Détails de l'événement ID 74 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :	Microsoft-Windows-CertificationAuthority
ID de l'événement :	74 (0x4A)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Texte de l'événement (en anglais) :	Les services de certificats Active Directory n'ont pas pu publier une liste de révocation de certificats (CRL) de base pour la clé %1 à l'emplacement suivant sur le serveur %4 : %2. %3.%5%6
Texte de l'événement (en allemand) :	Aucune liste de révocation de certificats de base n'a pu être publiée pour la clé %1 à l'emplacement suivant sur le serveur „ %4 “ : %2. %3.%5%6

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

• %1 : CAKeyIdentifier (win : UnicodeString)
• %2 : URL (win:UnicodeString)
• %3 : ErrorMessageText (win : UnicodeString)
• %4 : Nom d'hôte (win:UnicodeString)
• %5 : param5 (win : UnicodeString)
• %6 : AdditionalErrorMessage (win:UnicodeString)

Exemple d'événements

Active Directory Certificate Services could not publish a Base CRL for key 5 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 2(5),CN=ADCS Labor Issuing CA 2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de.  Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
 ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100288, problem 2001 (NO_OBJECT), data 0, best match of:
 	'CN=ADCS Labor Issuing CA 2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de'

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1,CN=ADCS Labor Issuing CA 1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de. Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: LDAP_INSUFFICIENT_RIGHTS: 00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp.CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de.  The object name has bad syntax. 0x8007208f (WIN32: 8335 ERROR_DS_BAD_NAME_SYNTAX).
ldap: 0x22: LDAP_INVALID_DN_SYNTAX: 0000208F: NameErr: DSID-03100232, problem 2006 (BAD_NAME), data 8349, best match of:
	'CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp.CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de'

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de..  A referral was returned from the server. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL).
ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-0310084A, data 0, 1 access points
	ref 1: 'intra.adcslabor.de.'

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1,CN=ADCS Labor Issuing CA 1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de. 
The Directory Service encountered an unknown failure. 0x800720ef (WIN32: 8431 ERROR_DS_UNKNOWN_ERROR).
ldap: 0x1: LDAP_OPERATIONS_ERROR: 000020EF: SvcErr: DSID-0203058D, Problem 5012 (DIR_ERROR), data -1414

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Cet événement se produit lorsque la liste de révocation des certificats a pu être générée avec succès, mais qu'elle n'a pas pu être copiée ensuite sur l'un des points de distribution de liste de révocation configurés. En règle générale, il se produit en même temps que les événements 65, 66 et 75 sur.

Les causes peuvent être les suivantes :

Code d'erreur ERROR_DS_OBJ_NOT_FOUND

L'objet LDAP n'existe pas. S'il existe, par exemple après une modification de la configuration des chemins de listes de blocage LDAP, l'objet LDAP peut être créé avec la commande suivante :

certufil -f -dspublish {Dateiname-der-CRL}

La condition préalable est toutefois,

• que l'utilisateur exécutant possède les droits correspondants dans Active Directory.
• que l'option „Include in CRLs“ est activée pour le point de distribution de la liste de révocation LDAP, de sorte que le chemin LDAP soit écrit dans la liste de révocation des certificats (extension „Published CRL Locations“).

Code d'erreur ERROR_DS_INSUFF_ACCESS_RIGHTS

Voir l'article "La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".„ .

Code d'erreur ERROR_DS_OBJ_NOT_FOUND

Voir l'article "La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".„ .

Code d'erreur ERROR_DS_BAD_NAME_SYNTAX

Le point de publication de la liste de blocage LDAP configuré contient des caractères non valides ou n'est pas syntaxiquement correct.

Par exemple, les signes de pourcentage sont volontiers saisis deux fois lors de la configuration par certutil.

Code d'erreur ERROR_DS_UNKNOWN_ERROR

Cette erreur peut se produire si le service de répertoire est défectueux. Eventuellement, un Défragmentation hors ligne de la base de données du service d'annuaire.

Code d'erreur ERROR_DS_REFERRAL

Peut se produire lorsque le point de distribution de la liste de blocage LDAP configuré ne fait pas référence au domaine racine de la structure globale d'Active Directory. Peut également se produire si des caractères non valides sont saisis à la fin du point de distribution de la liste de blocage LDAP configuré.

La valeur par défaut est générique et devrait fonctionner pour tous les environnements.

ldap:///CN=%7%8,CN=%2,CN=cdp,CN=Public Key Services,CN=Services,%6%10

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Si l'autorité de certification n'est pas en mesure de créer ou de publier une liste de révocation, il est très probable que celle-ci expirera rapidement aux points de distribution. Dans ce cas, les services informatiques dépendant de l'ICP risquent de tomber en panne. Cet événement doit donc être considéré comme „ critique “ en termes de disponibilité.

Évaluation par Microsoft

Microsoft évalue cet événement dans le Sécurisation de l'infrastructure à clés publiques (PKI) Livre blanc avec un niveau de gravité „Faible.

Liens complémentaires :

• Aperçu des événements Windows générés par l'autorité de certification
• Aperçu des événements d'audit générés par l'organisme de certification

Sources externes

• ID d'événement 74 - Publication de la liste de révocation des certificats (CRL) AD CS (Microsoft)
• Sécurisation de l'infrastructure à clés publiques (PKI) (Microsoft)
• Compacter le fichier de base de données du répertoire (défragmentation hors ligne) (Microsoft)