Es wird kein Zertifikat per Autoenrollment beantragt, wenn ein Benutzer per Virtual Private Network (VPN) verbunden ist

Folgendes Szenario angenommen:

  • Ein Benutzer arbeitet remote über Virtual Private Network (VPN)
  • Eigentlich sollte per Autoenrollment ein Zertifikat beantragt werden, dies erfolgt jedoch nicht
  • Ein Verbindungstest (certutil -ping) zur Zertifizierungsstelle wirft folgende Fehlermeldung:
Server could not be reached: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE) -- (31ms)

CertUtil: -ping command FAILED: 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
CertUtil: The RPC server is unavailable.

Eine ausführliche Beschreibung der Funktionsweise der manuellen und automatischen Zertifikatbeantragung von einer Active Directory integrierten Zertifizierungsstelle findet sich im Artikel "Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)".

Beispiel für einen entsprechenden certutil-Befehl:

certutil ^
-config "ca02.intra.adcslabor.de\ADCS Labor Issuing CA 1" ^
-ping

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

In betreffendem Fall hat der Benutzer sein Active Directory Kennwort geändert und sich weiterhin mit dem alten Kennwort an seinem Computer angemeldet. Die VPN-Verbindung wurde erst nach der Windows-Anmeldung hergestellt, sodass nie eine Aktualisierung der Anmeldedaten gegen das Active Directory erfolgte.

Certutil meldet fälschlicherweise, dass die Verbindung zur Zertifizierungsstelle nicht hergestellt werden konnte, dabei handelte es sich hierbei um einen Authentifizierungsfehler.

Das Sperren des Desktops und die anschließende Entsperrung mit dem aktuellen Kennwort während die VPN-Verbindung bestand löste das Problem.

Für eine detaillierte Beschreibung, welche Ursachen den Fehlercode RPC_S_SERVER_UNAVAILABLE verursachen könne, siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"".

Weiterführende Links:

de_DEDeutsch