Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."

Folgendes Szenario angenommen:

  • Eine Windows-Rolle betreffend Active Directory Certificate Services (Zertifzierungsstelle, Registrierungsdienst für Netzwerkgeräte (NDES), Zertifizierungsstellen-Webregistrierung (CAWE), Zertifikatregistrierungs-Webdienste (CEP, CES) oder Onlineresponder (OCSP)) soll deinstalliert werden.
  • Die Deinstallation schlägt fehl mit folgender Fehlermeldung:
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
„Die Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung "The service is configured to not accept any remote shell requests."“ weiterlesen

Details zum Ereignis mit ID 131 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:Microsoft-Windows-CertificationAuthority
Ereignis-ID:131 (0x83)
Ereignisprotokoll:Application
Ereignistyp:Warnung
Ereignistext (englisch):An invalid OID has been detected in the EKUOIDsForPublishExpiredCertInCRL configuration setting. To resolve, run: "certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL" to identify the invalid OID and correct it. The default OIDs ("1.3.6.1.5.5.7.3.3" and "1.3.6.1.4.1.311.61.1.1") will be used.
Ereignistext (deutsch):In der Konfigurationseinstellung "EKUOIDsForPublishExpiredCertInCRL" wurde eine ungültige OID festgestellt. Führen Sie zum Beheben den Befehl "certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL" aus, um die ungültige OID zu ermitteln und zu korrigieren. Die Standard-OIDs ("1.3.6.1.5.5.7.3.3" und "1.3.6.1.4.1.311.61.1.1") werden verwendet.
„Details zum Ereignis mit ID 131 der Quelle Microsoft-Windows-CertificationAuthority“ weiterlesen

Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle

Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.

„Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle“ weiterlesen

Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel "Benötigte Firewallregeln für Active Directory Certificate Services").

Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel "Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)").

Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.

„Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle“ weiterlesen

Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

„Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle“ weiterlesen

Das statische Passwort des Network Device Enrollment Service (NDES) ändern

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Der NDES Server ist für die Verwendung eines statischen Passworts konfiguriert.
  • Das statische Passwort soll geändert werden.
„Das statische Passwort des Network Device Enrollment Service (NDES) ändern“ weiterlesen

Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der NDES-Beantragungs-Webseite (mscep) und der NDES-Administrations-Webseite (certsrv/mscep_admin) wird der HTTP-Fehler 500 (Internal Server Error) gemeldet.
  • Es wird das Ereignis Nr. 2 im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.
„Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified."“ weiterlesen

Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren

Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann. Manche Lösungen können überhaupt nicht mit einem Passwort umgehen.

In diesem Fall kann man NDES konfigurieren, kein Passwort zu generieren oder zu verlangen.

„Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren“ weiterlesen

Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren

Es gibt Situationen, in welchen man NDES nicht mit wechselnden Passwörtern betreiben kann. Meist ist dies der Fall, wenn es entweder keine Managementlösung für die zu verwaltenden Geräte gibt, oder wenn diese nicht mit wechselnden Passwörtern umgehen kann.

In diesem Fall kann man NDES konfigurieren, ein statisches Passwort zu generieren, welches sich danach nicht mehr ändert.

„Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren“ weiterlesen

Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Der NDES-Server ist für den Betrieb mit einem statischen Passwort konfiguriert.
  • Bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) werden Benutzer trotz korrekter Anmeldedaten immer wieder zur Authentifizierung aufgefordert.
  • Es wird folgendes Ereignis wird im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.
„Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."“ weiterlesen

Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "The password cache is full."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der Administrations-Webseite (certsrv/mscep_admin) kommt folgende Meldung:
The password cache is full.
„Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "The password cache is full."“ weiterlesen

Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"

Folgendes Szenario angenommen:

  • Man erstellt eine neue Sperrliste auf der Zertifizierungsstelle.
  • Die Veröffentlichung schlägt mit folgender Fehlermeldung fehl:
The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
„Die Veröffentlichung einer Zertifikatsperrliste (CRL) schlägt fehl mit Fehlermeldung "The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)"“ weiterlesen

Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."

Folgendes Szenario angenommen:

  • Man versucht, ein Zertifikat von einer Active Directory-integrierten Zertifizierungsstelle (Enterprise Certification Authority) zu beantragen.
  • Hierzu verwendet man die Microsoft Management Konsole (MMC), entweder für den angemeldeten Benutzer (certmgr.msc) oder für den Computer (certlm.msc).
  • Man bekommt die gewünschte Zertifikatvorlage jedoch nicht zur Auswahl angezeigt, obwohl sie korrekt auf der Zertifizierungsstelle veröffentlicht wurde.
  • Der angemeldete Benutzer (oder Computer) hat auch die notwendigen Berechtigungen, Zertifikate von der betreffenden Zertifikatvorlage zu beantragen (Enroll).
  • In der Liste der verfügbaren Zertifikatvorlagen innerhalb der MMC lässt man sich alle Zertifikatvorlagen anzeigen. Bei der gewünschten Zertifikatvorlage steht:
A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted.
„Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung "A valid certification authority (CA) configured to issue certificates based on this template cannot be located, or the CA does not support this operation, or the CA is not trusted."“ weiterlesen