Grenzen der Microsoft Active Directory Certificate Services

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory besierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

Gerne wird auf die vielen Möglichkeiten hingewiesen, welche die Active Directory Certificate Services bieten. Selten wird allerdings darauf verwiesen, was mit ihnen nicht möglich ist. Das Produkt stößt nämlich mittlerweile an vielen Stellen auch an seine Grenzen.

Welche das sind, soll nachfolgend näher ausgeführt werden, um besser entscheiden zu können, ob die AD CS für geplante Vorhaben die richtige Lösung sein können.

„Grenzen der Microsoft Active Directory Certificate Services“ weiterlesen

Details zum Ereignis mit ID 80 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:80 (0x825A0050)
Ereignisprotokoll:Application
Ereignistyp:Warning
Ereignistext (englisch):Certificate enrollment for %1 cannot enroll for a %2 certificate because the certificate enrollment server %3 is ROBO and only renewal is supported
Ereignistext (deutsch):Die Zertifikatregistrierung für %1 kann sich nicht für ein Zertifikat %2 registrieren, da es sich bei dem Zertifikatregistrierungsserver %3 um einen ROBO-Server handelt und nur die Erneuerung unterstützt wird.
„Details zum Ereignis mit ID 80 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
CCertificateEnrollmenServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot  be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)   
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"“ weiterlesen

Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
„Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."“ weiterlesen

Details zum Ereignis mit ID 17 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 17 (0x11)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A certification authority %1 has been loaded. For additional information, please refer to the EventData section of the Details pane.
Ereignistext (deutsch): Die Zertifizierungsstelle "%1" wurde geladen. Weitere Informationen finden Sie im Bereich "Ereignisdaten" des Detailbereichs.
„Details zum Ereignis mit ID 17 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 18 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 18 (0x12)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): For a list of the OIDs which are loaded please refer to the "Details" pane.
Ereignistext (deutsch): Eine Liste der geladenen OIDs finden Sie im Detailbereich.
„Details zum Ereignis mit ID 18 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 19 (0x13)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The Certificate Enrollment Policy Web Service cannot operate because Windows authentication is not compatible with key based renewal. To resolve this issue, remove the Certificate Enrollment Policy Web Service. Reconfigure the Setup options to disable key based renewal, or select either user name and password authentication or client certificate authentication, and then run Setup again.
Ereignistext (deutsch): Der Zertifikatregistrierungsrichtlinien-Webdienst kann nicht ausgeführt werden, da die Windows-Authentifizierung nicht mit schlüsselbasierter Erneuerung kompatibel ist. Entfernen Sie den Zertifikatregistrierungsrichtlinien-Webdienst, um das Problem zu beheben. Konfigurieren Sie die Setupoptionen neu, um die schlüsselbasierte Erneuerung zu deaktivieren, oder wählen Sie entweder eine Benutzernamen-/Kennwortauthentifizierung oder eine Clientzertifikatauthentifizierung aus, und führen Sie Setup dann erneut aus.
„Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 20 (0x14)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A service end point with URI %1 has been configured for this service. The client authentication scheme is %2. Only policies that contain certificate templates that are enabled for key based renewal will be returned to the client. Use the Group Policy Management Console or the Certificates snap-in to configure clients with this Certificate Enrollment Policy Web Service information.
Ereignistext (deutsch): Für diesen Dienst wurde ein Dienstendpunkt mit URI "%1" konfiguriert. Das Clientauthentifizierungsschema lautet "%2". Nur Richtlinien mit Zertifikatvorlagen, die für die schlüsselbasiere Erneuerung konfiguriert sind, werden an den Client zurückgegeben. Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole oder das Snap-In "Zertifikate", um Clients mit Informationen dieses Zertifikatregistrierungsrichtlinien-Webdiensts zu konfigurieren.
„Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 21 (0x15)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A service end point with URI %1 has been configured for this service. The client authentication scheme is %2. Only policies that contain certificate templates that are enabled for key based renewal will be returned to the client. Client certificates without subject information in the Active Directory database can be used to retrieve certificate templates. Use the Group Policy Management Console or the Certificates snap-in to configure clients with this Certificate Enrollment Policy Web Service information.
Ereignistext (deutsch): Für diesen Dienst wurde ein Dienstendpunkt mit URI "%1" konfiguriert. Das Clientauthentifizierungsschema lautet "%2". Nur Richtlinien mit Zertifikatvorlagen, die für die schlüsselbasiere Erneuerung konfiguriert sind, werden an den Client zurückgegeben. Zertifikatvorlagen können mit Clientzertifikaten ohne Antragstellerinformationen in der Active Directory-Datenbank abgerufen werden. Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole oder das Snap-In "Zertifikate", um Clients mit Informationen dieses Zertifikatregistrierungsrichtlinien-Webdiensts zu konfigurieren.
„Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 9 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 9 (0x9)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The Active Directory certificate enrollment policy provider failed to obtain policy information from Active Directory Domain Services (AD DS). The provider will attempt to read the information again in %1 milliseconds. If the problem persists, enable tracing in the web.config file, enable logging by using "certutil -setreg debug 0xffffffe3", restart IIS by using iisreset.exe, attempt to obtain policy information from any client, and then contact Microsoft Customer Service and Support with the information in the trace files and certenroll.log file. %2
Ereignistext (deutsch): Der Active Directory-Zertifikatregistrierungsrichtlinien-Anbieter konnte die Richtlinieninformationen von den Active Directory-Domänendiensten nicht abrufen. In "%1" Millisekunden wird versucht, die Informationen erneut zu lesen. Falls das Problem weiterhin besteht, aktivieren Sie in der Datei "web.config" die Ablauferfolgung, aktivieren Sie mithilfe von "certutil -setreg debug 0xffffffe3" die Protokollierung, starten Sie IIS neu, rufen Sie von einem beliebigen Client Richtlinieninformationen ab, und wenden Sie sich dann mit den Informationen der Ablaufverfolgungsdateien und der Datei "certenroll.log" an den Microsoft Kundendienst und Support. %2
„Details zum Ereignis mit ID 9 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 10 (0xA)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Warnung
Ereignistext (englisch): There is no enterprise certification authority (CA) configured with the Certificate Enrollment Web Service in the current forest. Confirm that at least one enterprise CA is available in the forest and that at least one server running the Certificate Enrollment Web Service is configured to work with this CA.
Ereignistext (deutsch): Die aktuelle Gesamtstruktur enthält keine Unternehmenszertifizierungsstelle, die mit dem Zertifikatregistrierungs-Webdienst konfiguriert wurde. Stellen Sie sicher, dass in der Gesamtstruktur mindestens eine Unternehmenszertifizierungsstelle verfügbar ist und mindestens ein Server, auf dem der Zertifikatregistrierungs-Webdienst ausgeführt wird, für die Zusammenarbeit mit der Unternehmenszertifizierungsstelle konfiguriert wurde.
„Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 11 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 11 (0xB)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Warnung
Ereignistext (englisch): No certificate templates in the forest are configured to be sent as part of the policy response. Confirm that the server hosting the Certificate Enrollment Policy Web Service has Read permission to the required templates in this forest and that at least one server hosting the Certificate Enrollment Web Service is configured to work with the certification authorities (CAs) configured to issue the required templates.
Ereignistext (deutsch): In der Gesamtstruktur wurden keine Zertifikatvorlagen konfiguriert, um als Teil der Richtlinienantwort gesendet zu werden. Stellen Sie sicher, dass der Server mit dem Zertifikatregistrierungsrichtlinien-Webdienst über die Leseberechtigung für die erforderlichen Vorlagen in der Gesamtstruktur verfügt. Stellen Sie außerdem sicher, dass mindestens ein Server mit dem Zertifikatregistrierungs-Webdienst für die Zusammenarbeit mit den für das Ausstellen der erforderlichen Vorlagen konfigurierten Zertifizierungsstellen konfiguriert ist.
„Details zum Ereignis mit ID 11 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 12 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 12 (0xC)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The certification authority (CA) "%1" cannot be sent as part of the policy response. Confirm that this CA is running and that at least one Certificate Enrollment Web Service is configured to use this CA . %2
Ereignistext (deutsch): Die Zertifizierungsstelle "%1" kann nicht als Teil der Richtlinienantwort gesendet werden. Stellen Sie sicher, dass die Zertifizierungsstelle ausgeführt wird und mindestens ein Zertifikatregistrierungs-Webdienst für die Verwendung der Zertifizierungsstelle konfiguriert wurde. %2
„Details zum Ereignis mit ID 12 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 13 (0xD)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The certificate template "%1" cannot be sent as part of the policy response. Use the Certificate Templates snap-in to confirm that this is a valid certificate template. Also confirm that at least one running certification authority (CA) has this template enabled and that at least one Certificate Enrollment Web Service is configured to use this CA. %2
Ereignistext (deutsch): Die Zertifikatvorlage "%1" kann nicht als Teil der Richtlinienantwort gesendet werden. Bestätigen Sie mit dem Zertifikatvorlagen-Snap-In, dass es sich um eine gültige Zertifikatvorlage handelt. Stellen Sie sicher, dass die Vorlage auf mindestens einer ausgeführten Zertifizierungsstelle aktiviert ist und mindestens ein Zertifikatregistrierungs-Webdienst für die Verwendung dieser Zertifizierungsstelle konfiguriert wurde. %2
„Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen