Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	21 (0x15)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_PROCESS_REQUEST_FAILED
Ereignistext (englisch):	Active Directory Certificate Services could not process request %1 due to an error: %2. The request was for %3.
Ereignistext (deutsch):	Die Anforderung %1 konnte aufgrund eines Fehlers nicht ausgeführt werden: %2. Die Anforderung bezog sich auf %3.

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

• %1: RequestId (win:UnicodeString)
• %2: ErrorCode (win:UnicodeString)
• %3: SubjectName (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services could not process request 769 due to an error: The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester. 0x80094009 (-2146877431 CERTSRV_E_RESTRICTEDOFFICER).  The request was for INTRA\Administrator.

Active Directory Certificate Services could not process request 12345 due to an error: The request's current status does not allow this operation. 0x80094003 (-2146877437 CERTSRV_E_BAD_REQUESTSTATUS). The request was for CN=Rudi Ratlos.

Active Directory Certificate Services could not process request 547858 due to an error: The requested property value is empty. 0x80094004 (-2146877436 CERTSRV_E_PROPERTY_EMPTY).  The request was for CN=Rudi Ratlos.

Active Directory Certificate Services could not process request 7398 due to an error: Disk IO error 0x0 (WIN32: 0).  The request was for INTRA\CLIENT1$.

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

The operation is denied. It can only be performed by a certificate manager that is allowed to manage certificates for the current requester. 0x80094009 (-2146877431 CERTSRV_E_RESTRICTEDOFFICER).

Tritt auf, wenn die Beantragung eines Zertifikats über den Enroll on Behalf of (EOBO) Mechanismus von einem Zertifikatregistrierungs-Agenten durchgeführt wurde, der für den betreffenden Benutzer keine Berechtigung hat.

The request’s current status does not allow this operation. 0x80094003 (-2146877437 CERTSRV_E_BAD_REQUESTSTATUS)

Tritt vermutlich auf, wenn zu viele gleichzeitige Zertifikatanfforderungen an die Zertifizierungsstelle gestellt werden. Das zugrundeliegende Problem scheint hier in der DCOM Schnittstelle zu liegen.

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Im Falle eine unberechtigten Beantragung sollte unbedingt eine nähere Untersuchung erfolgen, da es sich hierbei um einen versuchen Angriff handeln kann.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

• Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
• Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse

Externe Quellen

• Event ID 21 – AD CS Certificate Request (Enrollment) Processing (Microsoft)
• Securing Public Key Infrastructure (PKI) (Microsoft)
• Error message when a client computer requests a certificate from a computer that is running Windows Server 2003 with Service Pack 1: "The wizard cannot be started because of one or more of the following conditions" (Microsoft, Archivlink)