| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1057 (0xC0000421) |
| Ereignisprotokoll: | System |
| Ereignistyp: | |
| Ereignistext (englisch): | The RD Session Host Server has failed to create a new self signed certificate to be used for RD Session Host Server authentication on SSL connections. The relevant status code was %1. |
| Ereignistext (deutsch): | Fehler beim Erstellen eines neuen selbstsignierten Zertifikats, das für die Remotedesktop-Sitzungshostserver-Authentifizierung bei SSL-Verbindungen verwendet werden soll. Zugehöriger Statuscode: %1. |
Autor: Uwe Gradenegger
Details zum Ereignis mit ID 1056 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1056 (0xC0000420) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Information |
| Ereignistext (englisch): | A new self signed certificate to be used for RD Session Host Server authentication on SSL connections was generated. The name on this certificate is %1. The SHA1 hash of the certificate is in the event data. |
| Ereignistext (deutsch): | Es wurde ein neues selbstsigniertes Zertifikat für die Remotedesktop-Sitzungshostserver-Authentifizierung bei SSL-Verbindungen generiert. Der Name auf diesem Zertifikat ist "%1". Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. |
Details zum Ereignis mit ID 1055 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1055 (0xC000041F) |
| Ereignisprotokoll: | System |
| Ereignistyp: | |
| Ereignistext (englisch): | The RD Session Host Server is configured to use a certificate but is unable to access the private key associated with this certificate. %1 The SHA1 hash of the certificate is in the event data. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, kann jedoch nicht auf den diesem Zertifikat zugeordneten privaten Schlüssel zugreifen. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Dienstprogramms "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Details zum Ereignis mit ID 1054 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1054 (0xC000041E) |
| Ereignisprotokoll: | System |
| Ereignistyp: | |
| Ereignistext (englisch): | The RD Session Host Server is configured to use a certificate that does not contain an Extended Key Usage attribute of Server Authentication. %1 The SHA1 hash of the certificate is in the event data. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, das kein Attribut "Erweiterte Schlüsselverwendung" der Serverauthentifizierung enthält. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Details zum Ereignis mit ID 1053 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1053 (0xC000041D) |
| Ereignisprotokoll: | System |
| Ereignistyp: | |
| Ereignistext (englisch): | The RD Session Host Server is configured to use a certificate that is expired. %1 The SHA1 hash of the certificate is in the event data. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, das abgelaufen ist. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Von jetzt an wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Details zum Ereignis mit ID 1052 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1052 (0xC000041C) |
| Ereignisprotokoll: | System |
| Ereignistyp: | |
| Ereignistext (englisch): | The RD Session Host Server is configured to use a certificate that will expire in %2 days. %1 The SHA1 hash of the certificate is in the event data. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung eines Zertifikats konfiguriert, das in %2 Tagen abläuft. %1 Der SHA1-Hash des Zertifikats findet sich in den Ereignisdaten. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Details zum Ereignis mit ID 1051 der Quelle Microsoft-Windows-TerminalServices-RemoteConnectionManager
| Ereignisquelle: | Microsoft-Windows-TerminalServices-RemoteConnectionManager |
| Ereignis-ID: | 1051 (0xC000041B) |
| Ereignisprotokoll: | System |
| Ereignistyp: | Fehler |
| Ereignistext (englisch): | The RD Session Host Server is configured to use SSL with user selected certificate, however, no usable certificate was found on the server. The default certificate will be used for RD Session Host Server authentication from now on. Please check the security settings by using the Remote Desktop Session Host Configuration tool in the Administrative Tools folder. |
| Ereignistext (deutsch): | Der Remotedesktop-Sitzungshostserver ist für die Verwendung von SSL mit einem vom Benutzer ausgewählten Zertifikat konfiguriert, jedoch wurde kein verwendbares Zertifikat auf dem Server gefunden. Ab jetzt wird für die Remotedesktop-Sitzungshostserver-Authentifizierung das Standardzertifikat verwendet. Überprüfen Sie die Sicherheitseinstellungen mithilfe des Tools "Konfiguration des Remotedesktop-Sitzungshosts" im Ordner "Verwaltung". |
Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen
Mit der Einführung der Zertifikatvorlagen der Version 2 zusammen mit Windows XP und Windows Server 2003 wurde die Option eingeführt, dass eine Zertifikatvorlage eine oder mehrere andere ersetzen kann.
Hiermit ist es möglich, ausgestellte Zertifikate durch solche einer anderen Zertifikatvorlage zu ersetzen, oder mehrere Zertifikatvorlagen zu einer einzigen hin zu konsolidieren.
„Grundlagen: Ersetzen (Superseding) von Zertifikatvorlagen“ weiterlesenGrundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)
Seit Windows NT 4.0 gibt es im Rahmen der CryptoAPI die Cryptographic Service Provider (CSP).
Sinn ist, dass sich eine Anwendung nicht um die konkrete Implementierung der Schlüsselverwaltung kümmern muss, sondern dies generischen Betriebssystem-Schnittstellen überlassen kann. Ebenso soll hiermit vermieden werden, dass kryptographische Schlüssel im Sicherheitskontext des Benutzers/der verwendenen Anwendung in den Arbeitsspeicher geladen werden (ein fataler Sicherheitsvorfall, der genau auf diesem Problem basierte war der Heartbleed Vorfall).
Beispielsweise spielt es für die Zertifizierungsstellen-Software technisch keine Rolle, wie ihr privater Schlüssel geschützt ist – ob in Software oder beispielsweise mit einem Hardware Security Modul (HSM). Der Aufruf des privaten Schlüssel ist für die Zertifizierungsstelle immer identisch.
Mit Windows Vista und der Einführung der Cryptography Next Generation (CNG) als Ablöser für die CryptoAPI wurden die Key Storage Provider (KSP) eingeführt.
„Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP)“ weiterlesenDie Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."
Folgendes Szenario angenommen:
- Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
- Die Zertifikate werden jedoch nicht beantragt.
- Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The permissions on the certificate template do not allow the current user to enroll for this type of certificate.„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The permissions on the certificate template do not allow the current user to enroll for this type of certificate."“ weiterlesen
Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."
Folgendes Szenario angenommen:
- Maschinen sind per Gruppenrichtlinie konfiguriert, Zertifikate für den Remotedesktop-Sitzungshost zu beantragen.
- Die Zertifikate werden jedoch nicht beantragt oder bestehende Zertifikate laufen ohne Erneuerung ab.
- Im Ereignisprotokoll der betroffenen System wird das Ereignis mit ID 1064 der Quelle Terminalservices-RemoteConnectionManager protokolliert:
The RD Session Host server cannot install a new template-based certificate to be used for Transport Layer Security (TLS) 1.0\Secure Sockets Layer (SSL) authentication and encryption. The following error occurred: The requested certificate template is not supported by this CA.„Die Beantragung von Remotedesktop-Zertifikaten schlägt fehl mit Fehlermeldung "The requested certificate template is not supported by this CA."“ weiterlesen
Der lokale Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen wird nicht aus dem Active Directory synchronisiert
Folgendes Szenarion angenommen:
- Es ist eine Zertifizierungsstellen-Hierarchie im Netzwerk etabliert und die Stammzertifizierungsstelle ist in der Configuration-Partition der Active Directory Gesamtstruktur abgebildet.
- Die Domänenmitglieder sind konfiguriert, den Autoenrollment-Prozess auszuführen und somit vertrauenswürdige Stammzertifizierungsstellen aus der Configuration-Partition zu aktualisieren.
- Bei einigen Clients funktioniert dieser Prozess allerdings nicht. Die Stammzertifizierungsstellen-Zertifikate werden nicht automatisch heruntergeladen und in den lokalen Vertrauensspeicher eingetragen.
- Als Folgeerscheinung können Zertifikatbeantragungen fehlschlagen, da beispielsweise der Zertifizierungsstellen-Hierarchie nicht vertraut wird.
Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"
Folgendes Szenario angenommen:
- Es ist ein Onlineresponder (OCSP) im Netzwerk eingerichtet.
- Die Zertifizierungsstellen melden in unregelmäßigen Abständen, dass Zertifikatanforderungen für die OCSP-Antwortsignaturzertifikate mit folgender Fehlermeldung fehlschlagen:
The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK).„Zertifikatanforderungen für den Onlineresponder (OCSP) schlagen sporadisch fehl mit Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"“ weiterlesen
Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen
Folgendes Szenario angenommen:
- Man schreibt ein Script oder eine Anwendung, die den Autoenrollment Prozess für den aktuell angemeldeten Benutzer auslösen soll.
- Man stellt hierbei fest, dass der geplante Task nicht ausgeführt werden kann.
- Die Fehlermeldung lautet:
The user account does not have permissions to run this task.„Den Autoenrollment Prozess für den angemeldeten Benutzer programmatisch auslösen“ weiterlesen
Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren
Nachfolgend eine Übersicht über die für die von Windows-Zertifikat-Clients erzeugten Ereignisse in der Windows-Ereignisanzeige, deren Aktivierung und deren Identifikation.
„Protokollierung für die automatische Zertifikatbeantragung (Autoenrollment) aktivieren“ weiterlesen
Deutsch 
English