Event ID 11 CAPI2

[speedygonzales 13]

Hallo,

 

der Fehler ist heute 3x innerhalb einer Minute in der Ereignisanzeige erschienen. Mit googen konnte ich leider nicht herausfinden wie ich den Fehler weg bekomme.

Das war allerdings um 8:30 seit dem ist nichts mehr erscheinen.

 

Könnt ihr mir einen tipp geben? System ist sbs2008

 

"Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei."

[olc 18]

Hi,

 

die Uhrzeit (und auch das Jahr) der Systemzeit des Clients ist korrekt?

Siehe

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file

 

A required certificate is not within its validity period when verifying against the current system clock or the timestamp in the signed file. This status message indicates that the system time is incorrect, the certificate has expired, or the time of the system that signed the file is incorrect. Verify that the following conditions are true:

 

* The local computer clock is accurate.

* The certificate has not expired.

* The sending system clock is accurate.

 

Viele Grüße

olc

[twa 10]

Hi

 

Ich habe das selbe Problem.

meine Systemzeit (Datum und Uhrzeit) wird richtig in Windows angezeigt

[speedygonzales 13]

heute morgen wieder der gleiche Fehler, mit Tante google finde ich keine Lösung.

 

Datum und Systemzeit der Clients stimmt auf die Sekunde genau.

 

Nachtrag:

 

wir sind wenigstens nicht allein http://social.technet.microsoft.com/Forums/en-US/itprovistasecurity/thread/fdf97ac2-21b7-49af-9fc5-d8b2dc3e8d83 eine Lösung weiss wohl aber keiner

[olc 18]

Hi,

 

wenn Ihr Euch die Arbeit machen möchtet könntet Ihr einmal schauen, ob es im "Trusted Publishers" oder "Root CA" / "Intermediate CA" Speicher auf den betroffenen Clients abgelaufene Zertifikate gibt. Potentielle Kandidaten sind die MS Zertifikate - vielleicht gibt es hier ein Problem, daß dort ein benötigtes Zertifikat zur Integritätssicherstellung der Stammanbieter Pakete nicht mehr valide ist.

 

Viele Grüße

olc

[speedygonzales 13]

wenn Ihr Euch die Arbeit machen möchtet könntet Ihr einmal schauen, ob es im "Trusted Publishers" oder "Root CA" / "Intermediate CA" Speicher auf den betroffenen Clients abgelaufene Zertifikate gibt. Potentielle Kandidaten sind die MS Zertifikate - vielleicht gibt es hier ein Problem, daß dort ein benötigtes Zertifikat zur Integritätssicherstellung der Stammanbieter Pakete nicht mehr valide ist.

 

Der Fehler erscheint aber nur dem auf Server, auf dem Clients gibt es keine Fehlern.

 

Ich finde immer noch keine Lösung :-(

[speedygonzales 13]

so ich glaube ich komme das Problem etwas näher, vielleicht könnt ihr uns jetzt einen Tipp geben.

 

Wenn ich manuell versuche das fehlgeschlagene Zertifikat zu installieren erscheint folgendes: :http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>

 

Microsoft Zertifikat - Datei: authroot.stl

"Diese Zertifikatvertrauensliste ist ungültig. Das zertifikat, das diese Liste signiert hat ist ungültig.

Version V1

Antragstellerverwendung Stammlistensignaturgeber

Gültig ab 2. Mai 2009

Microsoft Certificate Trust List Publisher

Gegensignaturen Microsoft Time-Stamp Service

 

bei erweitert:

Austeller: CN = Microsoft Certificate Trust List PCA

O = Microsoft Corporation

L = Redmond

S = Washington

C = US

[olc 18]

Hi,

 

ich verstehe die Frage nicht ;) - egal ob das Problem auf dem Server oder dem Client auftritt, die Ursache wird dieselbe sein. Daher mein Hinweis auf die Root-Zertifikate.

 

Wie lautet die Zeit / das Datum auf dem Client? Ist es korrekt (inkl. des aktuellen Jahres)?

 

Viele Grüße

olc

[speedygonzales 13]

ich verstehe die Frage nicht ;)

 

sorry mit Zertifikate habe ich mich noch nie beschäftigt, daher wohl meine unklare Antwort.

 

Wenn ich manuell das Zertifikat downloade und es aufmache kommt gleich die Meldung "Zertifikat ist ungültig. Diese Zertifikatvertrauensliste ist ungültig"

Wenn ich mir die (grosse) Liste anschaue steht an erste stelle Microsoft Root Authority und ist gültig bis 2020.

Am zweiten Platz steht Microsoft Authenticode Root Authority und gültig war es nur bis 2000.

Es sind noch etliche weitere Zertifikate drin.

 

Wie lautet die Zeit / das Datum auf dem Client? Ist es korrekt (inkl. des aktuellen Jahres)?

 

4. Juni 2009, Datum/Uhrzeit werden automatisch vom SBS Server bei time.windows.com abgefragt, also stimmt auf die Sekunde, es sei dem Billy Uhr geht falsch ;-) die Clients rufen die Zeit entsprechen vom SBS Server ab.

 

Die Zeit stimmt wirklich überall.

[rodriguez13 10]

mmh... darf ich mal raten? Betriebssystem XP ab SP2 oder SRV 2003?

Falls ja, überprüft mal Euer Event Log. Falls dort ein Fehler von Source "crypt32" auftreten sollte, dann sollte ihr mal unter:

Systemsteuerung->Software->Windowskomponenten hinzufügen/entfernen -> das Häkchen und Stammzertifikate überprüfen. Das muss dann nämlich gesetzt sein. Falls es gesetzt ist kann es an Eurem Proxy liegen. Dann bitte einmal unter "cmd" folgendes eingeben:

proxycfg -u

 

damit wird der Proxy aus dem IExplorer übernommen. Rechner einmal durchstarten und es sollten die Zertifikate beim Rechnerstart unter "Computereinstellungen werden übernommen" aktualisieren.

[speedygonzales 13]

mmh... darf ich mal raten? Betriebssystem XP ab SP2 oder SRV 2003?

 

SBS 2008

 

Falls ja, überprüft mal Euer Event Log. Falls dort ein Fehler von Source "crypt32" auftreten sollte,

 

in der Ereignisanzeige gibt es keinen einzigen Crypt32 Eintrag.

 

Der Fehler muss nach einem Automatische Windows Update angefangen haben.

ich werde so langsam verrückt :-(

[speedygonzales 13]

ich habe bei Microsoft was gefunden Description of the System Update Readiness Tool for Windows Vista, for Windows Server 2008, for Windows Server 2008 R2 Release Candidate, and for Windows 7 Release Candidate

 

wenn man die Beschreibung glauben darf, kann dieser Tool:

"Systemupdate-Vorbereitungstools für Windows Vista, Windows Server 2008, Windows Server 2008 R2 Release Candidate und Windows 7 Release Candidate"

angeblich u.a. (siehe Tabelle 0x800B0101) diesen Fehler auch angeblich beheben.

 

Bin ich jetzt ganz doof? welche Version brauche ich für SBS2008? ich habe schon die "Windows Server 2008 x64" geladet und versucht zu installieren, SBS bricht aber schon bei der Installation ab, "falsche System".

 

Ich brauche jetzt erstmal eine Kaffeepause, so langsam bekomme ich die Krise :shock:

[speedygonzales 13]

zum verrückt werden, bin wenigstens nicht der einzige mit dem Problem.

 

Microsoft-Windows CAPI2 failed extract of third-party root list from auto update cab

[Deejablo 10]

Ich hatte den Fehler seit SP2 auf einem Vista Rechner ebenfalls... Einfach die abgelaufenen Stammzertifikate vom lokalen Rechner gelöscht und weg war der Fehler.

[speedygonzales 13]

also das letze erfolgreiche Update war am 27.04.09

 

"Die automatische Aktualisierung des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt: Antragsteller: <CN=GlobalSign Root CA, OU=Root CA, O=GlobalSign nv-sa, C=BE> Sha1-Fingerabdruck: <B1BC968BD4F49D622AA89A81F2150152A41D829C>."

 

bzw:

 

"Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/B1BC968BD4F49D622AA89A81F2150152A41D829C.crt>."