Details zum Ereignis mit ID 34 der Quelle Microsoft-Windows-OnlineResponder

Source de l'événement :	Répondeur en ligne Microsoft Windows
ID de l'événement :	34 (0x22)
Journal des événements :	Application
Type d'événement :	Erreur
Nom symbolique :	MSG_E_CACONFIG_SUBMIT_ENROLLMENT_REQUEST_FAILED
Texte de l'événement (en anglais) :	The Online Responder Service encountered an error while submitting the enrollment request for configuration %1 to certification authority %2. The request ID is %3.(%4)
Texte de l'événement (en allemand) :	Beim Übermitteln der Registrierungsanforderungen für die Konfiguration %1 an die Zertifizierungsstelle %2 ist im Online-Responder-Dienst ein Fehler aufgetreten. Anforderungs-ID: %3.(%4)

Paramètres

Les paramètres contenus dans le texte d'événement sont remplis avec les champs suivants :

• %1 : CAConfigurationId (win:UnicodeString)
• %2: CAConfig (win:UnicodeString)
• %3: RequestId (win:UnicodeString)
• %4 : ErrorCode (win:UnicodeString)

Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .

Exemple d'événements

The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is -1.(The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE))

The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 1 (Key 0) to certification authority CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1. The request ID is 165.(The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422 CERTSRV_E_TEMPLATE_DENIED))

The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is 95.(The encryption type requested is not supported by the KDC. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE))

The Online Responder Service encountered an error while submitting the enrollment request for configuration ADCS Labor Issuing CA 2 (0) to certification authority CA03.intra.adcslabor.de\ADCS Labor Issuing CA 2. The request ID is -1.(The directory service encountered an internal failure. 0x800720ee (WIN32: 8430 ERROR_DS_INTERNAL_FAILURE))

Description

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dieses Ereignis tritt auf, wenn der Onlineresponder nicht in der Lage ist, für eine Onlinekonfiguration ein neues Signaturzertifikat zu beantragen. In Folge wird das derzeit verwendete Signaturzertifikat in absehbarer Zeit ablaufen und zu einem Ausfall der Sperrkonfiguration führen. Siehe auch Artikel „Impact de la défaillance du répondeur en ligne (OCSP) sur la vérification du statut de révocation d'un certificat„ .

The encryption type requested is not supported by the KDC. 0x80090342 (-2146892990 SEC_E_KDC_UNKNOWN_ETYPE)

Bedeutet sinngemäß, dass keine Kerberos-Authentisierung an der Zertifizierungsstelle möglich ist, da der verwendete Verschlüsselungsalgorithmus nicht bekannt ist.

Kann durch den Patch von November 2022 ausgelöst werden. Durch diesen wurden die Standard-Verschlüsselungsalgorithmen für Domänencontroller verändert, und hierbei wurde vergessen, den Advanced Encryption Standard (AES) zu berücksichtigen, wodurch in gehärteten Umgebungen keine Kerberos-Authentisierung mehr möglich ist.

Évaluation de la sécurité

L'approche de la sécurité est axée sur les trois dimensions de la confidentialité (Confidentiality), de l'intégrité (Integrity) et de la disponibilité (Availability).

Kann vor Ablauf des derzeit verwendeten Signaturzertifikats kein neues beantragt werden, hat dies zur Folge, dass die Sperrkonfiguration ausfällt. Somit is die Verfügbarkeit des Dienstes gefährdet.

Liens complémentaires :

• Aperçu des événements Windows générés par le répondeur en ligne (OCSP)
• Aperçu des événements d'audit générés par le répondeur en ligne (OCSP)

Sources externes

• KB5021131: How to manage the Kerberos protocol changes related to CVE-2022-37966 (Microsoft Corporation)
• Decrypting the Selection of Supported Kerberos Encryption Types (Microsoft Corporation)
• Installer, configurer et dépanner le répondeur en ligne (Microsoft's OCSP Responder) (lien vers les archives)