none
WIndows CAPI2 Fehler / Ereigniss ID:11 RRS feed

  • Frage

  • Hallo.

    Wir haben bei uns einen Server mit Windows Server 2008 R2 am laufen. Dieser bringt immer wieder den Fehler :

    Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.

    Kennt von euch jmd. eine Lösung irgendwie werde ich daraus nicht schlau, da das Zertifikat eigentlich noch bis 2011 gültig ist.

    Falls noch was fehlt oder jmd. eine Antwort hat, bitte posten!

    Danke!!

    Montag, 19. Juli 2010 12:53

Antworten

Alle Antworten

  • Wir haben dasselbe Problem seit ca. einer Woche auf mehreren Servern bei mehreren Kunden. Was kann das sein?
    Dienstag, 20. Juli 2010 08:05
  • Gut wir werden das bei uns mal ausprobieren...... Danke schon mal!
    Dienstag, 20. Juli 2010 09:46
  • Hmm.....also hab mir die Antworten gerade mal durchgelesen und muss sagen das ich schon etwas Bauchweh bekomme wenn ich da lese, dass man den Virenscanner deaktivieren soll, falls dieser daran Schuld sei. Ich halte das für einen Server mit sensiblen Daten nicht gerade für den besten Weg.

    Hat vielleicht noch jmd. ne Idee???

    Dienstag, 20. Juli 2010 10:51
  • Am 20.07.2010 schrieb Marcos frage:

    Hmm.....also hab mir die Antworten gerade mal durchgelesen und muss sagen das ich schon etwas Bauchweh bekomme wenn ich da lese, dass man den Virenscanner deaktivieren soll, falls dieser daran Schuld sei. Ich halte das für einen Server mit sensiblen Daten nicht gerade für den besten Weg.

    Wenn Du rausfinden willst, was die Ursache ist, wirst Du es wohl tun
    müssen.

    Hat vielleicht noch jmd. ne Idee???

    Jepp, AV-Scanner mit einem Tool vom Hersteller rückstandsfrei
    deinstallieren. Zweimal neu starten anschließend.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 20. Juli 2010 17:28
  • Am 20.07.2010 schrieb Marcos frage:
    Hi,

    Hmm.....also hab mir die Antworten gerade mal durchgelesen und muss sagen das ich schon etwas Bauchweh bekomme wenn ich da lese, dass man den Virenscanner deaktivieren soll, falls dieser daran Schuld sei. Ich halte das für einen Server mit sensiblen Daten nicht gerade für den besten Weg.

    Hat vielleicht noch jmd. ne Idee???

    Wie wäre es mit weniger Fragezeichen? Oder auch mit der im Link genannten 2.
    Methode? Zur Not kannst du die Cab Datei auch manuell installieren (wenns
    nicht zuviele Server sein sollten).

    Bye
    Norbert


    Dilbert's words of wisdom #32:
    If it wasn't for the last minute, nothing would get done.

    Dienstag, 20. Juli 2010 19:58
  • Jepp, AV-Scanner mit einem Tool vom Hersteller rückstandsfrei
    deinstallieren. Zweimal neu starten anschließend.


    Kann ich dannach den AV Scanner wieder problemlos installieren und alles sollte so funktionieren wie es sollte?

    Danke Marco

    Mittwoch, 21. Juli 2010 04:51
  • Gut, ich werde in Zukunft weniger Fragezeichen verwenden.

    Also die CAB Datei manuell zu installieren haben wir auch schon probiert, leider ohne erfolg.

    Danke schon mal für die Antworten

     

    Mittwoch, 21. Juli 2010 05:02
  • Also haben das ganze jetzt mal protokollieren lassen, aber werde daraus nicht ganz schlau.

    Im Ereignissprotokoll unter Fehler ID 11 bekommen wir diese Meldung:

    Protokollname: Microsoft-Windows-CAPI2/Operational

    Quelle:        Microsoft-Windows-CAPI2

    Datum:         21.07.2010 07:52:44

    Ereignis-ID:   11

    Aufgabenkategorie:Kette erstellen

    Ebene:         Fehler

    Schlüsselwörter:Pfadsuche,Pfadüberprüfung

    Beschreibung:

    Für weitere Informationen über dieses Ereignis, wenden Sie sich an den Abschnitt "Details"

    Ereignis-XML:

    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

      <System>

        <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />

        <EventID>11</EventID>

        <Version>0</Version>

        <Level>2</Level>

        <Task>11</Task>

        <Opcode>2</Opcode>

        <Keywords>0x4000000000000003</Keywords>

        <TimeCreated SystemTime="2010-07-21T05:52:44.656605300Z" />

        <EventRecordID>713</EventRecordID>

        <Correlation />

        <Execution ProcessID="4500" ThreadID="4340" />

        <Channel>Microsoft-Windows-CAPI2/Operational</Channel>

      </System>

      <UserData>

        <CertGetCertificateChain>

          <Certificate fileRef="E4BDC0BBFDC81F1D4C7B277081A223B087C9B43A.cer" subjectName="Microsoft Certificate Trust List Publisher" />

          <ValidationTime>2010-07-08T19:55:04Z</ValidationTime>

          <AdditionalStore>

            <Certificate fileRef="375FCB825C3DC3752A02E34EB70993B4997191EF.cer" subjectName="Microsoft Time-Stamp PCA" />

            <Certificate fileRef="F77A3F82B7C4B3A9D869A93E3335CF1F78BC441E.cer" subjectName="Microsoft Certificate Trust List PCA" />

            <Certificate fileRef="CDD4EEAE6000AC7F40C3802C171E30148030C072.cer" subjectName="Microsoft Root Certificate Authority" />

            <Certificate fileRef="E4BDC0BBFDC81F1D4C7B277081A223B087C9B43A.cer" subjectName="Microsoft Certificate Trust List Publisher" />

            <Certificate fileRef="51C731109CF66DD3F9C55D28A95D9E4DEA12FE97.cer" subjectName="Microsoft Certificate Trust List Publisher" />

            <Certificate fileRef="56E832A33DDC8CF2C916DA7CBB1175CBACABAE2C.cer" subjectName="Microsoft Time-Stamp Service" />

          </AdditionalStore>

          <ExtendedKeyUsage>

            <Usage oid="1.3.6.1.4.1.311.10.3.1" name="Microsoft-Vertrauenslistensignatur" />

          </ExtendedKeyUsage>

          <Flags value="48000001" CERT_CHAIN_CACHE_END_CERT="true" CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT="true" CERT_CHAIN_REVOCATION_ACCUMULATIVE_TIMEOUT="true" />

          <ChainEngineInfo context="user" />

          <AdditionalInfo>

            <NetworkConnectivityStatus value="1" _SENSAPI_NETWORK_ALIVE_LAN="true" />

          </AdditionalInfo>

          <CertificateChain chainRef="{87AABE26-5EC8-46E4-BC9B-261C15D6BA50}" revocationFreshnessTime="P79DT8H25M25S">

            <TrustStatus>

              <ErrorStatus value="10" CERT_TRUST_IS_NOT_VALID_FOR_USAGE="true" />

              <InfoStatus value="100" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />

            </TrustStatus>

            <ChainElement>

              <Certificate fileRef="E4BDC0BBFDC81F1D4C7B277081A223B087C9B43A.cer" subjectName="Microsoft Certificate Trust List Publisher" />

              <SignatureAlgorithm oid="1.2.840.113549.1.1.5" hashName="SHA1" publicKeyName="RSA" />

              <PublicKeyAlgorithm oid="1.2.840.113549.1.1.1" publicKeyName="RSA" publicKeyLength="2048" />

              <TrustStatus>

                <ErrorStatus value="10" CERT_TRUST_IS_NOT_VALID_FOR_USAGE="true" />

                <InfoStatus value="102" CERT_TRUST_HAS_KEY_MATCH_ISSUER="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />

              </TrustStatus>

              <ApplicationUsage>

                <Usage oid="1.3.6.1.4.1.311.10.3.9" name="Stammlistensignaturgeber" />

              </ApplicationUsage>

              <IssuanceUsage />

              <RevocationInfo freshnessTime="P79DT8H25M25S">

                <RevocationResult value="0" />

                <CertificateRevocationList location="UrlCache" url="http://www.microsoft.com/pki/crl/products/MicCerTruLisPCA_2009-04-02.crl" fileRef="23B77A34900BE47E76950939A78ACE3F648A7ADD.crl" issuerName="Microsoft Certificate Trust List PCA" />

              </RevocationInfo>

            </ChainElement>

            <ChainElement>

              <Certificate fileRef="F77A3F82B7C4B3A9D869A93E3335CF1F78BC441E.cer" subjectName="Microsoft Certificate Trust List PCA" />

              <SignatureAlgorithm oid="1.2.840.113549.1.1.5" hashName="SHA1" publicKeyName="RSA" />

              <PublicKeyAlgorithm oid="1.2.840.113549.1.1.1" publicKeyName="RSA" publicKeyLength="2048" />

              <TrustStatus>

                <ErrorStatus value="0" />

                <InfoStatus value="102" CERT_TRUST_HAS_KEY_MATCH_ISSUER="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />

              </TrustStatus>

              <ApplicationUsage>

                <Usage oid="1.3.6.1.4.1.311.10.3.1" name="Microsoft-Vertrauenslistensignatur" />

                <Usage oid="1.3.6.1.4.1.311.10.3.9" name="Stammlistensignaturgeber" />

              </ApplicationUsage>

              <IssuanceUsage />

              <RevocationInfo freshnessTime="P64DT6H25M1S">

                <RevocationResult value="0" />

                <CertificateRevocationList location="UrlCache" url="http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl" fileRef="6CC49C402F7C2A28CCF67F6DC1AFB9E5D79CDE10.crl" issuerName="Microsoft Root Certificate Authority" />

              </RevocationInfo>

            </ChainElement>

            <ChainElement>

              <Certificate fileRef="CDD4EEAE6000AC7F40C3802C171E30148030C072.cer" subjectName="Microsoft Root Certificate Authority" />

              <SignatureAlgorithm oid="1.2.840.113549.1.1.5" hashName="SHA1" publicKeyName="RSA" />

              <PublicKeyAlgorithm oid="1.2.840.113549.1.1.1" publicKeyName="RSA" publicKeyLength="4096" />

              <TrustStatus>

                <ErrorStatus value="0" />

                <InfoStatus value="10C" CERT_TRUST_HAS_NAME_MATCH_ISSUER="true" CERT_TRUST_IS_SELF_SIGNED="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />

              </TrustStatus>

              <ApplicationUsage any="true" />

              <IssuanceUsage any="true" />

            </ChainElement>

          </CertificateChain>

          <EventAuxInfo ProcessName="explorer.exe" />

          <CorrelationAuxInfo TaskId="{00F35763-4717-40DD-9AE7-9A816196FB29}" SeqNumber="19" />

          <Result value="800B0110">Das Zertifikat ist für den angeforderten Zweck nicht zugelassen.</Result>

        </CertGetCertificateChain>

      </UserData>

    </Event>

    Kann jmd. was damit anfangen? Ich gebe zu, ich kann es leider nicht!

    Danke

              Marco

    Mittwoch, 21. Juli 2010 06:16
  • Am 21.07.2010 schrieb Marcos frage:

    Hi,

    Also die CAB Datei manuell zu installieren haben wir auch schon probiert, leider ohne erfolg.

    Was heißt denn "probiert"? Man lädt die cab runter und darin liegt afair
    eine Datei. Wenn man die als Admin anklickt geht der
    Zertifikatsimport-wizard auf. Ist das bei dir nicht so?

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Mittwoch, 21. Juli 2010 10:37
  • Doch der ist aufgegangen dan konnte man das Zertifikat auch ganz normal installieren , aber nach ein paar Minuten bringt er den gleichen Fehler in der Ereignisanzeige  wieder!

     

     

    Mittwoch, 21. Juli 2010 10:55
  • Am 21.07.2010 schrieb Marcos frage:

    Doch der ist aufgegangen dan konnte man das Zertifikat auch ganz normal installieren , aber nach ein paar Minuten bringt er den gleichen Fehler in der Ereignisanzeige  wieder!

    Und der WIzard hat es auch in den entsprechenden Zertifikatsstore
    importiert?

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Mittwoch, 21. Juli 2010 11:01
  • Na das macht der Wizard ja praktisch alles von allein, oder meinst du das wir mit einer manuellen Zuweisung auf vertauenswürdiger Herausgeber mehr Erfolg hätten?  Hast du vielleicht eine ANtwort darauf warum ich das Zertifikat nicht sehe wenn ich im IE in den Internetoptionen mir die Zertifikate anzeigen lasse? Gibt es noch eine andere Speicherstelle für Zertifikate, bzw. kann ich die noch anders abrufen?

     

    Danke

                 Marco

    Mittwoch, 21. Juli 2010 11:17
  • Am 21.07.2010 schrieb Marcos frage:
    Hi,

    Na das macht der Wizard ja praktisch alles von allein, oder meinst du das wir mit einer manuellen Zuweisung auf vertauenswürdiger Herausgeber mehr Erfolg hätten?

    Weiß ich nicht, aber auf jeden Fall muß es in den Zertifikatsspeicher des
    Computers und nicht des Users.

    Hast du vielleicht eine ANtwort darauf warum ich das Zertifikat nicht sehe wenn ich im IE in den Internetoptionen mir die Zertifikate anzeigen lasse? Gibt es noch eine andere Speicherstelle für Zertifikate, bzw. kann ich die noch anders abrufen?

    Weil der IE den Zertifikatsspeicher des Users und nicht des Computers
    anzeigt. MMC Snapin Zertifikate lokaler Computer nutzen, dann siehst du
    evtl. mehr.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    Mittwoch, 21. Juli 2010 11:29
  • Also übber MMC Snapin sehe ich es leider auch nicht. Aber ich werde noch mal nachschauen ob wir es wirklich auf dem Computer installiert haben und nicht auf dem User.

    Wenn ich das Zertifikat öffne steht unter Details "Dieses Zertifikat ist für den ausgewählten Zweck nicht gültig." ,

    Ausgestellt für: Microsoft Certificate Trust List Publisher

    Ausgestellt von Microsoft Certificate Trust List PCA

    Vielleicht hilft das noch weiter.

    Danke!

     

    Mittwoch, 21. Juli 2010 11:57
  • Am 21.07.2010 schrieb Marcos frage:

    Jepp, AV-Scanner mit einem Tool vom Hersteller rückstandsfrei
    deinstallieren. Zweimal neu starten anschließend.

    Kann ich dannach den AV Scanner wieder problemlos installieren und alles sollte so funktionieren wie es sollte?

    Aber erst wieder installieren, wenn alles funktioniert. Welchen
    Scanner genau hast Du denn im Einsatz?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 21. Juli 2010 19:10
  • Am 21.07.2010 schrieb Marcos frage:

    Hi,

    http://social.technet.microsoft.com/Forums/en-US/w7itprosecurity/thread/54698836-a780-4f29-a1ad-13c85564e54c

    hat das selbe Problem und wahrscheinlich auch die Antwort. Kannst ja mal
    Bescheid geben, ob es geholfen hat.

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable
    application of high explosives.

    Dienstag, 27. Juli 2010 12:19
  • Hallo,

    danke für die Ihre Antwort, leider war ich die letzten Tage verhindert und konnte nicht so schnell Antworten wie Sie.

    Also wir haben Symantec Endpoint Protection in der Version 11.0.6005.562 in Benutzung.

    Mit freundlichem Gruß

    Marco

    Mittwoch, 28. Juli 2010 05:20
  • Hallo Noorbert,

    bin leider erst seit heut wieder im Haus.

    Habe gerade nur kurz mal auf Ihren Link geschaut, aber sieht sehr vielversprechend aus. Wir werden das ganze sofort testen sobald Zeit ist und natürlich erhalten Sie eine Rückmeldung ob es Funktioniert hat.

    Danke

    Marco

    Mittwoch, 28. Juli 2010 05:22
  • Am 28.07.2010 schrieb Marcos frage:
    Moins,

    Habe gerade nur kurz mal auf Ihren Link geschaut, aber sieht sehr vielversprechend aus.

    Wir können uns hier auch duzen. ;)

    Bye und viel Erfolg
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Mittwoch, 28. Juli 2010 07:00
  • Am 28.07.2010 schrieb Marcos frage:

    Also wir haben Symantec Endpoint Protection in der Version 11.0.6005.562 in Benutzung.

    Hast Du ihn denn schon deinstalliert und alles getestet?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 28. Juli 2010 16:31
  • Hi Winfired,
     
    >>> Wir haben bei uns einen Server mit Windows Server 2008 R2 am laufen.
    >>> Dieser bringt immer wieder den Fehler :
    >>>
    >>> Die Extrahierung der Drittanbieterstammlisten aus der automatischen
    >>> Aktualisierungs-CAB-Datei bei
    >>> <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
    >>> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat
    >>> befindet
    >>> sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit
    >>> oder dem Zeitstempel in der signierten Datei.
    [..]
    >> Also wir haben Symantec Endpoint Protection in der Version 11.0.6005.562
    >> in Benutzung.
    >>
    > Hast Du ihn denn schon deinstalliert und alles getestet?
     
    nicht notwendig, da die Ursache höchstwahrscheinlich an anderer Stele liegt:
     
    Susan Bradley - SBS MVP
    [..]
    I also noticed this event error logged on my servers, and have consulted
    the Dev team. This error has no impact to functionality and no
    troubleshooting is needed.
     
    Here is the information from the Dev team:
     
    The event log error indicates that the signing certificate for the CTL
    (certificate trust list) has expired. This was likely caused by the
    following issue:
     
    The signing certificate for the automatic root update CTL expired on
    7/9. We re-signed the CTL with a renewed certificate and published it on
    Windows Update on 7/7. A valid CTL was available on WU before the
    signing certificate expired.
     
    However, for any machine that had the older CTL cached, CAPI will first
    try to use the cached CTL which would result in the error you are
    seeing. Since the cached CTL does not have a time valid signature, CAPI
    will retrieve the CTL from WU and obtain the valid CTL. As a result,
    certificate validation will not be affected but you will see the error
    being logged due to the cached CTL with an expired signing certificate.
    Once the updated CTL is retrieved from WU, you will not see this error
    and no further action will be required for resolving this.
    [..]
    Source:
    http://social.technet.microsoft.com/Forums/en-US/w7itprosecurity/thread/54698836-a780-4f29-a1ad-13c85564e54c
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Donnerstag, 29. Juli 2010 09:00
  • Am 29.07.2010 schrieb Tobias Redelberger [MVP - SBS] [MVP]:
    Hi,

    nicht notwendig, da die Ursache höchstwahrscheinlich an anderer Stele liegt:

    Du meinst etwa da? ;)
    http://social.Technet.microsoft.com/Forums/de-DE/windows_Serverde/thread/7cf3813c-76b0-4787-a7b8-bfbb2eb5463f#0d4b3d44-90a8-44b0-91a5-9bac7f07940d

    Bin schon wech
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?

    • Als Antwort markiert Marcos frage Dienstag, 17. August 2010 06:07
    Donnerstag, 29. Juli 2010 12:41