Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 6 (0x6) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Warnung |
Ereignistext (englisch): | The Certificate Enrollment Web Service is in renewal-only mode. New enrollment requests cannot be processed when the Certificate Enrollment Web Service is in renewal-only mode. If you want to enable new enrollment requests, configure both the CA and the Certificate Enrollment Web Service for new enrollment requests. |
Ereignistext (deutsch): | Der Zertifikatregistrierungs-Webdienst befindet sich im Nur-Erneuerungen-Modus. Neue Registrierungsanforderungen können nicht verarbeitet werden, wenn sich der Zertifikatregistrierungs-Webdienst im Nur-Erneuerungen-Modus befindet. Wenn Sie neue Registrierungsanforderungen ermöglichen möchten, konfigurieren Sie die Zertifizierungsstelle und den Zertifikatregistrierungs-Webdienst für neue Registrierungsanforderungen. |
Kategorie: Zertifikatregistrierungs-Webdienste
Details zum Ereignis mit ID 7 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 7 (0x7) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Certificate Enrollment Web Service is attempting to use renewal-only mode, but certification authority (CA) "%1" does not support this mode. To use renewal-only mode, configure the Certificate Enrollment Web Service to use a CA that is installed on a computer that is running at least Windows Server 2008 R2. Then, configure the CA by running the following command on the CA: certutil -setreg policy\editflags +EDITF_ENABLERENEWONBEHALFOF. Otherwise, disable renewal-only mode. If no action is taken, subsequent requests will be rejected. |
Ereignistext (deutsch): | Vom Zertifikatregistrierungs-Webdienst wird versucht, den Nur-Erneuerungen-Modus zu verwenden. Dieser Modus wird jedoch von der Zertifizierungsstelle "%1" nicht unterstützt. Wenn Sie den Nur-Erneuerungen-Modus verwenden möchten, konfigurieren Sie den Zertifikatregistrierungs-Webdienst zur Verwendung einer Zertifizierungsstelle, die auf einem Computer mit Windows Server 2008 R2 oder höher installiert ist, und konfigurieren Sie dann die Zertifizierungsstelle selbst durch Ausführen des Befehls "certutil -setreg policy\editflags +EDITF_ENABLERENEWONBEHALFOF". Deaktivieren Sie andernfalls den Nur-Erneuerungen-Modus. Wenn keine Aktion ausgeführt wird, werden künftige Anforderungen abgelehnt. |
Details zum Ereignis mit ID 8 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 8 (0x8) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Certificate Enrollment Web Service cannot read the version or the configuration flags from certification authority (CA) "%1." On the Security tab of the CA property sheet, grant Read permission to the account used by the Certificate Enrollment Web Service application pool. If no action is taken, subsequent requests will be rejected. |
Ereignistext (deutsch): | Die Versions- bzw. Konfigurationskennzeichen der Zertifizierungsstelle "%1" können vom Zertifikatregistrierungs-Webdienst nicht gelesen werden. Gewähren Sie auf der Registerkarte "Sicherheit" der Eigenschaftenseite der Zertifizierungsstelle dem Konto Leseberechtigungen, das vom Zertifikatregistrierungs-Webdienst-Anwendungspool verwendet wird. Wenn keine Aktion ausgeführt wird, werden zukünftige Anforderungen abgelehnt. |
Details zum Ereignis mit ID 9 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 9 (0x9) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Certificate Enrollment Web Service is attempting to use renewal-only mode, but certification authority (CA) "%1" does not support this mode. To use renewal-only mode, configure the CA by running the following command on the CA: certutil -setreg policy\editflags +EDITF_ENABLERENEWONBEHALFOF. Otherwise, disable renewal-only mode. If no action is taken, subsequent requests will be rejected. |
Ereignistext (deutsch): | Vom Zertifikatregistrierungs-Webdienst wird versucht, den Nur-Erneuerungen-Modus zu verwenden. Dieser Modus wird jedoch von der Zertifizierungsstelle "%1" nicht unterstützt. Wenn Sie den Nur-Erneuerungen-Modus verwenden möchten, konfigurieren Sie die Zertifizierungsstelle. Führen Sie dazu für die Zertifizierungsstelle den folgenden Befehl aus: "certutil -setreg policy\editflags +EDITF_ENABLERENEWONBEHALFOF". Deaktivieren Sie andernfalls den Nur-Erneuerungen-Modus. Wenn keine Aktion ausgeführt wird, werden zukünftige Anforderungen abgelehnt. |
Details zum Ereignis mit ID 10 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 10 (0xA) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Certificate Enrollment Web Service cannot operate because an incompatible configuration was selected. To resolve this issue, remove the Certificate Enrollment Web Service. If you want to use key based renewal, enable both client certificate authentication and renewal-only mode. If you want to use user name and password authentication or Windows authentication, disable key based renewal, and then run Setup again. |
Ereignistext (deutsch): | Der Zertifikatregistrierungsrichtlinien-Webdienst kann nicht ausgeführt werden, da eine nicht kompatible Konfiguration ausgewählt wurde. Entfernen Sie den Zertifikatregistrierungsrichtlinien-Webdienst, um das Problem zu beheben. Wenn Sie die schlüsselbasierte Erneuerung verwenden möchten, aktivieren Sie sowohl die Clientzertifikatauthentifizierung als auch den Nur-Erneuerungen-Modus. Wenn Sie die Benutzername- und Kennwortauthentifizierung oder die Windows-Authentifizierung verwenden möchten, deaktivieren Sie die schlüsselbasierte Erneuerung, und führen Sie Setup erneut aus. |
Details zum Ereignis mit ID 2 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 2 (0x2) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Fehler |
Ereignistext (englisch): | The Certificate Enrollment Web Service failed to start. Confirm that the Certificate Enrollment Web Service is properly installed, and restart Internet Information Services (IIS) by using iisreset.exe. If the problem persists, enable tracing in the web.config file, restart IIS, attempt to enroll for a certificate again from any client, and then contact Microsoft Customer Service and Support with the trace file information. %1 |
Ereignistext (deutsch): | Fehler beim Starten des Zertifikatregistrierungs-Webdiensts. Stellen Sie sicher, dass der Zertifikatregistrierungs-Webdienst richtig installiert ist, und starten Sie Internetinformationsdienste (IIS) mithilfe der Datei "iisreset.exe" neu. Falls das Problem weiterhin besteht, aktivieren Sie in der Datei "web.config" die Ablaufverfolgung, starten Sie IIS neu, rufen Sie erneut von einem beliebigen Client Richtlinieninformationen ab, und wenden Sie sich dann mit den Informationen der Ablaufverfolgungsdatei an den Microsoft Kundendienst und Support. %1 |
Details zum Ereignis mit ID 1 der Quelle Microsoft-Windows-EnrollmentWebService
Ereignisquelle: | Microsoft-Windows-EnrollmentWebService |
Ereignis-ID: | 1 (0x1) |
Ereignisprotokoll: | Microsoft-Windows-EnrollmentWebService/Admin |
Ereignistyp: | Information |
Ereignistext (englisch): | The Certificate Enrollment Web Service has started. |
Ereignistext (deutsch): | Der Zertifikatregistrierungs-Webdienst wurde gestartet. |
Den Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen
Wird im Netzwerk ein Zertifikatbeantragungs-Webdienst (Certificate Enrollment Web Service, CES) betrieben, ist es nach der "Migration einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) auf einen anderen Server" erforderlich, dass die Konfiguration des CES an die neue Situation angepasst wird.
In der Konfiguration des CES ist ein Konfigurations-String (Config String) hinterlegt, welcher den Servernamen der verbundenen Zertifizierungsstelle enthält. Ändert sich dieser, muss die Konfiguration entsprechend angepasst werden.
„Den Zertifikatbeantragungs-Webdienst (CES) nach der Migration einer Zertifizierungsstelle auf einen neuen Server anpassen“ weiterlesenDer Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an
Es gibt einen bekannten Fehler im Zertifikatregistrierungs-Richtlinienwebdienst (Certificate Enrollment Policy Web Service, CEP), der dazu führt, dass Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 bzw. Windows 10 konfiguriert sind, nicht angezeigt werden.
„Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an“ weiterlesenDie Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"
Folgendes Szenario angenommen:
- Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)"“ weiterlesen
Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"
Folgendes Szenario angenommen:
- Es wird versucht, ein Zertifikat via Windows PowerShell über die Zertifikatbeantragungs-Richtliniendienste (Certificate Enrollment Web Services) zu beantragen. Der Name der Zertifikatvorlage wird mit dem -Template Argument mit angegeben.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004„Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung "Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"“ weiterlesen
(-2146885628 CRYPT_E_NOT_FOUND)
Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A)
Folgendes Szenario angenommen:
- Man führt einen Funktionstest für den Zertifizierungsstellen-Richtlinienserver (Certificate Enrollment Policy Web Server, CEP) durch.
- Hierfür verwendet man einen certutil-Befehl, der die Kerberos-Authentifizierung verwendet, z.B.:
certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP
Der certutil Befehl wird vom Windows Defender bzw. Windows Defenter Advanced Threat Protection fälschlicherweise als Win32/Ceprolad.A erkannt.
„Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A)“ weiterlesenBenötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)
Angenommen, man implementiert das Active Directory-Verwaltungsebenenmodell (Administrative Tiering Model) von Microsoft, oder wendet vergleichbare Härtungsmaßnahmen auf seinen Servern an, hat dies Auswirkungen auf die CEP Komponenten.
„Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP)“ weiterlesenVerwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)
Es ist allgemein eine gute Idee, die Verfügbarkeit der Zertifikatregistrierungs-Webdienste (Zertifikatregistrierungs-Richtliniendienst, CEP und Zertifikatregistrierungs-Webdienst, CES) jederzeit sicherzustellen.
Nachfolgend wird beschrieben, wie dies mit dem Windows-Feature "Network Load Balancing" (NLB) erreicht werden kann.
„Verwenden von Microsoft Network Load Balancing (NLB) für die Zertifikatregistrierungs-Webdienste (CEP, CES)“ weiterlesenDie Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"
Folgendes Szenario angenommen:
- Benutzer (oder Computer) sollen Zertifikate über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) beantragen.
- Hierfür wird eine Zertifikatregistrierungs-Richtlinie (Enrollment Policy) konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
- Die Authentifizierung erfolgt via Kerberos.
- Beim Überprüfen der Adresse schläft die Verbindung zum CEP schlägt fehl, und man erhält folgende Fehlermeldung:
An error occurred while obtaining certificate enrollment policy.„Die Überprüfung der Zertifikatregistrierungsrichtlinie über den Zertifikatregistrierungs-Richtlinienwebdienst (CEP) schlägt fehl mit Fehlercode "WS_E_ENDPOINT_FAULT_RECEIVED"“ weiterlesen
Url: https://cews.adcslabor.de/ADCS%20Labor%20Issuing%20CA%201_CES_Kerberos/service.svc/CES
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)