Details zum Ereignis mit ID 44 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	44 (0x2C)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_POLICY_ERROR
Ereignistext (englisch):	The "%1" Policy Module "%2" method returned an error. %5 The returned status code is %3. %4
Ereignistext (deutsch):	Das Richtlinienmodul "%1", Methode "%2", hat einen Fehler verursacht. %5 Zurückgegebener Statuscode: %3. %4

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

• %1: PolicyModuleDescription (win:UnicodeString)
• %2: MethodName (win:UnicodeString)
• %3: ErrorCode (win:UnicodeString)
• %4: param4 (win:UnicodeString)
• %5: ErrorString (win:UnicodeString)

Beispiel-Ereignisse

The "Windows default" Policy Module "Initialize" method returned an error. The specified domain either does not exist or could not be contacted. The returned status code is 0x8007054b (1355).  The Active Directory containing the Certification Authority could not be contacted.

The "Windows default" Policy Module "Initialize" method returned an error. Element not found. The returned status code is 0x80070490 (1168).  Active Directory Certificate Services could not find required Active Directory information.

The "Windows default" Policy Module "Initialize" method returned an error. Cannot find object or property. The returned status code is 0x80092004 (-2146885628). The Active Directory Certificate Services Policy contains no valid Certificate Templates.

The "Windows default" Policy Module "Initialize" method returned an error. There is a time and/or date difference between the client and server. The returned status code is 0x80070576 (1398).  Active Directory Certificate Services could not find required Active Directory information.

The "My First Policy Module" Policy Module "Initialize" method returned an error. Error 0x80131604 (-2146232828) The returned status code is 0x80131604 (-2146232828).  

The "My First Policy Module" Policy Module "Initialize" method returned an error. Invalid pointer The returned status code is 0x80004003 (-2147467261).  

The "" Policy Module "" method returned an error. No such interface supported The returned status code is 0x80004002 (-2147467262).  

The "" Policy Module "ShutDown" method returned an error. Unspecified error The returned status code is 0x80004005 (-2147467259).  

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Fehlermeldung "The Active Directory Certificate Services Policy contains no valid Certificate Templates."

Diese Meldung tritt auf, wenn keine Zertifikatvorlagen auf einer Zertifizierungsstelle veröffentlicht wurden, beispielsweise wenn die Zertifizierungsstelle gerade neu installiert wurde. Das Richtlinienmodul (Policy Module) der Zertifizierungsstelle kann ihre Zertifikatvorlagen nicht arbeiten und kann daher von der Zertifizierungsstelle nicht geladen werden. Der Fehler kann entsprechend ignoriert werden.

Fehlermeldung "The specified domain either does not exist or could not be contacted."

In diesem Fall ist die Verbindung zum Active Directory gestört. Dieses Ereignis sollte unbedingt untersucht werden. Siehe auch Ereignisse Nr. 91, 94 und 9.

Fehlermeldung "Active Directory Certificate Services could not find required Active Directory information."

Kann auftreten, wenn das Enrollment Services Objekt für die Zertifizierungsstelle nicht im Active Directory vorliegt, beispielsweise weil die Zertifizierungsstellen-Rolle (z.B. im Rahmen einer Migration auf einen anderen Server) deinstalliert wurde und ein älterer Schnappschuss des Servers hochgefahren urde.

Fehlermeldung "There is a time and/or date difference between the client and server."

Tritt auf, wenn Dateum/Uhrzeit des Zertifizierungsstellen-Servers vom dem des verbundenen Domänencontrollers erheblich abweicht. Kann auch auftreten, wenn ein Virtualisierungs-Server eingesetzt wird, der seine (eventuell falsch konfigurierte) Systemzeit an das Gastsystem propagiert.

Bewirkt auch, dass keine Zertifikatvorlagen auf die Zertifizierungsstelle mit folgender Fehlermeldung veröffentlicht werden können:

The template information on the CA cennot be modified at this time. This is most likely because the CA service is not running or there are replication delays. There is a time and/or date difference between the client and server. 0x80070576 (WIN32: 1398 ERROR_TIME_SKEW)

Fehlermeldung "Error 0x80131604 (-2146232828)"

Dieser Fehlercode bedeutet übersetzt: "Exception has been thrown by the target of an invocation.". In diesem Fall handelt es sich um das konfigurierte Policy Modul, was somit bedeutet, dass dieses nicht geladen werden kann. Tritt in Verbindung mit Ereignis Nr. 9 auf.

Fehlermeldung "Invalid pointer"

Dieser Fehler ist mir während der Entwicklung meines Policy Moduls untergekommen. Ich habe versucht, das Windows Default Policy Modul mit "Activator.CreateInstance" zu laden und anschließend die MethodBase.Invoke Methode zu verwenden, um es zu initialisieren.

Dieses Vorgehen ist in diesem Fall leider nicht möglich, weil das Windows Default Policy Modul keine Metadaten exponiert. Daher musste Type.InvokeMember verwendet werden.

Fehlermeldung "No such interface supported The returned status code is 0x80004002 (-2147467262)."

Dies kann in Verbindung mit dem TameMyCerts Policy Modul auftreten, wenn die Microsoft Security Baseline auf den Server angewendet wurde. Der Zertifizierungsstellendienst kann nicht starten, weil die .NET Runtime zu diesem Zeitpunkt nicht zur Verfügung steht.

Die Lösung ist, den Start-Typ für den Zertifizierungsstellen-Dienst auf "Automatisch (Verzögerter Start)" zu konfigurieren.

sc.exe config certsvc start=delayed-auto

Fehlermeldung "Unspecified error The returned status code is 0x80004005 (-2147467259). "

Dies kann in Verbindung mit dem TameMyCerts Policy Modul auftreten, wenn das System heruntergefahren oder neu gestartet wird. Es ist eine bekannte Einschränkung bedingt durch die Verwendung einer modernen .NET Laufzeitumgebung. Derzeit ist keine Lösung bekannt. Der Fehler ist jedoch unkritisch.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Je nach Ereignisinhalt kann die Verfügbarkeit gestört sein, sodass eine Alarmierung sinnvoll sein kann.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

• Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
• Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse

Externe Quellen

• Event ID 44 – AD CS Policy Module Processing (Microsoft)
• Securing Public Key Infrastructure (PKI) (Microsoft)
• Tip for Managed Applications that use COM objects – Exposing Metadata For Your COM Objects Part 1 (Lim Bio Liong)