Grenzen der Microsoft Active Directory Certificate Services

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory besierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

Gerne wird auf die vielen Möglichkeiten hingewiesen, welche die Active Directory Certificate Services bieten. Selten wird allerdings darauf verwiesen, was mit ihnen nicht möglich ist. Das Produkt stößt nämlich mittlerweile an vielen Stellen auch an seine Grenzen.

Welche das sind, soll nachfolgend näher ausgeführt werden, um besser entscheiden zu können, ob die AD CS für geplante Vorhaben die richtige Lösung sein können.

„Grenzen der Microsoft Active Directory Certificate Services“ weiterlesen

Details zum Ereignis mit ID 80 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Ereignisquelle:Microsoft-Windows-CertificateServicesClient-CertEnroll
Ereignis-ID:80 (0x825A0050)
Ereignisprotokoll:Application
Ereignistyp:Warning
Ereignistext (englisch):Certificate enrollment for %1 cannot enroll for a %2 certificate because the certificate enrollment server %3 is ROBO and only renewal is supported
Ereignistext (deutsch):Die Zertifikatregistrierung für %1 kann sich nicht für ein Zertifikat %2 registrieren, da es sich bei dem Zertifikatregistrierungsserver %3 um einen ROBO-Server handelt und nur die Erneuerung unterstützt wird.
„Details zum Ereignis mit ID 80 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
CCertificateEnrollmenServerSetup::InitializeInstallDefaults: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)"“ weiterlesen

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"

Folgendes Szenarion angenommen:

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot  be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)   
„Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung "The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE"“ weiterlesen

Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
„Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."“ weiterlesen

Details zum Ereignis mit ID 17 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 17 (0x11)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A certification authority %1 has been loaded. For additional information, please refer to the EventData section of the Details pane.
Ereignistext (deutsch): Die Zertifizierungsstelle "%1" wurde geladen. Weitere Informationen finden Sie im Bereich "Ereignisdaten" des Detailbereichs.
„Details zum Ereignis mit ID 17 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 18 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 18 (0x12)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): For a list of the OIDs which are loaded please refer to the "Details" pane.
Ereignistext (deutsch): Eine Liste der geladenen OIDs finden Sie im Detailbereich.
„Details zum Ereignis mit ID 18 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 19 (0x13)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The Certificate Enrollment Policy Web Service cannot operate because Windows authentication is not compatible with key based renewal. To resolve this issue, remove the Certificate Enrollment Policy Web Service. Reconfigure the Setup options to disable key based renewal, or select either user name and password authentication or client certificate authentication, and then run Setup again.
Ereignistext (deutsch): Der Zertifikatregistrierungsrichtlinien-Webdienst kann nicht ausgeführt werden, da die Windows-Authentifizierung nicht mit schlüsselbasierter Erneuerung kompatibel ist. Entfernen Sie den Zertifikatregistrierungsrichtlinien-Webdienst, um das Problem zu beheben. Konfigurieren Sie die Setupoptionen neu, um die schlüsselbasierte Erneuerung zu deaktivieren, oder wählen Sie entweder eine Benutzernamen-/Kennwortauthentifizierung oder eine Clientzertifikatauthentifizierung aus, und führen Sie Setup dann erneut aus.
„Details zum Ereignis mit ID 19 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 20 (0x14)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A service end point with URI %1 has been configured for this service. The client authentication scheme is %2. Only policies that contain certificate templates that are enabled for key based renewal will be returned to the client. Use the Group Policy Management Console or the Certificates snap-in to configure clients with this Certificate Enrollment Policy Web Service information.
Ereignistext (deutsch): Für diesen Dienst wurde ein Dienstendpunkt mit URI "%1" konfiguriert. Das Clientauthentifizierungsschema lautet "%2". Nur Richtlinien mit Zertifikatvorlagen, die für die schlüsselbasiere Erneuerung konfiguriert sind, werden an den Client zurückgegeben. Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole oder das Snap-In "Zertifikate", um Clients mit Informationen dieses Zertifikatregistrierungsrichtlinien-Webdiensts zu konfigurieren.
„Details zum Ereignis mit ID 20 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 21 (0x15)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A service end point with URI %1 has been configured for this service. The client authentication scheme is %2. Only policies that contain certificate templates that are enabled for key based renewal will be returned to the client. Client certificates without subject information in the Active Directory database can be used to retrieve certificate templates. Use the Group Policy Management Console or the Certificates snap-in to configure clients with this Certificate Enrollment Policy Web Service information.
Ereignistext (deutsch): Für diesen Dienst wurde ein Dienstendpunkt mit URI "%1" konfiguriert. Das Clientauthentifizierungsschema lautet "%2". Nur Richtlinien mit Zertifikatvorlagen, die für die schlüsselbasiere Erneuerung konfiguriert sind, werden an den Client zurückgegeben. Zertifikatvorlagen können mit Clientzertifikaten ohne Antragstellerinformationen in der Active Directory-Datenbank abgerufen werden. Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole oder das Snap-In "Zertifikate", um Clients mit Informationen dieses Zertifikatregistrierungsrichtlinien-Webdiensts zu konfigurieren.
„Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 13 (0xD)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The certificate template "%1" cannot be sent as part of the policy response. Use the Certificate Templates snap-in to confirm that this is a valid certificate template. Also confirm that at least one running certification authority (CA) has this template enabled and that at least one Certificate Enrollment Web Service is configured to use this CA. %2
Ereignistext (deutsch): Die Zertifikatvorlage "%1" kann nicht als Teil der Richtlinienantwort gesendet werden. Bestätigen Sie mit dem Zertifikatvorlagen-Snap-In, dass es sich um eine gültige Zertifikatvorlage handelt. Stellen Sie sicher, dass die Vorlage auf mindestens einer ausgeführten Zertifizierungsstelle aktiviert ist und mindestens ein Zertifikatregistrierungs-Webdienst für die Verwendung dieser Zertifizierungsstelle konfiguriert wurde. %2
„Details zum Ereignis mit ID 13 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 14 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 14 (0xE)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The certification authority (CA) "%1" associated with the template "%2" cannot be sent as part of the policy response. Confirm that the CA is running and that at least one Certificate Enrollment Web Service is configured to use this CA. %3
Ereignistext (deutsch): Die mit der Vorlage "%2" verknüpfte Zertifizierungsstelle "%1" kann nicht als Teil der Richtlinienantwort gesendet werden. Stellen Sie sicher, dass die Zertifizierungsstelle ausgeführt wird und mindestens ein Zertifikatregistrierungs-Webdienst für die Verwendung dieser Zertifizierungsstelle konfiguriert wurde. %3
„Details zum Ereignis mit ID 14 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 15 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 15 (0xF)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The URI %2 used by the Certificate Enrollment Web Service for certification authority (CA) "%1" is invalid. Use Server Manager to configure the Certificate Enrollment Web Service to use a valid CA. %3
Ereignistext (deutsch): Der vom Zertifikatregistrierungs-Webdienst für die Zertifizierungsstelle "%1" verwendete URI "%2" ist ungültig. Konfigurieren Sie mit Server-Manager den Zertifikatregistrierungs-Webdienst zum Verwenden einer gültigen Zertifizierungsstelle. %3
„Details zum Ereignis mit ID 15 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 16 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 16 (0x10)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Information
Ereignistext (englisch): A certificate template %1 has been loaded. For additional information, please refer to the EventData section of the Details pane.
Ereignistext (deutsch): Die Zertifikatvorlage "%1" wurde geladen. Weitere Informationen finden Sie im Bereich "Ereignisdaten" des Detailbereichs.
„Details zum Ereignis mit ID 16 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen

Details zum Ereignis mit ID 8 der Quelle Microsoft-Windows-EnrollmentPolicyWebService

Ereignisquelle: Microsoft-Windows-EnrollmentPolicyWebService
Ereignis-ID: 8 (0x8)
Ereignisprotokoll: Microsoft-Windows-EnrollmentPolicyWebService/Admin
Ereignistyp: Fehler
Ereignistext (englisch): The Active Directory certificate enrollment policy provider failed to initialize. Try to restart Internet Information Services (IIS) by using iisreset.exe. If the problem persists, enable tracing in the web.config file, restart IIS, attempt to obtain policy information from any client, and then contact Microsoft Customer Service and Support with the trace file information. %1
Ereignistext (deutsch): Fehler beim Initialisieren des Active Directory-Zertifikatregistrierungsrichtlinien-Anbieters. Starten Sie Internetinformationsdienste (IIS) durch Ausführen von "iisreset.exe" neu. Falls das Problem weiterhin besteht, aktivieren Sie in der Datei "web.config" die Ablaufverfolgung, starten Sie IIS neu, rufen Sie von einem beliebigen Client Richtlinieninformationen ab, und wenden Sie sich dann mit den Informationen der Ablaufverfolgungsdatei an den Microsoft Kundendienst und Support. %1
„Details zum Ereignis mit ID 8 der Quelle Microsoft-Windows-EnrollmentPolicyWebService“ weiterlesen