Event ID 4107 or Event ID 11 is logged in the Application log
This article provides steps to solve the event 4107 and event 11 that are logged in the Application log.
Original product version: В Windows Server 2012 R2, Windows Server 2008 R2 Service Pack 1, Windows 7 Service Pack 1
Original KB number: В 2328240
Symptoms
The following error messages are logged in the Application log:
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: DateTime
Event ID: 4107
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: ComputerName
Description:
Failed extract of third-party root list from auto update cab at: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
Log Name: Application
Source: Microsoft-Windows-CAPI2
Date: DateTime
Event ID: 11
Task Category: None
Level: Error
Keywords: Classic
User: N/A
Computer: ComputerName
Description:
Failed extract of third-party root list from auto update cab at: http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab with error: A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file.
Cause
This error occurs because the Microsoft Certificate Trust List Publisher certificate expired. A copy of the CTL with an expired signing certificate exists in the CryptnetUrlCache folder.
Resolution
To resolve the problem, follow these steps:
Open a command prompt. To do this, select Start, select All Programs, select Accessories, and then select Command Prompt.
At the command prompt, type the following command, and then press ENTER:
The certutil command must be run for every user on the workstation. Each user must login and follow steps 1 and 2 above.
If the expired certificate is cached in one of the local system profiles, you must delete the contents of some directories by using Windows Explorer. To do this, follow these steps:
Start Windows Explorer. To do this, select Start, select All Programs, select Accessories, and then select Windows Explorer.
You must enable hidden folders to view the directories whose contents you must delete. To enable hidden files and folders, follow these steps:
- Select Organize, and then select Folder and search options.
- Select the View tab.
- Select the Show hidden files and folders check box.
- Clear the Hide extensions for known file types check box.
- Clear the Hide protected operating system files check box.
- Select Yes to dismiss the warning, and then select OK to apply the changes and to close the dialog box.
Delete the contents of the directories that are listed here. (%windir% is the Windows directory.)
You may receive a message that states that you do not have permission to access the folder. If you receive this message, select Continue.
LocalService :
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
NetworkService :
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\ServiceProfiles\NetworkService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
LocalSystem :
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData
More information
Additionally, event ID 4107 can also be logged with a The data is invalid error instead of the A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file error.
This error Data is invalid indicates the object returned from the network was not a valid cab file and hence Windows could not parse it correctly. Instances of such an error can occur when the network retrieval attempt for the cab file fails to go through a proxy. If the proxy returns some data or message instead of a standard HTTP error code, Windows will try to parse the message received from the proxy expecting it to be the cab. This will fail with the data is invalid error.
To address this error, you need to remove the invalid entry in the cache by clearing the cache following the steps outlined in the Resolution section.
Смерть Windows 7
Предыдущая попытка «выжить» Windows Seven была предпринята дражайшей корпорацией Microsoft несколько лет назад, когда на всех системах с очередным обновлением прилетала дружественная напоминалочка обновиться до Windows 10. Которая ещё и могла «самообновить» систему, пока пользователь отлучался в туалет. Передать весь мой ужас, когда я взирал на это у клиентов, невозможно. А сам я Windows Seven тогда просто не пользовался. 🙂
И вот, за год до окончания официальной поддержки, в Microsoft, видимо, решили окончательно не церемониться. Смерть любимой семёрочки может наступить быстрее ожидаемого.
Накатываю 100500 раз проверенный 64-битный дистриб Windows 7 Ultimate. Всё как по маслу, клиент активирует купленным ключиком. Дистрибу лет много, но всё всегда было пучком; из «обновлений» достаточно поставить IE11 для различных убогих программ, требующих веб-подсистему винды для своего функционирования. У меня самого таковых нет (стоит бородатый IE в поставке Win7 SP1), но корпоративные пользователи вынуждены пользоваться. Различные банк-клиенты, электронные подписи — вся эта жуткая бредятина, выдуманная травокурами. Как только что-то не то с IE и сертификатами — так ступор. Skype (убогий, конечно, нынче) тоже веб-подсистему использует, но в основном для показа рекламы. Вылазит какая-то ошибка, но сам Skype работает.
Первый звоночек: Google Chrome отказался показывать половину сайтов на HTTPS с криками «сертификат ай-яй-яй». Кстати, я предвидел абсолютно всё, о чём сейчас рассказываю. И что с SSL мы все ещё наедимся (у меня нет претензий к нужности шифрования трафика, но есть куча претензий к тому, как бездарно это всё реализовали). И что Google Chrome — неадекватная программа ; на данном примере очень удобно это подтвердить, поскольку Firefox работал на рассматриваемой системе нормально. Просто потому, что у него собственная реализация поддержки всех этих несчастных сертификатов, а Chrome в этом вопросе безблагодатно предпочёл ориентироваться на винду.
На винду же ориентируется и малознакомый мне пакет Mango Office, который клиенту нужен был до зарезу. Который тоже пользуется IE-штучками для авторизации (про IE вообще надо забыть уж как лет десять, привет многочисленным банк-клиентам и прочей подобной шелухе). И если что-то с корневыми сертификатами в винде не так — всё, приехали.
На первый взгляд, проблема была решаема (не впервой), но всё оказалось печальнее. В журнале винды отпечатывалось:
Ошибка извлечения стороннего корневого списка из CAB-файла автоматического обновления на с ошибкой Данный сертификат не подходит для такого использования.
Это событие источника CAPI2 с кодом 4107. Ошибка может варьироваться: например, «Истек/не наступил срок действия требуемого сертификата при проверке по системным часам или по отметке времени в подписанном файле». Каждый раз — разный бред. В интернете полно способов решения конкретно этой проблемы, которые сводятся к запуску под админом команды certutil -urlcache * delete , очищение любых найденных папок с именем CryptnetUrlCache (я нашёл одну в винде и одну в профиле пользователя) и удаление ключа HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot\Certificates со всеми подключами. Судя по всему, раньше это работало. Есть ещё обновление сертификатов KB3004394 — но не сработало и оно. Кстати, это обновление предназначается в том числе и для Windows 8 — что как бы намекает. 🙂 Операции с установлением правильного времени на компьютере оставим для дебилов. После «благодатного очищения» система вновь пыталась загрузить вышеуказанный файл, чего-то там из него извлечь — и обламывалась. Я даже загрузил его сам и пытался шаманить руками — ничего не вышло.
Тут можно предположить, что конкретно на данной системе при установке «что-то произошло» (хотя это бред). Но у меня дома, на совершенно другом дистрибе Win7 (x86) — всё то же самое. Просто я не замечаю этого, потому что у меня не установлено ни одной дурацкой программы. Я не знаю, когда оно возникло, но меня оно за все годы и не волновало.
Мне сдаётся, что файл просто не подходит по формату для «семёрки». Или что-то ещё там накозлячено. Возможно, это «пасхалка» в дистрибе, задуманная ещё до всяких Windows 10 — зная Microsoft, удивляться не приходится. При этом, под виндой не удастся воспользоваться ни одной программой, которой требуются эти долбаные сертификаты. Корпоративные клиенты вынуждены устанавливать весь этот зоопарк, т.к. «криптобред» в конторской работе вошёл в жизнь плотно и без вазелина.
Выход тут понятный и безвариантный: установка Windows 10, где всё работает. Пока работает. Как раз вчера обслуживал комп с Windows 10. Неотключаемое обновление при перезагрузке; выпадение в осадок с ошибкой «Обновление не удалось установить; идёт откат». На протяжении 55 минут семь перезагрузок — специально засёк. 🙂 Потом завелось. Да это ладно; тут самолёты начали из-за ПО падать. Добро пожаловать в настоящий компьютерный «рэволюшн». А других компьютеров у меня для вас нету. Впрочем, пока есть, коли нет нужды в дурацких криптосервисах. Пока — есть.
Ошибка 4107 capi2 windows server 2008
Сообщения: 8502
Благодарности: 1579
| Конфигурация компьютера | ||||||||||||||||
| Материнская плата: Asus P5K-VM | ||||||||||||||||
| HDD: Seagate Barracuda 7200.10 320GB sATAII | ||||||||||||||||
| Звук: HDA кодек Realtek ALC883 | ||||||||||||||||
| CD/DVD: SonyNEC Optiarc AD-7203S | ||||||||||||||||
| ОС: Windows 7 Ultimate 32-bit | ||||||||||||||||
|
