Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung "Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)"

Folgendes Szenario angenommen:

  • Ein Benutzer beantragt ein Zertifikat.
  • Hierfür ist eine Enrollment Policy konfiguriert, welche auf einen Certificate Enrollment Policy Web Service (CEP) verweist.
  • Die Verbindung zum CEP schlägt fehl, und der Benutzer erhält folgende Fehlermeldung:
Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)

Die Zertifikatregistrierungs-Webdienste (Certificate Enrollment Policy Web Service, CEP und Certificate Enrollment Web Service, CES) ermöglichen die automatische Beantragung und Erneuerung von Zertifikaten einer Zertifizierungsstelle über eine Webbasierte Schnittstelle. Somit ist kein direkter Kontakt zur Zertifizierungsstelle über Remote Procedure Call (RPC) notwendig. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES)".

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler tritt üblicherweise auf, wenn der CEP Server zwar erreichbar ist und der Web Server Dienst läuft, aber der Application Pool für CEP (WSEnrollmentPolicyServer) bzw. CES (WSEnrollmentServer) nicht gestartet ist.

Lässt sich der Application Pool nicht starten, kann dies mehrere Ursachen haben.

  • Es gibt ein Problem mit der konfigurierten Identität des Application Pools, beispielsweise wenn das Dienstkonto deaktiviert oder dessen Passwort falsch oder abgelaufen ist. Ebenso muss die Identität zwingend mit vorangestelltem Domänennamen (z.B. INTRA\Service_CES) konfiguriert werden.
  • Für das Dienstkonto ist eine fehlerhafte Anmeldeeinschränkung (Logon Restriction über das userWorkstations Active Directory Attribut eingerichtet, welches auf den falschen Server konfiguriert ist) konfiguriert.
  • Die Domänenverbindung zwischen dem CEP Server und der Domäne ist unterbrochen, sodass keine Anmeldung erfolgen kann.
  • Das Benutzerkonto, unter welchem der CEP bzw. CES Application Pool konfiguriert ist, benötigt das Recht "Log on as a batch job" (SeBatchLogonRight), wenn es sich bei dem Dienstkonto um ein Domänenkonto handelt, oder "Log on as a Service" (SeServiceLogonRight), wenn es sich um einen Group Managed Service Account (gMSA) handelt.

Weiterführende Links:

de_DEDeutsch