Folgendes Szenario angenommen:
- Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) installiert.
- Für die Installation der Zertifizierungsstelle werden delegierte Berechtigungen verwendet. Der installierende Benutzer ist also nicht Mitglied der Gruppe "Enterprise Administrators".
- Nach der Ausstellung des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle wird dieses installiert, um die Rollenkonfiguration abzuschließen.
- Die Installation des Zertifizierungsstellen-Zertifikats schlägt mit folgender Fehlermeldung fehl:
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Ursache
Dieser Fehler tritt auf, wenn der installierende Benutzer keine Schreibrechte auf das NTAuthCertifcates Objekt in der Active Directory Gesamtstruktur hat.
Das Zertifizierungsstellen-Zertifikat wird bei Installation in dieses Objekt aufgenommen – auch wenn es anschließend wieder direkt entfernt werden soll, kann dieser Schritt nicht ausgespart werden.
Folgefehler: Doppeltes Zertifizierungsstellen-Zertifikat
Ist man in den Fehler gelaufen, wird man den Prozess zur Instalation des Zertifizierungsstellen-Zertifikats erneut durchlaufen müssen. Dadurch wird es leider dazu kommen, dass das Zertifikat mehrfach in die Konfiguration der Zertifizierungsstelle eingetragen wird und der Zertifizierungsstellendienst den Start mit dem Fehlercode ERROR_INVALID_DATA verweigern wird.
Um die mehrfachen Instanzen zu entfernen, müssen die doppelten Einträge aus dem CACertHash Registryschlüssel entfernt werden. Dieser befindet sich an folgendem Speicherort:
HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}
Doppelte Einträge müssen entfernt werden.
Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.
Bitte beachten, dass es auch zwei Kopien des gleichen Zertifizierungsstellen-Zertifikats unter C:\Windows\System32\CertSrv\CertEnroll geben wird.
Weiterführende Links:
- Bearbeiten des NTAuthCertificates Objektes im Active Directory
- Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"
3 Gedanken zu „Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“
Kommentare sind geschlossen.