Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Autor: Uwe Gradenegger
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2
Spätestens im Rahmen des Endes der Produkt-Unterstützung durch den Hersteller (Microsoft) stellt sich die Frage, ob man die Zertifizierungsstelle durch Migration auf einen anderen Server auf ein aktuelles Betriebssystem bringt, oder ein In-Place Upgrade vornimmt. Anbei wird letzterer Vorgang beschrieben.
Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems
Folgendes Szenario angenommen:
- Es wird ein In-Place Upgrade des Betriebssystems der Zertifizierungsstelle durchgeführt.
- Nach dem Upgrade ich keine Anmeldung via Remotedesktop mehr möglich. Die Verbindung schlägt mit folgender Fehlermeldung fehl:
An authentication error has occurred. The function requested is not supported. Remote Computer: 192.168.1.149 This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660
Zu deutsch:
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. Remotecomputer: 192.168.1.149 Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660„Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems“ weiterlesen
Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?
Beim Registrierungsdienst für Netzwerkgeräte (NDES) handelt es sich um die Microsoft-Implementierung des in den frühen 2000ern von der Firma Cisco entwickelten Simple Certificate Enrollment Protocol (SCEP). Die erste Implementierung wurde mit Windows Server 2003 veröffentlicht.
Es mag verwundern, dass NDES in der Standardeinstellung bis heute kein Secure Socket Layer (SSL) für die HTTP-Verbindungen verwendet. Dieser Sachverhalt wird nachfolgend näher erläutert und bewertet.
„Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?“ weiterlesenDie Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"
Folgendes Szenario angenommen
- Es wird eine Zertifikatanforderung an eine Zertifizierungsstelle gesendet.
- Die Beantragung des Zertifikats schlägt mit folgender Fehlermeldung fehl:
Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)„Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "Error Parsing Request The request subject name is invalid or too long. 0x80094001 (-2146877439 CERTSRV_E_BAD_REQUESTSUBJECT)"“ weiterlesen
Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle
Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.
„Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle“ weiterlesenDie Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)"
Folgendes Szenario angenommen:
- Es ist ein Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) im Netzwerk implementiert.
- Die Beantragung eines Zertifikats schlägt mit folgender Fehlermeldung fehl:
"The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)"„Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)"“ weiterlesen
Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)"
Folgendes Szenario angenommen:
- Es ist ein Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) im Netzwerk implementiert.
- Die Beantragung eines Zertifikats schlägt mit folgender Fehlermeldung fehl:
The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)„Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)"“ weiterlesen
Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 500 fehl
Folgendes Szenario angenommen:
- Es ist ein Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) im Netzwerk implementiert.
- Der NDES Server verwendet ein Domänenkonto für die Identität des SCEP IIS-Anwendungspools.
- Die Beantragung von Zertifikaten über NDES schlägt mit HTTP Fehlercode 500 (Internal Server Error) fehl.
- Der Aufruf der mscep- und mscep_admin Seiten schlägt ebenfalls mit dem HTTP Fehlercode 500 fehl.
- Auch nach einem iisreset bzw. Neustart des NDES Servers erscheint nach Aufruf der mscep oder mscsp_admin Seite kein Ereignis, dass der NDES Dienst gestartet wäre, oder dass es Fehler gegeben hätte.
Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error"
Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Bei Aufruf der NDES-Beantragungs-Webseite (mscep) und der NDES-Administrations-Webseite (certsrv/mscep_admin) wird der HTTP-Fehler 500 (Internal Server Error) mit Fehlercode Error Code 0x80004005 gemeldet.
- Es werden die Ereignisse Nr. 2 und Nr. 8 im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error„Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error"“ weiterlesen
Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)
Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.
Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature "Network Load Balancing" (NLB) erreicht werden kann.
„Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)“ weiterlesenDie Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"
Folgendes Szenario angenommen:
- Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
- Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
- Die Authentifizierung erfolgt via Kerberos.
- Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung:
An error occurred while obtaining certificate enrollment policy.„Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen
Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)