Details zum Ereignis mit ID 74 der Quelle Microsoft-Windows-CertificationAuthority

Ereignisquelle:	Microsoft-Windows-CertificationAuthority
Ereignis-ID:	74 (0x4A)
Ereignisprotokoll:	Application
Ereignistyp:	Fehler
Symbolischer Name:	MSG_E_BASE_CRL_PUBLICATION_HOST_NAME
Ereignistext (englisch):	Active Directory Certificate Services could not publish a Base CRL for key %1 to the following location on server %4: %2. %3.%5%6
Ereignistext (deutsch):	Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel %1 an folgendem Ort auf dem Server "%4" veröffentlicht werden: %2. %3.%5%6

Parameter

Die im Ereignistext enthaltenen Parameter werden mit folgenden Feldern befüllt:

• %1: CAKeyIdentifier (win:UnicodeString)
• %2: URL (win:UnicodeString)
• %3: ErrorMessageText (win:UnicodeString)
• %4: HostName (win:UnicodeString)
• %5: param5 (win:UnicodeString)
• %6: AdditionalErrorMessage (win:UnicodeString)

Beispiel-Ereignisse

Active Directory Certificate Services could not publish a Base CRL for key 5 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 2(5),CN=ADCS Labor Issuing CA 2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de.  Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
 ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100288, problem 2001 (NO_OBJECT), data 0, best match of:
 	'CN=ADCS Labor Issuing CA 2,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de'

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1,CN=ADCS Labor Issuing CA 1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de. Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS).
ldap: 0x32: LDAP_INSUFFICIENT_RIGHTS: 00002098: SecErr: DSID-03150F94, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp.CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de.  The object name has bad syntax. 0x8007208f (WIN32: 8335 ERROR_DS_BAD_NAME_SYNTAX).
ldap: 0x22: LDAP_INVALID_DN_SYNTAX: 0000208F: NameErr: DSID-03100232, problem 2006 (BAD_NAME), data 8349, best match of:
	'CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp.CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de'

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1(1),CN=CA02,CN=cdp,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de..  A referral was returned from the server. 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL).
ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-0310084A, data 0, 1 access points
	ref 1: 'intra.adcslabor.de.'

Active Directory Certificate Services could not publish a Base CRL for key 0 to the following location on server DC01.intra.adcslabor.de: ldap:///CN=ADCS Labor Issuing CA 1,CN=ADCS Labor Issuing CA 1,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de. 
The Directory Service encountered an unknown failure. 0x800720ef (WIN32: 8431 ERROR_DS_UNKNOWN_ERROR).
ldap: 0x1: LDAP_OPERATIONS_ERROR: 000020EF: SvcErr: DSID-0203058D, Problem 5012 (DIR_ERROR), data -1414

Beschreibung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieses Ereignis tritt auf, wenn die Zertifikatsperrliste zwar erfolgreich erzeugt werden konnte, anschließend aber nicht auf einen der konfigurierten Sperrlistenverteilpunkte kopiert werden konnte. In der Regel tritt es zusammen mit den Ereignissen 65, 66 und 75 auf.

Ursachen hierfür können sein:

Fehlercode ERROR_DS_OBJ_NOT_FOUND

Das LDAP-Objekt existiert nicht. Sofern es existieren sollte, etwa nach einer Änderung der Konfiguration der LDAP-Sperrlistenpfade, kann das LDAP-Objekt mit folgendem Befehl erstellt werden:

certufil -f -dspublish {Dateiname-der-CRL}

Voraussetzung hierfür ist jedoch,

• dass der ausführende Benutzer entsprechende Rechte im Active Directory besitzt.
• dass für den LDAP-Sperrlistenverteilpunt die Option "Include in CRLs" aktiviert ist, sodass der LDAP-Pfad in die Zertifikatsperrliste (Erweiterung "Published CRL Locations") geschrieben wird.

Fehlercode ERROR_DS_INSUFF_ACCESS_RIGHTS

Siehe Artikel "Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"".

Fehlercode ERROR_DS_OBJ_NOT_FOUND

Siehe Artikel "Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung "Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)"".

Fehlercode ERROR_DS_BAD_NAME_SYNTAX

Der konfigurierte LDAP-Sperrlistenveröffentlichungspunkt enthält ungültige Zeichen.

Fehlercode ERROR_DS_UNKNOWN_ERROR

Dieser Fehler kann bei einem fehlerhaften Verzeichnisdienst auftreten. Eventuell hilft eine Offline-Defragmentierung der Verzeichnisdienst-Datenbank.

Fehlercode ERROR_DS_REFERRAL

Kann auftreten, wenn der konfigurierte LDAP-Sperrlistenverteilpunkt nicht auf die Root-Domäne der Active Directory Gesamtstruktur verweist. Kann auch dan auftreten, wenn am Ende des konfigurierten LDAP-Sperrlistenverteilpunktes ungültige Zeichen eingetragen sind.

Der Standardwert ist generisch und sollte für alle Umgebungen funktionieren.

ldap:///CN=%7%8,CN=%2,CN=cdp,CN=Public Key Services,CN=Services,%6%10

Sicherheitsbewertung

Die Sicherheitsbetrachtung richtet sich nach den drei Dimensionen Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Ist die Zertifizierungsstelle nicht in der Lage, eine Sperrliste zu erzeugen oder zu veröffentlichen, ist es hochwahrscheinlich, dass diese in kurzer Zeit auf den Verteilungspunkten ablaufen wird. In diesem Fall droht der Ausfall der von der PKI abhängigen IT-Dienste. Daher ist dieses Ereignis in Hinsicht auf die Verfügbarkeit als "kritisch" zu bewerten.

Bewertung durch Microsoft

Microsoft bewertet dieses Ereignis im Securing Public Key Infrastructure (PKI) Whitepaper mit einem Schweregrad von "Niedrig".

Weiterführende Links:

• Übersicht über die von der Zertifizierungsstelle generierten Windows-Ereignisse
• Übersicht über die von der Zertifizierungsstelle generierten Audit-Ereignisse

Externe Quellen

• Event ID 74 – AD CS Certificate Revocation List (CRL) Publishing (Microsoft)
• Securing Public Key Infrastructure (PKI) (Microsoft)
• Compact the Directory Database File (Offline Defragmentation) (Microsoft)