ich benutzteDaseine Zertifizierungsstelle my root CA
von einem Win2003 AD-Server oldserver
auf einen Win2008R2-Mitgliedsserver newserver
(mit anderem Namen) zu migrieren. Nach Abschluss dieser Aufgabe wollte ich den Web-Registrierungsrollendienst auf installieren newserver
, aber das schlägt fehl mit
Die Webregistrierung der Zertifizierungsstelle kann nicht installiert werden.
Die Einrichtung der Active Directory-Zertifikatdienste ist mit dem folgenden Fehlercode fehlgeschlagen: Der Parameter ist falsch. 0x80070057 (WIN32: 87)
Ich habe überprüft, dass oldserver
das nirgends unterHKLM\SYSTEM\CurrentControlSet\CertServ
Im Servermanager AD Certificate Services/Enterprise PKI/my root CA
stehen alle Einträge entweder mit http newserver
oder mit ldap my root CA
anstelle eines konkreten Servernamens.
In Active Directory-Standorten und -Diensten hat unter Services/Public Key Services/AIA/
Vollzugriff newserver$
auf my root CA
. Unter Services/Public Key Services/CDP/
befinden sich die Ordner oldserver
und newserver
und jeder enthält my root CA
und my root CA(1)
und my root CA(3)
. Für alle davon newserver$
hat Vollzugriff.
Für mich sieht das alles so aus, als hätte ich alles richtig gemacht – was könnte also falsch sein?
Antwort1
Dies war eine Folge der genauen Befolgung des von Microsoft vorgeschlagenen Verfahrens:
- Sie empfehlen, zuerst zu installierennurdie CA ohne zusätzliche Rollendienste
- Sie schlagen vor, die Registrierungseinstellungen nur in Bezug auf Servernamen zu bearbeiten.
Als Konsequenz habe ichnichtdirekt installieren Sie die Web-Registrierung.Ich habe inzwischen herausgefundenenthält die Registrierung eine Einstellung, die besagt, dass Web Enrollment bereits installiert ist. Das Ändern des Setupstatus von 0x6003 auf 0x6001 wie vorgeschlagen hat das Problem gelöst.