Tarefa AikCertEnrollTask gera erro (evento 86)

Mu7e

Mu7e

Power Member
Deparei-me com este erro e não encontro resolução para tal.

A inicialização da inscrição do Certificado de SCEP relativo a WORKGROUP\DELL-NN03$,
através de https://NTC-NameId-bcd3c503d39e51b0...303.microsoftaik.azure.net/templates/Aik/scep, falhou:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"ntc-nameid-bcd3c503d39e51b0c50489e9228e984a7e63e303.microsoftaik.azure.net\" does not exist."}
Cache-Control: no-cache
Date: Sat, 29 Oct 2016 10:44:03 GMT
Pragma: no-cache
Content-Length: 122
Content-Type: application/json; charset=utf-8
Expires: -1
Server: Microsoft-IIS/8.5
x-ms-request-id: 7b3ebec1-9a1b-47e4-b305-64a000951b5e
Strict-Transport-Security: max-age=31536000;includeSubDomains
X-Content-Type-Options: nosniff
X-Powered-By: ASP.NET

Método: GET(891ms)
Fase: GetCACaps

Resolvi em CertificateServicesClient desactivar a tarefa AikCertEnrollTask.

Alguém me consegue ajudar? Obrigado!
 
Mu7e disse:
Deparei-me com este erro e não encontro resolução para tal.

A inicialização da inscrição do Certificado de SCEP relativo a WORKGROUP\DELL-NN03$,
através de https://NTC-NameId-bcd3c503d39e51b0...303.microsoftaik.azure.net/templates/Aik/scep, falhou:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"ntc-nameid-bcd3c503d39e51b0c50489e9228e984a7e63e303.microsoftaik.azure.net\" does not exist."}
Cache-Control: no-cache
Date: Sat, 29 Oct 2016 10:44:03 GMT
Pragma: no-cache
Content-Length: 122
Content-Type: application/json; charset=utf-8
Expires: -1
Server: Microsoft-IIS/8.5
x-ms-request-id: 7b3ebec1-9a1b-47e4-b305-64a000951b5e
Strict-Transport-Security: max-age=31536000;includeSubDomains
X-Content-Type-Options: nosniff
X-Powered-By: ASP.NET

Método: GET(891ms)
Fase: GetCACaps

Resolvi em CertificateServicesClient desactivar a tarefa AikCertEnrollTask.

Alguém me consegue ajudar? Obrigado!
Clicar para expandir...

Podes partilhar o EventVwr System?

O teu PC tem TPM? 1.2 ou 2.0?

O AIK stands for Attestation Identity Key, e serve para garantir que os serviços de segurança estão a estabelecer uma relação de confiança com um verdadeiro TPM.

Mais info aqui: https://technet.microsoft.com/en-us.../manage/component-updates/tpm-key-attestation

Podes experimentar executar isto em PS Admin?

"Get-TpmEndorsementKeyInfo -hashalgorithm sha256"

Hth,
anthonws.
 
O EVTX que enviaste só tem o dia de hoje, e o erro apresentado é do dia 29.

Não obstante, parece que o OS está a tentar testar se o teu TPM tem uma determinada capability e o resultado é negativo.

Código: 
TpmCommandOrdinal 101
Input:
  capArea - Partition of capabilities to be interrogated
  subCapSize - Size of subCap parameter
  subCap - Further definition of information
Output:
  respSize - The length of the returned capability response
  resp - The capability response
Description:
  This command returns current information regarding the TPM.
Reference:
  TPM Main Specification Version 1.2, Part 3, Section 7.1

Código: 
TPM Error (0x2):
Error (1.2): TPM_BADINDEX
  Description: The index to a PCR, DIR or other register is incorrect

Mais info aqui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa376205(v=vs.85).aspx

Também não percebi qual o error code da informação que colocaste no OP. Deverias ter um código de erro logo após a linha que diz "Fase:".

Em suma, para já parece-me que o erro não tenha nenhum impacto negativo e como tal deves habilitar novamente a tarefa. Muito provavelmente terá sido um período sem ligação e terá obtido um HTTP 404.

Após ativares, e com ligação à Internet, executa manualmente a tarefa. Verifica se continua a retornar o mesmo error code.

Se não estou em erro, esta tarefa irá instalar os certificados necessários para que se possa verificar o estado de saúde do teu PC, via UEFI Secure Boot e TPM, durante algumas operações, tais como acesso a serviços Cloud Microsoft.

Mais info aqui: https://technet.microsoft.com/en-us...olling-the-health-of-windows-10-based-devices

Por fim, para confimar que o teu PC já tens os certificados AIK, podes validar as seguintes áreas de registry:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPM\WMI\Endorsement
148gl1l.png


HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI\Admin
2wmnyv4.png


HKLM\SYSTEM\CurrentControlSet\Services\TPM\WMI
14tpkx5.png


Hth,
anthonws.
 
So enviei 1 dia porque o erro dá-se sempre após boot (sempre com ligação à net).

Se forçar novamente a tarefa gera mais um erro igual:

"A inicialização da inscrição do Certificado de SCEP relativo a WORKGROUP\DELL-NN03$,
através de https://NTC-NameId-bcd3c503d39e51b0...303.microsoftaik.azure.net/templates/Aik/scep, falhou:"

KCgjP7O.png


ZpLfWIy.png


VEGqQiI.png


S5ZlSDo.png


Em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPM\KeyAttestationKeys
não tenho nada.

Tarefa que gera erro:

JIXsJHE.png


Má implementação do TPM? Ignoro o erro? Obrigado.
 
Última edição:
@Mu7e

Como não vi a mensagem de erro em específico nos logs que enviaste, fiquei na dúvida.

De qualquer forma, o mais provável é o teu TPM não suportar Key Attestation, ou algo em específico que está a ser mandatório em torno do processe de Key Attestation. Normalmente, e de acordo com o meu conhecimento, é mais comum um TPM 2.0 ter todos os requisites.

O erro em questão prende-se, muito garantidamente, com o facto de o template do certificado deve ter como "required" esta capacidade, e como tal não é injetado.

https://technet.microsoft.com/en-us.../manage/component-updates/tpm-key-attestation

Podes ignorar :)

Hth,
anthonws.
 
Bem, mais problemas com este tpm:

DLTb50y.png


Após proceder à alteração de permissão sem TPm compatível:

VekMr87.png


Parece que o TPM desta máquina é peso morto!

Mais uma vez obrigado @anthonws
 
Inicie sessão ou registe-se para poder participar.
Back
Topo