Fehler 0x80094011: Client Windows XP kann nicht Zertifikat von ADCS einschreiben

Wenn Sie immer noch den Client-Computern mit Windows XP haben, können Sie den folgenden Fehler feststellen, während Zertifikat der Einschreibung von Active Directory Certification Services (ADCS), die unter Windows Server 2012 R2 arbeiten:

EventID 13
Source AutoEnrollment
0x80094011
The permissions on this certification authority do not allow the current user to enroll for certificates (this error you will find in Application Event Log on client computer). 

Fehlerursache 0x80094011

Dieses Problem wird mit den neuen Sicherheitseinstellungen in Windows Server 2012 R2 verbunden. Wenn eine Zertifizierungsstelle (Certification Authority, CA) eine Zertifikatanforderung empfängt, kann die Verschlüsselung für die Anforderung von der CA mithilfe von RPC_C_AUTHN_LEVEL_PKT erzwungen werden. In Windows Server 2008 R2 und früheren Versionen ist diese Einstellung für die Zertifizierungsstelle nicht standardmäßig aktiviert. In einer Windows Server 2012- oder Windows Server 2012 R2-Zertifizierungsstelle ist diese erweiterte Sicherheitseinstellung standardmäßig aktiviert.

Die Befehle zum Aktivieren der erweiterten Sicherheitsstufe von RPC_C_AUTHN_LEVEL_PKT in den Zertifizierungsstellen von Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 oder Windows Server 2008 R2 lauten wie folgt (Neustart ADCS dann):

certutil -setreg CA\InterfaceFlags +IF_ENFORCEENCRYPTICERTREQUEST

Wie zu deaktivieren RPC_C_AUTHN_LEVEL_PKT

So setzen Sie die Zertifizierungsstellensicherheit für die Kompatibilität mit Windows XP-Clients herab

certutil -setreg CA\InterfaceFlags -IF_ENFORCEENCRYPTICERTREQUEST
net stop certsvc
net start certsvc

Weitere Einzelheiten zum neuen Sicherheitsfunktionen von ADCs in Windows Server 2012 R2 (und andere neue Features), die Sie im folgenden Artikel lesen Neues zu Zertifikatdiensten in Windows Server.

Tags: pki (de), windows xp (de)

Drucken