In vielen Unternehmen spielt die Active Directory Certificate Services (AD CS) eine zentrale Rolle bei der Verwaltung von Zertifikaten. Doch was tun, wenn bei der Zertifikatsbeantragung plötzlich Fehler auftreten, die den Betriebsablauf stören? Zwei besonders häufige und frustrierende Fehler sind der Fehler 1722 (RPC-Server ist nicht verfügbar) und der Fehler CERTSRV_E_UNSUPPORTED_CERT_TYPE (Zertifikatvorlage wird nicht unterstützt). In diesem Beitrag beleuchte ich typische Szenarien, in denen diese Fehler auftreten, die Hauptursachen und gebe detaillierte Lösungsansätze.
Typische Fehlermeldungen
Fehler 1722: RPC-Server ist nicht verfügbar
Dieser Fehler tritt häufig in folgenden Situationen auf:
- Zertifikatsbeantragung durch Benutzer oder Geräte bei einer Enterprise CA.
- Nutzung webbasierter Dienste wie NDES (Network Device Enrollment Service), CES (Certificate Enrollment Service) oder CAWE (Certification Authority Web Enrollment).
Typische Fehlermeldungen:
- „Der Zertifikatantrag konnte nicht an die Zertifizierungsstelle übermittelt werden. Fehler: Der RPC-Server ist nicht verfügbar. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE).“
- „Das Verschlüsselungszertifikat für die Zertifizierungsstelle konnte nicht abgerufen werden.“
Fehler CERTSRV_E_UNSUPPORTED_CERT_TYPE: Zertifikatvorlage wird nicht unterstützt
Dieser Fehler tritt auf, wenn ein Zertifikat von einer Enterprise CA beantragt wird und folgende Meldung erscheint:
- „The requested certificate template is not supported by this CA. 0x80094800 (-2146875392 CERTSRV_E_UNSUPPORTED_CERT_TYPE).“
Hier müssen zwei Szenarien unterschieden werden:
- Die Zertifikatanforderung erreicht die CA und wird dort abgelehnt.
- Die Zertifikatanforderung erreicht die CA nicht.
Hauptursachen für die Fehler
Fehler 1722: RPC_S_SERVER_UNAVAILABLE
Mögliche Ursachen:
- Verbindungsprobleme zur RPC-Schnittstelle
- Netzwerkprobleme oder fehlerhafte DNS-Einstellungen verhindern die Verbindung zur RPC-Schnittstelle der Zertifizierungsstelle.
- Veraltete oder falsche DNS-Einträge führen dazu, dass der Hostname nicht korrekt aufgelöst wird.
- Fehlende Authentifizierung
- Der anfragende Account verfügt nicht über die notwendigen Berechtigungen.
- Falsch konfigurierte Kerberos-Delegierungen oder abgelaufene Anmeldetokens können die Authentifizierung verhindern.
- Fehlerhafte oder geänderte Zertifikatvorlagen
- Änderungen an Zertifikatvorlagen oder fehlerhafte Konfigurationen verhindern die Beantragung.
- Die CA hat möglicherweise keine Leseberechtigung auf die Zertifikatvorlage.
Fehler CERTSRV_E_UNSUPPORTED_CERT_TYPE
Mögliche Ursachen:
- Die CA kennt die angeforderte Zertifikatvorlage nicht
- Die Zertifikatvorlage ist auf der CA nicht veröffentlicht.
- Der CA fehlen die Leseberechtigungen auf die Vorlage.
- Die Zertifikatanforderung wird vom Client nicht gesendet
- Der Client findet keine passende CA, die die gewünschte Vorlage ausstellt.
- Vertrauensprobleme zwischen Client und CA verhindern die Anforderung.
- Falsch konfigurierte oder geänderte Zertifikatvorlagen
- Die Vorlage ist inkompatibel oder unvollständig konfiguriert.
- Der Kompatibilitätsmodus der Vorlage passt nicht zur CA-Version.
Lösungsansätze
1. Überprüfung der Netzwerkverbindung (Fehler 1722)
a. Hostname und Namensauflösung
- Hostname prüfen: Stellen Sie sicher, dass der Hostname der CA korrekt ist.
- DNS-Auflösung: Überprüfen Sie, ob der Hostname zur richtigen IP-Adresse aufgelöst wird.
- Veraltete DNS-Einträge: Aktualisieren Sie gegebenenfalls DNS-Einträge, um falsche IP-Adressen zu vermeiden.
b. Firewall-Einstellungen
- Notwendige Ports öffnen:
- TCP 135: Endpoint Mapper für RPC.
- Dynamische RPC-Ports 49152–65535: Für die eigentliche RPC-Kommunikation.
- Firewall-Regeln prüfen:
- Überprüfen Sie sowohl Netzwerk-Firewalls als auch die Windows-Firewall auf der CA.
- Intelligente Firewalls: Stellen Sie sicher, dass keine Firewall die RPC-Datenpakete verändert oder blockiert.
c. Dienststatus
- CA-Dienst überprüfen: Stellen Sie sicher, dass der Zertifizierungsstellendienst aktiv ist und ordnungsgemäß funktioniert.
2. Authentifizierung an der RPC-Schnittstelle (Fehler 1722)
a. Berechtigungen überprüfen
- Recht „Zugriff auf diesen Computer über das Netzwerk“: Der anfragende Account muss dieses Recht auf der CA besitzen.
- Standardgruppen: Die Gruppen „Administratoren“, „Sicherungs-Operatoren“, „Jeder“ und „Benutzer“ haben dieses Recht standardmäßig.
- Gegenrecht prüfen: Stellen Sie sicher, dass der Account nicht unter „Zugriff vom Netzwerk auf diesen Computer verweigern“ fällt.
b. Kerberos-Delegierung
- Delegierungseinstellungen überprüfen: Stellen Sie sicher, dass die Kerberos-Delegierung korrekt konfiguriert ist, besonders bei Diensten, die über mehrere Server hinweg genutzt werden.
- Abgelaufene Tokens: Vergewissern Sie sich, dass der Benutzer ein gültiges Anmeldetoken besitzt.
c. Vertrauensstellungen zwischen Active Directory-Forests
- Zwei-Wege-Vertrauensstellung: Erforderlich, wenn Benutzer aus einem anderen Forest Zertifikate beantragen.
- Selektive Authentifizierung: Bei Verwendung muss der Benutzer das Recht „Zum Authentifizieren zulassen“ auf dem Computerobjekt der CA besitzen.
3. Überprüfung der DCOM-Berechtigungen (Fehler 1722)
a. DCOM-Konfiguration
- DCOMCNFG starten: Öffnen Sie die Komponentendienste über
dcomcnfg
. - Eigenschaften von „Mein Computer“: Navigieren Sie zu „Computers“ > „Mein Computer“ > Rechtsklick > Eigenschaften.
b. COM-Sicherheit
- Zugriffsberechtigungen:
- Die Gruppe
CERTSVC_DCOM_ACCESS
muss die Berechtigungen „Lokaler Zugriff“ und „Remotezugriff“ besitzen.
- Die Gruppe
- Start- und Aktivierungsberechtigungen:
- „Lokales Starten“ und „Remoteaktivierung“ müssen für die benötigten Gruppen erlaubt sein.
c. Gruppenmitgliedschaft
- Gruppe
CERTSVC_DCOM_ACCESS
: Diese sollte „Authentifizierte Benutzer“ enthalten.
d. Gruppenrichtlinien
- GPO-Einstellungen: Überprüfen Sie, ob Berechtigungen durch Gruppenrichtlinien gesteuert und möglicherweise überschrieben werden.
4. Überprüfung des CertSrv Request Interface (Fehler 1722)
- DCOM-Komponente: In der DCOM-Konfiguration das „CertSrv Request Interface“ prüfen.
- Sicherheitsberechtigungen setzen:
- Start- und Aktivierungsberechtigungen:
- „Lokale Aktivierung“ und „Remoteaktivierung“ für die benötigten Gruppen gewähren.
- Zugriffsberechtigungen:
- „Lokaler Zugriff“ und „Remotezugriff“ entsprechend gewähren.
- Start- und Aktivierungsberechtigungen:
5. Überprüfung der Zertifikatvorlagen
a. Leseberechtigungen der CA
- Sicherheitseinstellungen der Vorlage: Die CA muss Leseberechtigungen auf die Zertifikatvorlage haben.
- Standardberechtigungen: Durch „Authentifizierte Benutzer“ normalerweise gegeben.
b. Veröffentlichung der Vorlagen
- Vorlagen veröffentlichen: Stellen Sie sicher, dass die gewünschten Vorlagen auf der CA veröffentlicht sind.
- Tippfehler vermeiden: Bei manuellen Anfragen sicherstellen, dass der Vorlagenname korrekt ist.
c. Wiederherstellung der Standardvorlagen
- Standardvorlagen installieren: Führen Sie auf der CA folgenden Befehl aus:powershellCode kopieren
certutil -installdefaulttemplates
- Auswirkungen: Dadurch wird sichergestellt, dass alle Standardvorlagen korrekt vorhanden sind.
d. Falsch konfigurierte oder geänderte Vorlagen
- Vorlagen überprüfen: Stellen Sie sicher, dass benutzerdefinierte Vorlagen korrekt konfiguriert sind und den Anforderungen entsprechen.
- Kompatibilitätsmodus: Überprüfen Sie, ob der Kompatibilitätsmodus der Vorlage mit der CA-Version übereinstimmt.
6. Vertrauen des anfragenden Clients zur CA (CERTSRV_E_UNSUPPORTED_CERT_TYPE)
a. Stammzertifikate überprüfen
- Vertrauenswürdige Stammzertifizierungsstellen: Das Stammzertifikat der CA muss im Zertifikatsspeicher des Clients vorhanden sein.
b. Zertifikatkette
- Kette vervollständigen: Der Client muss die gesamte Zertifikatkette validieren können.
- AIA-Zugriff: Überprüfen Sie, ob der Client auf die Authority Information Access (AIA)-Verteilungspunkte zugreifen kann. Firewallregeln könnten den Zugriff blockieren.
c. Ereignisprotokolle
- Ereignis Nr. 52 und 47: Diese Ereignisse weisen darauf hin, dass der Client der CA nicht vertraut oder keine passende CA findet.
Zusammenfassung
Die Behebung von Fehlern bei der Zertifikatsbeantragung erfordert ein systematisches Vorgehen. Die häufigsten Ursachen sind Netzwerkprobleme, fehlende Berechtigungen oder falsch konfigurierte Zertifikatvorlagen. Durch eine gründliche Überprüfung der Netzwerkverbindung, der Berechtigungen und der Konfigurationen können diese Probleme meist behoben werden.
Tipps für die Praxis:
- Netzwerk und Dienste prüfen: Stellen Sie sicher, dass die CA erreichbar ist und ihre Dienste aktiv sind.
- Authentifizierung sicherstellen: Überprüfen Sie die notwendigen Rechte und Berechtigungen auf Netzwerk- und Anwendungsebene.
- DCOM-Einstellungen kontrollieren: Stellen Sie sicher, dass die DCOM-Berechtigungen korrekt gesetzt sind.
- Zertifikatvorlagen überprüfen: Vergewissern Sie sich, dass die CA Zugriff auf die Vorlagen hat und diese korrekt konfiguriert sind.
- Vertrauen zwischen Client und CA herstellen: Stellen Sie sicher, dass der Client der CA vertraut und die Zertifikatkette validieren kann.
- Standardvorlagen wiederherstellen: Bei Problemen mit Vorlagen kann die Wiederherstellung der Standardvorlagen hilfreich sein.
- Ereignisprotokolle nutzen: Nutzen Sie die Windows-Ereignisanzeige zur Diagnose von Fehlern und zur Identifikation von Berechtigungs- oder Konfigurationsfehlern.
Fehler bei der Zertifikatsbeantragung können den Betriebsablauf erheblich stören, sind jedoch mit einem systematischen Vorgehen meist schnell zu beheben. Ein tiefgehendes Verständnis der zugrunde liegenden Mechanismen und eine sorgfältige Überprüfung der beteiligten Komponenten sind dabei entscheidend. Durch proaktive Maßnahmen und regelmäßige Überprüfungen können viele dieser Probleme bereits im Vorfeld vermieden werden.
Hinterlasse jetzt einen Kommentar