Folgendes Szenario angenommen:
- Ein manuell beantragtes Remotedesktop-Zertifikat soll auf einem Computer dem Remotedesktop-Sitzungshost zugewiesen werden.
- Der Vorgang schlägt mit folgender Fehlermeldung fehl:
Set-WMIInstance : Invalid parameter
At line:1 char:1
Set-WMIInstance -path $TerminalServicesConfig.__path -argument @{SSLC …
~~~~~~~~~~~~~~~~~ CategoryInfo : InvalidOperation: (:) [Set-WmiInstance], ManagementException
FullyQualifiedErrorId : SetWMIManagementException,Microsoft.PowerShell.Commands.SetWmiInstance
Ursache/Lösung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Bei dem Zielsystem handelt es sich um eine Zertifizierungsstelle.
Bei der Ermittlung des SHA1-Fingerabdrucks für das Remotedesktop-Zertifikat wurde folgende Logik verwendet:
$RdcCertHash = (Get-ChildItem -path Cert:\LocalMachine\My | Where-Object { $_.Extensions.EnhancedKeyUsages.Value -eq "1.3.6.1.4.1.311.54.1.2" } | Sort-Object -Property NotAfter -Descending | Select-Object -First 1).Thumbprint
Das Zertifizierungsstellen-Zertifikat auf dem Zielsystem enthält eine Einschränkung (Constraint) auf die Ausstellung von Remotedesktop-Zertifikaten.
Daher hat der vorige Befehl fälschlicherweise das aus diesem System ebenfalls im Maschinen-Zertifikatspeicher vorhandenen Zertifizierungsstellen-Zertifikat ausgewählt, welches dem Remotedesktop-Sitzungshost nicht zugewiesen werden kann.
Deutsch 
English