NetworkService
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

LocalSystem
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

Блокнот ночного сисадмина

пятница, 15 января 2016 г.

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления сертификатов Windows службы CAPI2

Если компьютер не имеет прямого доступа в интернет, вы можете обнаружить ошибку в журнале приложений с кодом 4107:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на «http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab» с ошибкой Недопустимые данные.

Обычно это связана с тем, что компьютер не может корректно обновить корневые сертификаты через сайт «windowsupdate.com«.

Возможные варианты решения проблемы:
1. Снять ограничения на прокси сервере или внешнем брандмауэре, через которые осуществляется выход в интернет.

2. В случае полной изоляции среды функционирования ОС Windows можно просто отключить обновление сертификатов двумя способами:
Первый — в реестре создайте следующие параметры:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot] «DisableRootAutoUpdate»=dword:00000001
«EnableDisallowedCertAutoUpdate»=dword:00000000

Или второй — с помощью групповых политик домена Windows. Для этого импортируйте следующие .adm шаблоны:

3. Перенаправить на локальный URL-адрес автоматическое обновление сертификатов Microsoft. Для этого понадобится один сервер с полноценным выходом в интернет, который будет выкачивать списки сертификатов и предоставлять их во внутреннюю сеть. Загрузка выполняется с помощью команды «Certutil -f -syncWithWU path«, запущенной с повышенными привилегиями, где path — это путь, куда будет выгружена информация о сертификатах для дальнейшего распространения. Далее файлы можно просто расшарить средствами Windows или предоставить доступ по HTTP через IIS, Apache и т.п. На клиентских ОС производим настройку на сервер в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate]
«RootDirURL»=» FILE:// \\server_with_certificates\share\»

В доменной среде удобнее выполнить настройку с помощью групповой политики. Используйте следующий .adm шаблон:

Выберите из вышеописанных способов наиболее подходящий для вашей среды.

Событие с ид 4107 или 11 регистрируется в журнале приложений

В этой статье данная статья содержит действия по решению события 4107 и события 11, зарегистрированных в журнале приложений.

Исходная версия продукта: Windows Server 2012 R2, Windows Server 2008 R2 Пакет обновления 1, Windows 7 Пакет обновления 1
Исходный номер КБ: 2328240

Симптомы

В журнале приложений регистрируются следующие сообщения об ошибках:

Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 4107
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.

Имя журнала: Приложение
Источник: Microsoft-Windows-CAPI2
Date: DateTime
ИД события: 11
Категория задач: нет
Уровень: ошибка
Ключевые слова: классическая
Пользователь: Н/А
Computer: ComputerName
Описание:
Не удалось извлечь корневой список стороне из cab-файла автоматического обновления: с ошибкой: требуемого сертификата не в течение срока действия при проверке с текущими системными часами или timestamp в подписанном http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab файле.

Причина

Эта ошибка возникает из-за истечения срока действия сертификата издателя списка доверия сертификатов Майкрософт. Копия срока жизни с просроченным сертификатом подписи существует в папке CryptnetUrlCache.

Решение

Чтобы устранить проблему, выполните следующие действия.

Откройте окно командной строки. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите команду «Командная подсказка».

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Команду certutil необходимо выполнить для каждого пользователя на рабочей станции. Каждый пользователь должен войти в систему и следовать шагам 1 и 2 выше.

Если просроченный сертификат кэшется в одном из локальных системных профилей, необходимо удалить содержимое некоторых каталогов с помощью проводника Windows. Для этого выполните следующие действия:

Откройте проводник. Выберите «Начните», выберите «Все программы», «Аксессуары» и выберите проводник Windows.

Необходимо включить скрытые папки для просмотра каталогов, содержимое которых необходимо удалить. Чтобы включить скрытые файлы и папки, выполните следующие действия.

1. Выберите «Организация», а затем выберите папку и параметры поиска.
2. Выберите вкладку «Вид».
3. Выберите «Показать скрытые файлы и папки».
4. Скройте расширения для известных типов файлов.
5. Скройте защищенные файлы операционной системы.
6. Выберите «Да», чтобы закрыть предупреждение, а затем выберите «ОК», чтобы применить изменения и закрыть диалоговое окно.

Удалите содержимое каталогов, перечисленных здесь. (%windir% — это каталог Windows.)

Вы можете получить сообщение о том, что у вас нет разрешения на доступ к папке. Если вы получили это сообщение, выберите «Продолжить».

LocalService :
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

NetworkService :
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

LocalSystem :
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

Дополнительные сведения

Событие с ид 4107 также может регистрироваться с недопустимым сообщением о недопустимой ошибке вместо следующей ошибки:

Необходимый сертификат не находится в течение срока действия при проверке на текущий системный час или временную подпись в подписанной файле

Эта ошибка «Данные недействительны» указывает, что объект, возвращенный из сети, не был допустимым CAB-файлом. Поэтому Windows не удалось правильно его разлить. Экземпляры такой ошибки могут возникать, если попытка сетевого и получить CAB-файл не проходит через прокси-сервер. Если прокси-сервер возвращает некоторые данные или сообщение, а не стандартный код ошибки HTTP, Windows попытается анализировать сообщение, полученное от прокси-сервера, ожидая, что оно будет CAB-кодом. Эта ситуация не удалась с недопустимыми данными.

Чтобы устранить эту ошибку, необходимо удалить недействительные записи в кэше, с помощью очистки кэша, следуя шагам в разделе «Решение».

DenTNT.trmw.ru

Записная книжка

Windows: Microsoft-Windows-CAPI2, EventID 4107

Самостоятельное решение проблемы:

1. Откройте командную строку. Для этого нажмите кнопку Пуски последовательно выберите пункты Все программы, Стандартные, Командная строка.
2. В командной строке введите указанную ниже команду и нажмите клавишу ВВОД.

Примечание. Команду certutil нужно выполнить для всех пользователей рабочей станции. Каждый из них должен войти в систему и выполнить действия 1 и 2.

1. Запустите проводник. Для этого нажмите кнопку Пуск и последовательно выберите пункты Все программы, Стандартные, Проводник.Примечание. Чтобы найти каталоги, содержимое которых нужно удалить, включите отображение скрытых папок. Для этого выполните указанные ниже действия.
   1. В меню Упорядочить выберите пункт Параметры папок и поиска .
   2. Откройте вкладку Вид.
   3. Установите флажок Показывать скрытые файлы и папки.
   4. Снимите флажок Скрывать расширения для зарегистрированных типов файлов.
   5. Снимите флажок Скрывать защищенные системные файлы.
   6. Закройте предупреждение, нажав кнопку Да. Чтобы применить изменения и закрыть диалоговое окно, нажмите кнопку ОК.
2. Удалите содержимое перечисленных ниже каталогов (%windir% — каталог Windows).Примечание. Иногда может появляться сообщение о том, что у вас нет разрешения на доступ к папке. В таких случаях нажимайте кнопку Продолжить.

   NetworkService
   %windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
   %windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

   LocalSystem
   %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
   %windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

Ошибка 4107 capi2 на Windows 7

Пытался поставить Acrobat Reader DC yа чистой машине под управлением Windows 7 (64-бит, русская).

Установщик Acrobat Reader DC загрузился нормально, но после 50%, когда появилась надпись «Установка», программа вывалилась с ошибкой, даже не сказав с какой. Впервые столкнулся с ошибкой в установке Acrobat Reader DC. Ставить «левую» читалку PDF-файлов как-то не хочется, переустанавливать Windows тем более. Надо исправлять…

Лезу в журнал ошибок Windows и вижу:

Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab с ошибкой Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле.

В журнале вижу код ошибки EventID 4107 и в Подробностях сообщение от Microsoft-Windows-CAPI2.
Открыл файл по ссылке, а в нём срок действия истёк много лет назад. Посмотрел на системное время и дату — всё в порядке…
Поиск по запросу Ошибка 4107 capi2 выдал кучу ссылок — ура, проблема известна. Но, нет, — до стопудово рабочего рецепта я так и не добрался…
Видел интересный способ по отключению проверки сертификатов в виндовс — наверняка это работает, но посчитал это неправильным.
В итоге, импортировал сертификаты с рабочей машины с такой же операционкой.

На рабочей машине:
1. Зашёл по пути:
C:\windows\systen32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache
И скопировал оттуда на флешку оба каталога: Content и MetaData
2. Экспортировал ветку реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
и сохранил её под именем 4107.reg

Затем зашёл на «сломанную» машину и загрузил всё это дело на неё вот так:
0. Вынул кабель Ethernet и закрыл все прикладные программы.
1. Зашёл по пути:
C:\windows\systen32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache
и удалил оба каталога Content и MetaData (предварительно на всякий случай сохранив их копии на флешку).
2. Очистил ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
3. Дальше хотел очистить кеш сертификатов, запустив в командной строке из-под админа:
certutil -urlcache * delete
Но, меня отвлекли и я забыл это сделать. Заработало и так, хотя это как-то неправильно…
4. Перезагрузил компьютер
5. Скопировал с флешки каталоги Content и MetaData, положив их на место удалённых по адресу: C:\windows\systen32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache
6. Запустил с флешки 4107.reg. Проверил в реестре по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
да, там появились сертификаты…
7. На всякий случай перезагрузился ещё раз
8. Запустил установку Acrobat Reader DC.

Ура! Acrobat Reader DC установился и работает 🙂

Возможно, что есть более простой рабочий способ исправления ошибки 4107 capi2, не у всех есть под рукой другая рабочая машина. Поделитесь, кто знает 🙂