Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung "A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)"

Folgendes Szenario angenommen:

  • Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA) mittels Windows PowerShell installiert (Install-AdcsCertificationAuthority).
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)

Bei der Installation via graphischer Oberfläche über den Servermanager kommt man gar nicht so weit, weil die Option zur Installation einer Enterprise CA ausgegraut und nicht auswählbar ist.

Ursache und Lösung

Der Fehlercode "ERROR_DS_RANGE_CONSTRAINT" bedeutet, dass die gewählte Option, eine Enterprise Zertifizierungsstelle zu installieren, nicht zur Verfügung steht, da eine Abhängigkeit zum Active Directory nicht erfüllt ist.

Die Lösung findet sich in der Datei certocm.log im Windows-Installationsverzeichnis (üblicherweise C:\Windows).

Unter Anderem können folgende Gründe für den Fehler in Frage kommen:

  • Die Maschine ist nicht Mitglied einer Domäne, was den Fehlercode ENUM_ENTERPRISE_UNAVAIL_REASON_DOMAIN_NOT_JOINED erzeugen wird.
  • Der angemeldete Benutzer hat keine Berechtigungen zur Installation einer ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA), was den Fehlercode ENUM_ENTERPRISE_UNAVAIL_REASON_NO_INSTALL_RIGHTS erzeugen wird. In der Standardeinstellung können nur Mitglieder der Gruppe "Enterprise Administrators" solche Zertifizierungsstellen installieren, das Recht kann allerdings delegiert werden.

Weiterführende Links

Externe Quellen