Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es wird eine Zertifizierungsstelle installiert.
  • Die Installation verläuft erfolgreich, der Zertifizierungsstellen-Dienst startet aber nicht nach der Installation.
  • Beim Versuch, den Zertifizierungsstellen-Dienst über die Zertifizierungsstellen-Verwaltungskonsole zu starten, erhält man folgende Fehlermeldung:
The system cannot find the file specified. 0x2 (WIN32: 2 ERROR_FILE_NOT_FOUND)
The policy module for a CA is missing or incorrectly registered. To view or change policy module settings, right-click on the CA, click Properties, and then click the Policy Module tab.

Ein entsprechendes Ereignis mit Nr. 100 findet sich auch in der Ereignisanzeige der Zertifizierungsstelle:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Root CA The system cannot find the file specified. 0x80070002 (WIN32: 2 ERROR_FILE_NOT_FOUND).

Mögliche Ursachen

Die Fehlermeldung in der Zertifizierungsstellen-Verwaltungskonsole ist verwirrend, da hier die Rede von einem fehlerhaften Policy-Modul ist, dieses aber nicht die Ursache des Problems ist.

CACertHash Registry Wert leer

Der Fehler wird auftreten, wenn der "CACertHash" Wert in der Registrierung der Zertifizierungsstelle leer ist.

Dieser befindet sich in folgendem Pfad:

HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\<Common-Name-der-Zertifizierungsstelle>

Siehe auch Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"" für weitere Informationen.

CACertHash Registry Wert verweist auf nichtexistentes Zertifikat

Der Fehler wird auftreten, wenn der CACertHash Registry Wert auf ein nicht auf dem Server vorhandenes Zertifizierungsstellen-Zertifikat verwiesen wird, beispielsweise weil dieses nach der Wiederherstellung aus der Sicherung oder Migration auf einen anderern Server noch nicht wiederhergestellt wurde.

Siehe hierzu auch:

Keine Berechtigung im Key Storage Provider (KSP) des Hardware Security Moduls

Im vorliegenden Fall wurde ein SafeNet Hardware Security Modul verwendet.

Während der Installation der Zertifizierungsstelle wurde im SafeNet Key Storage Provider Config Wizard lediglich das Konto des installierenden Benutzers auf die Partition des Hardware Security Moduls (HSM) berechtigt.

Die Installation der Zertifizierungsstelle verlief erfolgreich, aber anschließend startete der Dienst nicht.

Der Zertifizierungsstellen-Dienst wird mit der Identität "NT Authority\SYSTEM" ausgeführt. Dieses Konto muss ebenfalls auf die verwendete Partition des HSM berechtigt werden.

Weiterführende Links: