Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung "A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)"

Folgendes Szenario angenommen:

• Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA) mittels Windows PowerShell installiert (Install-AdcsCertificationAuthority).
• Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:

Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)

Bei der Installation via graphischer Oberfläche über den Servermanager kommt man gar nicht so weit, weil die Option zur Installation einer Enterprise CA ausgegraut und nicht auswählbar ist.

Ursache und Lösung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Der Fehlercode "ERROR_DS_RANGE_CONSTRAINT" bedeutet, dass die gewählte Option, eine Enterprise Zertifizierungsstelle zu installieren, nicht zur Verfügung steht, da eine Abhängigkeit zum Active Directory nicht erfüllt ist.

Die Lösung findet sich in der Datei certocm.log im Windows-Installationsverzeichnis (üblicherweise C:\Windows).

Unter Anderem können folgende Gründe für den Fehler in Frage kommen:

• Die Maschine ist nicht Mitglied einer Domäne, was den Fehlercode ENUM_ENTERPRISE_UNAVAIL_REASON_DOMAIN_NOT_JOINED erzeugen wird.
• Der angemeldete Benutzer hat keine Berechtigungen zur Installation einer ins Active Directory integrierte Zertifizierungsstelle (Enterprise CA), was den Fehlercode ENUM_ENTERPRISE_UNAVAIL_REASON_NO_INSTALL_RIGHTS erzeugen wird. In der Standardeinstellung können nur Mitglieder der Gruppe "Enterprise Administrators" solche Zertifizierungsstellen installieren, das Recht kann allerdings delegiert werden.

Weiterführende Links

Externe Quellen

• Install-AdcsCertificationAuthority (Microsoft Corporation)
• Delegated Installation for an Enterprise Certification Authority (Microsoft Corporation)
• The option Enterprise unavailable during CA installation? (Tom Aafloen)