Hallo, hier wieder einmal Rol, heute mit einem Ausflug zu PKI, speziell zu EFS, dem Encrypting File System.
Hier hatte unser PKI Experte Marius vor kurzem den Fall, daß obwohl beim Kunden einige Enterprise CAs eingerichtet waren, und auf zumindest einer davon mehrere neue EFS Certificate Templates, basierend auf dem Standard Basic EFS Template definiert waren, bei der Konfiguration der zugehörigen EFS Group Policy ein Fehler auftrat.
Beim Suchen/Browsen im Group Policy Management Editor nach dem EFS Template über
Computer configuration > Policies > Windows Settings > Public Key Policies > Encrypted File System > Properties, Certificates, Schaltfläche „Browse…“
war jedoch ein Popup erschienen, mit der Meldung:

No certificate templates are available in Active Directory, At least one certificate template is required to create an automatic certificate request, To populate Active Directory with the available certificate templates, on the Start menu, click Run, type certtmpl.msc, and then click OK. II you do not have permissions to manage certificate templates, contact your system administrator.

Wie kommt das nun, wo es doch mehrere EFS Templates auf einer der CAs gibt?

Ursache ist, daß beim Drücken der Browse-Schaltfläche im Hintergrund eine Durch-Nummerierung aller verfügbaren Enterprise CAs vorgenommen, aber nur eine davon herangezogen wird. Durch den Umstand, daß es nun mehrere CAs in der Umgebung gibt, aber nicht jede davon fragliche EFS Templates hat, kann es nun passieren, daß das verwendete Modul certmgr.dll eine CA anspricht, die die EFS Templates eben nicht veröffentlicht hat. Genau dann kommt es zu obigem Fehler-Popup.

Im derzeitigen Status gibt das Modul certmgr.dll nicht mehr her. Unsere PKI Experten haben jedoch bereits eine Änderung für das nächste Server Release Windows 8 beantragt.


Was kann man nun aber tun?

Lösung
Die entsprechende Lösung ist nun, das benötigte EFS Template temporär auch auf den anderen CAs zu veröffentlichen, dann die EFS GPO einzurichten und im Anschluß das EFS Template wieder von denjenigen CAs zu entfernen, die nicht EFS Zertifikate an Benutzer ausstellen sollen.
So kann man schließlich doch die EFS GPO richtig einrichten.

Beispiel mit Template „Test Basic EFS 2003“:

clip_image002

GPO Eigenschaften/Properties:

clip_image004

Erfolgreiches Browsen, nachdem die Templates temporär auf allen CAs veröffentlicht sind:

clip_image006

Dann hoffen wir mal, daß somit ein möglicher Stolperstein beim Einrichten schnell aus dem Weg geräumt ist.
Damit besten Dank an Marius für den Betrag und euch gutes Gelingen, Rol