Folgendes Szenario angenommen:
- Es wird eine ins Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) installiert.
- Für die Installation der Zertifizierungsstelle werden delegierte Berechtigungen verwendet. Der installierende Benutzer ist also nicht Mitglied der Gruppe "Enterprise Administrators".
- Nach der Ausstellung des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle wird dieses installiert, um die Rollenkonfiguration abzuschließen.
- Die Installation des Zertifizierungsstellen-Zertifikats schlägt mit folgender Fehlermeldung fehl:
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Ursache
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Dieser Fehler tritt auf, wenn der installierende Benutzer keine Schreibrechte auf das NTAuthCertifcates Objekt in der Active Directory Gesamtstruktur hat.
Das Zertifizierungsstellen-Zertifikat wird bei Installation in dieses Objekt aufgenommen – auch wenn es anschließend wieder direkt entfernt werden soll, kann dieser Schritt nicht ausgespart werden.
Folgefehler: Doppeltes Zertifizierungsstellen-Zertifikat
Ist man in den Fehler gelaufen, wird man den Prozess zur Instalation des Zertifizierungsstellen-Zertifikats erneut durchlaufen müssen. Dadurch wird es leider dazu kommen, dass das Zertifikat mehrfach in die Konfiguration der Zertifizierungsstelle eingetragen wird und der Zertifizierungsstellendienst den Start mit dem Fehlercode ERROR_INVALID_DATA verweigern wird.
Um die mehrfachen Instanzen zu entfernen, müssen die doppelten Einträge aus dem CACertHash Registryschlüssel entfernt werden. Dieser befindet sich an folgendem Speicherort:
HKLM\System\CurrentControlSet\Services\CertSvc\Configuration\{Common-Name-der-Zertifizierungsstelle}
Doppelte Einträge müssen entfernt werden.
Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.
Bitte beachten, dass es auch zwei Kopien des gleichen Zertifizierungsstellen-Zertifikats unter C:\Windows\System32\CertSrv\CertEnroll geben wird.
Weiterführende Links:
- Bearbeiten des NTAuthCertificates Objektes im Active Directory
- Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)"
Deutsch 
English
3 Gedanken zu „Die Installation eines Zertifizierungsstellen-Zertifikats schlägt fehl mit Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“
Kommentare sind geschlossen.