Folgendes Szenario angenommen:
- Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
- Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
- Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
- Die Beantragung schlägt mit folgender Fehlermeldung fehl:
Your request failed. An error occurred while the server was processing your request. Contact your administrator for further assistance.
In den Details der Fehlermeldung findet sich folgender Hinweis:
CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.
Mögliche Ursachen können sein:
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
- Die Zertifizierungsstelle ist nicht erreichbar, beispielsweise weil eine Firewall die Verbindung verhindert. Wenn die Firewall die Pakete verwirft, ohne den Absender zu benachrichtigen, zeigt sich dies in der CAWE dadurch, dass die Beantragung sehr lange "hängt", bevor die Fehlermeldung erzeugt wird.
- Das Dienstkonto, unter welchem die CAWE ausgeführt wird, ist nicht oder nicht korrekt für Delegierung konfiguriert.
- Das Dienstkonto, unter welchem die CAWE ausgeführt wird, ist nicht Mitglied der Sicherheitsgruppe "Windows Authorization Access".
- Das Benutzerkonto, mit welchem das Zertifikat beantragt wurde, darf nicht delegiert werden.
- Es ist keine Authentifizierung an der RPC/DCOM Schnittstelle der Zertifizierungsstelle möglich, oder die Verbindung wird durch eine Firewall blockiert
Details: Das Dienstkonto, unter welchem die CAWE ausgeführt wird, ist nicht oder nicht korrekt für Delegierung konfiguriert.
Leider sind die von der CAWE ausgegebenen Fehlermeldungen nicht sehr aussagekräftig. Der Fehler RPC_S_SERVER_UNAVAILABLE tritt unter Anderem dann auf, wenn die Delegierung der Benutzerauthentifizierung zur Zertifizierungsstelle fehlschlägt, und die CAWE mit der Identität des IIS Anwendungspools betrieben wird.
Bei den Delegierungsvarianten, welche nur eine reine Kerberos Authentifizierung ermöglichen, ist keine NTLM-Authentifizierung mehr möglich. Diese sind:
- "Trust this User for delegation to any service (Kerberos only)"
- "Trust this user for delegation to specified services only" in Verbindung mit "Use Kerberos only"
Für eine einwandfreie Funktion der CAWE wird daher empfohlen, die Delegierungseinstellungen auf "Trust this user for delegation to specified services only" in Verbindung mit "Use any authentication protocol" zu setzen.
Siehe auch folgende Artikel:
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren
Details: Das Benutzerkonto, mit welchem das Zertifikat beantragt wurde, darf nicht delegiert werden.
Sofern auf dem Benutzerkonto die Option "Account is sensitive and cannot be delegated" (LDAP-Flag ADS_UF_NOT_DELEGATED) aktiviert ist, kann die CAWE den Benutzer nicht für die Beantragung des Zertifikats impersonieren. Das gleiche gilt, wenn der Benutzer Mitglied der Gruppe "Protected Users" ist.
Details: Es ist keine Authentifizierung an der RPC/DCOM Schnittstelle der Zertifizierungsstelle möglich, oder die Verbindung wird durch eine Firewall blockiert
Die CAWE nimmt gegenüber der Zertifizierungsstelle eine reguläre Zertifikatbeantragung via DCOM vor. Fehler, die aufgrund eines Problems mit der Netzwerkverbindung oder der Authentifizierung an der RPC/DCOM Schnittstelle auftreten können, verursachen den Fehlercode RPC_S_SERVER_UNAVAILABLE.
Für eine genaue Beschreibung aller möglichen Ursachen siehe Artikel "Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)"".
Weiterführende Links:
- Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren
2 Gedanken zu „Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit Fehlercode "RPC_S_SERVER_UNAVAILABLE"“
Kommentare sind geschlossen.