Catégorie : Dépannage

L'émission de certificats ou de listes de révocation échoue avec le code d'erreur CERTSRV_E_NO_DB_SESSIONS

Supposons le scénario suivant :

  • L'autorité de certification ne peut pas délivrer de certificats et/ou
  • L'autorité de certification ne peut pas émettre de listes de blocage.
  • Au moins un des messages d'erreur suivants est consigné :

ID de l'événement : 53 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services denied request 12345 because An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions. 0x8009400f (-2146877425 CERTSRV_E_NO_DB_SESSIONS). The request was for CN=Rudi Ratlos. Additional information: Denied by Policy Module

ID de l'événement : 130 (Microsoft-Windows-CertificationAuthority)

Active Directory Certificate Services could not create a certificate revocation list. An attempt was made to open a Certification Authority database session, but there are already too many active sessions. The server may need to be configured to allow additional sessions 0x8009400f (-2146877425). This may cause applications that need to check the revocation status of certificates issued by this CA to fail. You can recreate the certificate revocation list manually by running the following command: "certutil -CRL". If the problem persists, restart Certificate Services.
Continuer la lecture de « Die Ausstellung von Zertifikaten oder Sperrlisten schlägt fehl mit Fehlercode CERTSRV_E_NO_DB_SESSIONS »

L'installation d'une autorité de certification échoue avec le code d'erreur ERROR_INVALID_PARAMETER

Supposons le scénario suivant :

  • Une autorité de certification est installée
  • La configuration des rôles échoue avec le message d'erreur suivant :
CCertSrvSetupProperty: The parameter is incorrect. 0x80070057 (WIN32: ERROR_INVALID_PARAMETER).
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlercode ERROR_INVALID_PARAMETER »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „Failed to Enroll RA certificates. Le modèle de certificat demandé n'est pas supporté par cette CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „Failed to Enroll RA certificates. The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE)“ »

Analyser les problèmes de réseau avec Wireshark sans devoir installer de logiciel sur des systèmes de production

Il est souvent possible de trouver des problèmes d'infrastructure de clé publique dans le réseau sous-jacent - par exemple lorsqu'il manque une règle de pare-feu dans le réseau.

Il est donc utile d'être en mesure d'enregistrer le trafic réseau afin de pouvoir l'analyser. Il existe pour cela d'excellents outils comme Wireshark, Les systèmes d'exploitation des entreprises peuvent être installés sur des ordinateurs, mais ils nécessitent une installation sur le système concerné, ce qui ne peut et ne doit pas être fait facilement sur un système de production.

Heureusement, le système d'exploitation Windows Server possède un mécanisme intégré permettant d'enregistrer les paquets réseau. Les fichiers qui en résultent ne sont toutefois pas compatibles avec Wireshark. L'outil propre à Microsoft, Message Analyzer, a été retiré le 25.11.2019 et les liens de téléchargement supprimés.

C'est pourquoi nous décrivons ci-après comment générer un tel enregistrement et le convertir ensuite dans un format compatible avec Wireshark, afin de pouvoir analyser l'enregistrement à distance du serveur concerné.

Continuer la lecture de « Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen »

Le nom d'affichage d'un modèle de certificat n'est pas résolu. Seul l'identifiant d'objet (OID) du modèle de certificat est affiché.

Supposons le scénario suivant :

  • Pour un modèle de certificat, seul l'identificateur d'objet (Object Identifier) est affiché, mais pas le nom d'affichage et/ou
  • Les requêtes sur la base de données des autorités de certification contiennent uniquement l'identifiant de l'objet pour le modèle de certificat (champ „CertificateTemplate“), mais pas le nom d'affichage.
Continuer la lecture de « Der Anzeigename einer Zertifikatvorlage wird nicht aufgelöst. Es wird nur der Objektidentifizierer (OID) der Zertifikatvorlage angezeigt. »

L'installation d'une autorité de certification échoue avec le code d'erreur „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA)“.“

Supposons le scénario suivant :

  • Tentative d'installation d'une autorité de certification
  • La configuration des rôles échoue avec le message d'erreur suivant :
An error occurred when creating the new key container "ADCS Labor Issuing CA 3". Please make sure the CSP is installed correctly or select another CSP.
Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).
Continuer la lecture de « Die Installation einer Zertifizierungsstelle schlägt fehl mit Fehlercode „Bad Data. 0x80090005 (-2146893819 NTE_BAD_DATA).“ »

Le contrôle de blocage via le répondeur en ligne (OCSP) échoue avec le code d'erreur HTTP 404 (HTTP_E_STATUS_NOT_FOUND)

Supposons le scénario suivant :

Continuer la lecture de « Die Sperrprüfung über den Onlineresponder (OCSP) schlägt fehl mit HTTP Fehlercode 404 (HTTP_E_STATUS_NOT_FOUND) »

L'installation d'une autorité de certification intégrée à Active Directory à l'aide de Windows PowerShell échoue avec le message d'erreur „A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32 : 8322 ERROR_DS_RANGE_CONSTRAINT)“.“

Supposons le scénario suivant :

  • Une autorité de certification (Enterprise CA) intégrée dans Active Directory est installée à l'aide de Windows PowerShell (Install-AdcsCertificationAuthority).
  • La configuration des rôles échoue avec le message d'erreur suivant :
Install-AdcsCertificationAuthority : Active Directory Certificate Services setup failed with the following error: A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)
Continuer la lecture de « Die Installation einer ins Active Directory integrierten Zertifizierungsstelle mittels Windows PowerShell schlägt fehl mit Fehlermeldung „A value for the attribute was not in the acceptable range of values. 0x80072082 (WIN32: 8322 ERROR_DS_RANGE_CONSTRAINT)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)“.“

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The device that is required by this cryptographic provider is not ready for use. 0x80090030 (-2146893776 NTE_DEVICE_NOT_READY)“ »

Le service d'autorité de certification ne démarre pas et affiche le message d'erreur „The parameter is incorrect. 0x80070057 (WIN32 : 87 ERROR_INVALID_PARAMETER)“.“

Supposons le scénario suivant :

  • Une autorité de certification est mise en œuvre sur le réseau.
  • Le service d'autorité de certification ne démarre pas
  • Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :
The parameter is incorrect. 0x57 (WIN32: 87 ERROR_INVALID_PARAMETER)
Continuer la lecture de « Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)“ »

Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle

Stammzertifizierungsstellen (Root CA) erzeugen bei Erneuerung des Zertifizierungsstellen-Zertifikats sogenannte Kreuzzertifizierungsstellen-Zertifikate (Cross Signing).

Mitunter kann es sein, dass hierbei Probleme auftreten, wie beispielsweise im Artikel „Die Beantragung eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung „The certification authority’s certificate contains invalid data. 0x80094005 (-2146877435 CERTSRV_E_INVALID_CA_CERTIFICATE)“" décrit.

In einem solchen Fall möchte man vielleicht die Erstellung der Kreuzzertifizierungsstellen-Zertifikate unterbinden.

Continuer la lecture de « Deaktivieren der Erzeugung der Kreuzzertifizierungsstellen-Zertifikate auf einer Stammzertifizierungsstelle »

Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • Der NDES Server verwendet ein Domänenkonto oder einen Group Managed Service Account (gMSA) für die Identität des SCEP IIS-Anwendungspools.
  • Die Beantragung von Zertifikaten über NDES schlägt mit HTTP Fehlercode 503 (Server Unavailable) fehl.
  • Der Aufruf der mscep- und mscep_admin Seiten schlägt ebenfalls mit dem HTTP Fehlercode 500 fehl.
  • Même après une réinitialisation iisreset ou un redémarrage du serveur NDES, aucun événement indiquant que le service NDES a été démarré ou qu'il y a eu des erreurs n'apparaît après avoir appelé la page mscep ou mscsp_admin.
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige »

Le service de stratégie d'enregistrement des certificats n'affiche pas les modèles de certificats configurés pour être compatibles avec Windows Server 2016 ou Windows 10.

Il existe un bug connu dans le service Web CEP (Certificate Enrollment Policy) qui empêche l'affichage des modèles de certificats configurés pour être compatibles avec Windows Server 2016 ou Windows 10.

Continuer la lecture de « Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an »

La demande d'un certificat via les services Web d'enregistrement de certificats à l'aide de Windows PowerShell échoue avec le message d'erreur „ Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED) “.“

Supposons le scénario suivant :

  • Une tentative est effectuée pour demander un certificat via Windows PowerShell à l'aide des services Web d'inscription de certificats (Certificate Enrollment Web Services).
  • La demande échoue avec le message d'erreur suivant :
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)“ »

La demande d'un certificat via les services Web d'enregistrement de certificats à l'aide de Windows PowerShell échoue avec le message d'erreur „ Impossible de trouver l'objet ou la propriété. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND) “.“

Supposons le scénario suivant :

  • Une tentative est effectuée pour demander un certificat via Windows PowerShell à l'aide des services Web d'inscription de certificats (Certificate Enrollment Web Services). Le nom du modèle de certificat est spécifié à l'aide de l'argument -Template.
  • La demande échoue avec le message d'erreur suivant :
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004

(-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais