов наиболее подходящий для вашей среды.

Capi 2 4107 и куча всего

выскакивает куча ошибок

Имя журнала: Application
Источник: Microsoft-Windows-CAPI2
Дата: 19.09.2018 16:32:47
Код события: 4107
Категория задачи:Отсутствует
Уровень: Ошибка
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: Nata-ПК
Описание:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на с ошибкой Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.
.
Xml события:

4107
0
2
0
0
0x8080000000000000

657

Application
Nata-ПК

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.

следовала советам из статьи:

Turn off UAC, restart machine and delete all files found in:

C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Mic rosoft\CryptnetUrlCache\MetaData C:\Windows\ServiceProfiles\LocalService\AppData\LocalLow\Mic rosoft\CryptnetUrlCache\Content

C:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\M icrosoft\CryptnetUrlCache\MetaData C:\Windows\ServiceProfiles\NetworkService\AppData\LocalLow\M icrosoft\CryptnetUrlCache\Content

Delete all keys under:

Turn back ON UAC, restart

потом вижу сообщение успешное обонвление сертификата capi 2 4097. Чреез пару минут снова туча ошибок сертификата+опера перестала грузить страницы.

Windows 7 Ultimate getting tons of CAPI2- 4107 errors in application event log.

Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: 7/11/2010 11:57:04 AM
Event ID: 4107
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer:
Description:
Failed extract of third-party root list from auto update cab at: with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
.
Event Xml:

4107
0
2
0
0
0x8080000000000000

3251

Application
Kronos

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.

I started getting this error on July 11th at 11:57am CST. I was doing nothing at the time other than browsing. My computer is properly time syncing. It appears that Microsoft is issuing a certificate with bad info, since downloading the cert myself and viewing it says that the certificate is not valid for the requested usage. There are literally over a thousand of these errors now piled up but there seems to be no end in sight. I tripped across them doing a weekly check of the logs. I am experiencing no performance degradation or BSODs. I ran «sfc /scannow» as admin and it found no problems.

The certificate is issued by Microsoft and signed by Microsoft, off of Microsoft servers.

Other places mention that the windows media player media server can cause this but their only fix is to disable the service. Not kosher.

Смерть Windows 7

Предыдущая попытка «выжить» Windows Seven была предпринята дражайшей корпорацией Microsoft несколько лет назад, когда на всех системах с очередным обновлением прилетала дружественная напоминалочка обновиться до Windows 10. Которая ещё и могла «самообновить» систему, пока пользователь отлучался в туалет. Передать весь мой ужас, когда я взирал на это у клиентов, невозможно. А сам я Windows Seven тогда просто не пользовался. 🙂

И вот, за год до окончания официальной поддержки, в Microsoft, видимо, решили окончательно не церемониться. Смерть любимой семёрочки может наступить быстрее ожидаемого.

Накатываю 100500 раз проверенный 64-битный дистриб Windows 7 Ultimate. Всё как по маслу, клиент активирует купленным ключиком. Дистрибу лет много, но всё всегда было пучком; из «обновлений» достаточно поставить IE11 для различных убогих программ, требующих веб-подсистему винды для своего функционирования. У меня самого таковых нет (стоит бородатый IE в поставке Win7 SP1), но корпоративные пользователи вынуждены пользоваться. Различные банк-клиенты, электронные подписи — вся эта жуткая бредятина, выдуманная травокурами. Как только что-то не то с IE и сертификатами — так ступор. Skype (убогий, конечно, нынче) тоже веб-подсистему использует, но в основном для показа рекламы. Вылазит какая-то ошибка, но сам Skype работает.

Первый звоночек: Google Chrome отказался показывать половину сайтов на HTTPS с криками «сертификат ай-яй-яй». Кстати, я предвидел абсолютно всё, о чём сейчас рассказываю. И что с SSL мы все ещё наедимся (у меня нет претензий к нужности шифрования трафика, но есть куча претензий к тому, как бездарно это всё реализовали). И что Google Chrome — неадекватная программа ; на данном примере очень удобно это подтвердить, поскольку Firefox работал на рассматриваемой системе нормально. Просто потому, что у него собственная реализация поддержки всех этих несчастных сертификатов, а Chrome в этом вопросе безблагодатно предпочёл ориентироваться на винду.

На винду же ориентируется и малознакомый мне пакет Mango Office, который клиенту нужен был до зарезу. Который тоже пользуется IE-штучками для авторизации (про IE вообще надо забыть уж как лет десять, привет многочисленным банк-клиентам и прочей подобной шелухе). И если что-то с корневыми сертификатами в винде не так — всё, приехали.

На первый взгляд, проблема была решаема (не впервой), но всё оказалось печальнее. В журнале винды отпечатывалось:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на с ошибкой Данный сертификат не подходит для такого использования.

Это событие источника CAPI2 с кодом 4107. Ошибка может варьироваться: например, «Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле». Каждый раз — разный бред. В интернете полно способов решения конкретно этой проблемы, которые сводятся к запуску под админом команды certutil -urlcache * delete , очищение любых найденных папок с именем CryptnetUrlCache (я нашёл одну в винде и одну в профиле пользователя) и удаление ключа HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates со всеми подключами. Судя по всему, раньше это работало. Есть ещё обновление сертификатов KB3004394 — но не сработало и оно. Кстати, это обновление предназначается в том числе и для Windows 8 — что как бы намекает. 🙂 Операции с установлением правильного времени на компьютере оставим для дебилов. После «благодатного очищения» система вновь пыталась загрузить вышеуказанный файл, чего-то там из него извлечь — и обламывалась. Я даже загрузил его сам и пытался шаманить руками — ничего не вышло.

Тут можно предположить, что конкретно на данной системе при установке «что-то произошло» (хотя это бред). Но у меня дома, на совершенно другом дистрибе Win7 (x86) — всё то же самое. Просто я не замечаю этого, потому что у меня не установлено ни одной дурацкой программы. Я не знаю, когда оно возникло, но меня оно за все годы и не волновало.

Мне сдаётся, что файл просто не подходит по формату для «семёрки». Или что-то ещё там накозлячено. Возможно, это «пасхалка» в дистрибе, задуманная ещё до всяких Windows 10 — зная Microsoft, удивляться не приходится. При этом, под виндой не удастся воспользоваться ни одной программой, которой требуются эти долбаные сертификаты. Корпоративные клиенты вынуждены устанавливать весь этот зоопарк, т.к. «криптобред» в конторской работе вошёл в жизнь плотно и без вазелина.

Выход тут понятный и безвариантный: установка Windows 10, где всё работает. Пока работает. Как раз вчера обслуживал комп с Windows 10. Неотключаемое обновление при перезагрузке; выпадение в осадок с ошибкой «Обновление не удалось установить; идёт откат». На протяжении 55 минут семь перезагрузок — специально засёк. 🙂 Потом завелось. Да это ладно; тут самолёты начали из-за ПО падать. Добро пожаловать в настоящий компьютерный «рэволюшн». А других компьютеров у меня для вас нету. Впрочем, пока есть, коли нет нужды в дурацких криптосервисах. Пока — есть.

Microsoft windows capi2 код события 4107

Войти

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Windows: EventID 4107 в журнале событий

Имя журнала: приложение
Источник: Microsoft-Windows-CAPI2
Дата: дата и время
Код события: 4107
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя компьютера
Описание:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab > с ошибкой «Истек или не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле»

Самостоятельное решение проблемы:

Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.

Если кэш сертификата с истекшим сроком действия хранится в локальных системных профилях, удалите содержимое некоторых каталогов с помощью проводника. Для этого выполните указанные ниже действия.

Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.

Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.

1. В меню Упорядочить выберите пункт Параметры папок и поиска .
2. Откройте вкладку Вид.
3. Установите флажок Показывать скрытые файлы и папки.
4. Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
5. Снимите флажок Скрывать защищенные системные файлы.
6. Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.

Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).

Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.

%windir%\ServiceProfiles\LocalService\Ap pData\LocalLow\Microsoft\CryptnetUrlCach e\Content
%windir%\ServiceProfiles\LocalService\Ap pData\LocalLow\Microsoft\CryptnetUrlCach e\MetaData

NetworkService
%windir%\ServiceProfiles\NetworkService\A ppData\LocalLow\Microsoft\CryptnetUrlCac he\Content
%windir%\ServiceProfiles\NetworkService\A ppData\LocalLow\Microsoft\CryptnetUrlCac he\MetaData