Il existe un bug connu dans le service Web CEP (Certificate Enrollment Policy) qui empêche l'affichage des modèles de certificats configurés pour être compatibles avec Windows Server 2016 ou Windows 10.
Continuer la lecture de « Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an »Comment les paramètres de compatibilité pour les modèles de certificats sont-ils représentés techniquement ?
Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.
Cette fonction est décrite plus en détail ci-dessous, ainsi que ses effets possibles dans la pratique.
Continuer la lecture de « Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet? »Aperçu de la disponibilité des options lors de la modification des paramètres de compatibilité d'un modèle de certificat
Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.
Vous trouverez ci-dessous un aperçu des options disponibles lorsque les paramètres de compatibilité pour l'autorité de certification et/ou les destinataires du certificat sont modifiés.
Continuer la lecture de « Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage »La demande d'un certificat via les services Web d'enregistrement de certificats à l'aide de Windows PowerShell échoue avec le message d'erreur „ Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED) “.“
Supposons le scénario suivant :
- Une tentative est effectuée pour demander un certificat via Windows PowerShell à l'aide des services Web d'inscription de certificats (Certificate Enrollment Web Services).
- La demande échoue avec le message d'erreur suivant :
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)“ »
La demande d'un certificat via les services Web d'enregistrement de certificats à l'aide de Windows PowerShell échoue avec le message d'erreur „ Impossible de trouver l'objet ou la propriété. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND) “.“
Supposons le scénario suivant :
- Une tentative est effectuée pour demander un certificat via Windows PowerShell à l'aide des services Web d'inscription de certificats (Certificate Enrollment Web Services). Le nom du modèle de certificat est spécifié à l'aide de l'argument -Template.
- La demande échoue avec le message d'erreur suivant :
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
(-2146885628 CRYPT_E_NOT_FOUND)
Windows Defender détecte certutil comme un logiciel malveillant (Win32/Ceprolad.A)
Supposons le scénario suivant :
- On mène une Test de fonctionnement du serveur de stratégies d'enregistrement de certificats (Certificate Enrollment Policy Web Server, CEP) à travers.
- Pour cela, on utilise une commande certutil qui utilise l'authentification Kerberos, par exemple :
certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP
La commande certutil est détectée à tort comme Win32/Ceprolad.A par Windows Defender ou Windows Defender Advanced Threat Protection.
Continuer la lecture de « Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A) »Autorisations de sécurité Windows nécessaires pour le Certificate Enrollment Policy Web Service (CEP)
Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CEP.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP) »Modification automatique des mots de passe pour les comptes qui nécessitent une connexion via une carte à puce ou Windows Hello for Business
Une nouvelle fonctionnalité de Windows Server 2016 est que les mots de passe pour les comptes qui utilisent uniquement Connexion avec des cartes à puce doivent être renouvelés automatiquement conformément aux directives relatives aux mots de passe.
Si l'option „ Smart card is required for interactive logon “ (Une carte à puce est requise pour la connexion interactive) est activée pour un compte utilisateur, le mot de passe du compte utilisateur est défini une seule fois sur une valeur aléatoire. Cependant, le mot de passe ne change plus par la suite, ce qui rend le compte plus vulnérable aux attaques de type « pass-the-hash ».
La nouvelle fonctionnalité résout ce problème en générant régulièrement de nouveaux mots de passe aléatoires pour les comptes concernés (en fonction de la politique de mot de passe configurée pour le compte).
Continuer la lecture de « Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern »Mise à niveau en place d'une autorité de certification de Windows Server 2012 R2 ou 2016 vers Windows Server 2019
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Mise à niveau en place d'une autorité de certification de Windows Server 2012 SP2 ou 2012 R2 vers Windows Server 2016
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2008 R2
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2012
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Mise à niveau sur place d'une autorité de certification de Windows Server 2008 R2 vers Windows Server 2012 R2
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Plus aucune connexion à distance possible après la mise à niveau sur place du système d'exploitation Windows Server
Supposons le scénario suivant :
- Une mise à niveau sur place du système d'exploitation de l'autorité de certification est effectuée.
- Après la mise à jour, je ne peux plus me connecter via le bureau à distance. La connexion échoue et le message d'erreur suivant s'affiche :
An authentication error has occurred. The function requested is not supported. Remote Computer: 192.168.1.149 This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660
En français :
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. Remotecomputer: 192.168.1.149 Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660Continuer la lecture de « Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems »
Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?
Le service d'enregistrement des périphériques réseau (NDES) est l'implémentation par Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol) développé au début des années 2000 par la société Cisco. La première implémentation a été publiée avec Windows Server 2003.
Il peut paraître surprenant que NDES n'utilise toujours pas, dans sa configuration standard, le protocole SSL (Secure Socket Layer) pour les connexions HTTP. Ce fait est expliqué et évalué plus en détail ci-après.
Continuer la lecture de « Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »
Français 
Deutsch 
English