Gelöst: Fehler in der Ereignisanzeige und Aufgabenplanung durch AikCertEnrollTask beheben

Kennen Sie das Szenario? Sie öffnen die Ereignisanzeige, um ein scheinbar harmloses Problem zu diagnostizieren, und werden von einer Flut wiederkehrender Fehler überwältigt. Oder Sie werfen einen Blick in die Aufgabenplanung und entdecken eine Aufgabe, die beharrlich fehlschlägt. Häufig ist der Übeltäter ein unscheinbarer Eintrag namens AikCertEnrollTask. Diese Aufgabe kann, wenn sie nicht korrekt konfiguriert oder die Systemvoraussetzungen nicht erfüllt sind, zu einer echten Plage für Ihre Systemprotokolle und Ihre Nerven werden.

In diesem umfassenden Artikel tauchen wir tief in die Welt von AikCertEnrollTask ein, erklären, warum dieser Fehler auftritt, welche Auswirkungen er hat und – am wichtigsten – wie Sie ihn ein für alle Mal beheben können. Egal, ob Sie ein IT-Profi, ein versierter Heimanwender oder einfach nur jemand sind, der ein sauberes System haben möchte: Hier finden Sie die detaillierte Anleitung, um die Ruhe in Ihrer Ereignisanzeige und Aufgabenplanung wiederherzustellen.

Was genau ist AikCertEnrollTask und wofür ist es zuständig?

Bevor wir uns der Fehlerbehebung widmen, ist es wichtig zu verstehen, womit wir es überhaupt zu tun haben. AikCertEnrollTask steht für „Attestation Identity Key Certificate Enrollment Task”. Es handelt sich um eine geplante Aufgabe im Windows-Betriebssystem, die eine zentrale Rolle bei der Gerätezustandsbescheinigung (Device Health Attestation, DHA) spielt.

Die DHA ist ein Sicherheitsfeature, das in modernen Windows-Versionen (insbesondere Windows 10 und 11) integriert ist. Ihr Hauptzweck ist es, die Integrität und den Zustand eines Geräts zu überprüfen und zu bestätigen. Dies geschieht in Zusammenarbeit mit einem sogenannten Trusted Platform Module (TPM), einem speziellen Sicherheitschip, der auf vielen modernen Hauptplatinen zu finden ist. Das TPM speichert kryptografische Schlüssel und Messwerte, die den Startzustand des Systems (z.B. Secure Boot Status, Boot-Loader-Zustand) attestieren können. Durch diese Attestierung kann ein Gerät seine Vertrauenswürdigkeit gegenüber externen Diensten – beispielsweise Cloud-Diensten wie Microsoft Azure AD oder Verwaltungslösungen wie Microsoft Intune – beweisen.

Der AikCertEnrollTask ist speziell dafür konzipiert, ein Attestation Identity Key (AIK)-Zertifikat zu erstellen und zu registrieren. Dieses Zertifikat ist essenziell für die Kommunikation mit dem Microsoft Health Attestation Service, der die vom TPM übermittelten Daten überprüft. Wenn Sie also ein Gerät in Azure AD registrieren (Azure AD Join) oder es über Intune verwalten, wird die Gerätezustandsbescheinigung zu einem wichtigen Bestandteil der Sicherheits- und Compliance-Richtlinien.

Kurz gesagt: Der AikCertEnrollTask versucht, ein Zertifikat zu beschaffen, das Ihrem Gerät erlaubt, seine „Gesundheit” und Authentizität nachzuweisen, was für moderne Sicherheits- und Verwaltungsfunktionen immer relevanter wird.

Die Symptome: Wie äußert sich der Fehler?

Die Fehlermeldungen, die durch den AikCertEnrollTask verursacht werden, sind in der Regel nicht kritisch für die grundlegende Funktion Ihres Betriebssystems, können aber störend sein und die Diagnose anderer, wichtigerer Probleme erschweren. Hier sind die häufigsten Anzeichen:

1. Ereignisanzeige (Event Viewer):

   • Protokoll: Meistens finden Sie die Einträge unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > DeviceHealthAttestation und/oder TPM-WMI.
   • Ereignis-IDs: Häufig treten Fehler mit der Ereignis-ID 86 (Quelle: TPM-WMI) auf, die besagen, dass der „TPM-Treiber einen Fehler für eine WMI-Anforderung erhalten hat“. Auch Ereignis-ID 102 (Quelle: DeviceHealthAttestation) kann erscheinen, oft mit dem Hinweis „Fehler beim Registrieren des AIK-Zertifikats“. Gelegentlich sieht man auch Fehler wie „0x80070005: Zugriff verweigert“ oder „0x80090016: Keys not valid for use in specified state“ (Schlüssel nicht für die Verwendung im angegebenen Zustand gültig).
   • Beschreibung: Die Fehlermeldungen weisen typischerweise darauf hin, dass ein AIK-Zertifikat nicht erfolgreich angefordert oder registriert werden konnte, oft mit Verweisen auf das TPM oder Berechtigungsprobleme.

2. Aufgabenplanung (Task Scheduler):

   • Pfad: Die fehlerhafte Aufgabe finden Sie unter Aufgabenplanungsbibliothek > Microsoft > Windows > Device Health Attestation.
   • Aufgabenname: AikCertEnrollTask.
   • Letztes Ausführungsergebnis: Hier sehen Sie häufig einen Fehlercode ungleich „0x0” (Erfolg), z.B. 0x80070005 (Zugriff verweigert), 0x80090016 (Keyset existiert nicht) oder andere ähnliche Fehler, die auf ein Fehlschlagen der Aufgabe hindeuten.
   • Frequenz: Die Aufgabe versucht in der Regel regelmäßig, sich auszuführen (z.B. täglich oder bei Systemstart), was zu einer kontinuierlichen Wiederholung der Fehler führt.

Die anhaltenden Fehler können die Protokolle unübersichtlich machen und die Systemleistung minimal beeinträchtigen, auch wenn letzteres selten spürbar ist. Die Hauptlast ist meist der „Lärm” in den Protokollen.

Warum tritt dieser Fehler auf? Die Ursachenforschung

Die Gründe, warum der AikCertEnrollTask wiederholt fehlschlägt, sind vielfältig, lassen sich aber meist auf einige Kernprobleme zurückführen:

1. Fehlendes oder inaktives TPM 2.0: Die häufigste Ursache ist, dass das Gerät entweder über kein TPM 2.0 verfügt oder dieses im BIOS/UEFI nicht aktiviert oder nicht korrekt initialisiert wurde. Für die Gerätezustandsbescheinigung ist ein funktionierendes TPM 2.0 eine zwingende Voraussetzung.

2. TPM-Firmware nicht aktuell: Veraltete TPM-Firmware kann ebenfalls zu Kommunikationsproblemen und Fehlern bei der Zertifikatsregistrierung führen. Dies ist besonders bei älteren Geräten, die auf Windows 10/11 aktualisiert wurden, ein potenzielles Problem.

3. Gerät nicht für Azure AD Join/Intune konfiguriert: Viele Home-User oder kleine Unternehmen verwenden keine Azure AD Join oder Microsoft Intune. Der AikCertEnrollTask ist jedoch standardmäßig in Windows vorhanden, selbst wenn diese Cloud-basierten Sicherheits- und Verwaltungsfeatures nicht genutzt werden. Ohne eine entsprechende Konfiguration und die Anbindung an die Microsoft Health Attestation Services gibt es für den Task schlichtweg nichts zu tun, und er schlägt fehl.

4. Probleme mit dem Device Health Attestation-Dienst: Der zugehörige Windows-Dienst (Device Health Attestation Service) könnte deaktiviert sein, nicht starten oder andere interne Probleme aufweisen, die die Zertifikatsregistrierung verhindern.

5. Netzwerkprobleme oder Firewall-Blockaden: Um ein AIK-Zertifikat zu registrieren, muss das Gerät mit dem Microsoft Health Attestation Service in der Cloud kommunizieren können. Wenn Firewalls, Proxys oder andere Netzwerkbeschränkungen diese Kommunikation blockieren, kann der Task fehlschlagen.

6. Fehlende Berechtigungen: Weniger häufig, aber möglich ist, dass das Benutzerkonto oder der Systemkontext, unter dem der Task ausgeführt wird, nicht über die notwendigen Berechtigungen verfügt, um auf das TPM zuzugreifen oder Zertifikate zu registrieren. Dies ist oft ein Zeichen für eine beschädigte Systemkonfiguration.

7. Korruption des Aufgabenplaners: In seltenen Fällen kann der Aufgabenplaner selbst beschädigt sein, was dazu führt, dass Aufgaben nicht korrekt ausgeführt werden.

Ist der Fehler kritisch? Eine Einschätzung der Auswirkungen

Die gute Nachricht vorweg: In den allermeisten Fällen ist der Fehler des AikCertEnrollTask nicht kritisch für die Stabilität oder Sicherheit Ihres Systems, insbesondere wenn Sie die Funktionen der Gerätezustandsbescheinigung (DHA) nicht aktiv nutzen. Er gehört eher zur Kategorie der „harmlosen, aber störenden” Fehler.

• Sicherheitsrelevanz: Wenn Sie keine Cloud-basierten Geräteverwaltungs- oder Sicherheitslösungen (wie Azure AD Conditional Access) nutzen, hat das Fehlschlagen des AIK-Zertifikats keine direkten Auswirkungen auf die allgemeine Sicherheit Ihres PCs. Ihr System ist weiterhin durch andere Schutzmechanismen gesichert.

• Funktionalität: Grundlegende Windows-Funktionen, Anwendungen oder die Netzwerkverbindung werden durch diesen Fehler nicht beeinträchtigt. Sie können Ihr System normal nutzen.

• Systemleistung: Der wiederholte Fehlversuch der Aufgabe und die Protokollierung der Fehler verursachen einen minimalen Overhead, der in der Praxis kaum spürbar ist.

• Hauptproblem: Das größte Problem ist die Überflutung der Ereignisanzeige. Dies macht es schwieriger, echte, relevante Systemprobleme zu identifizieren, da die wichtigen Meldungen in einem Meer von AikCertEnrollTask-Fehlern untergehen können.

Ausnahme: Wenn Sie ein Unternehmen sind, das Azure AD Join und Intune nutzt und sich auf die Gerätezustandsbescheinigung für Compliance und Conditional Access verlässt, dann ist dieser Fehler tatsächlich relevant. In diesem Szenario würde das Fehlschlagen des Tasks bedeuten, dass Ihre Geräte ihre Konformität nicht erfolgreich melden können, was zu Zugriffsblockaden führen könnte. In diesem Fall ist eine Behebung des Problems statt einer Deaktivierung dringend angeraten.

Die Lösungsschritte: Endlich Ruhe im System!

Wir präsentieren Ihnen nun zwei Hauptlösungswege: Die einfache Deaktivierung des Tasks (für die meisten Anwender ausreichend) und die tiefergehende Problemlösung (wenn DHA benötigt wird).

Vorbereitung: Identifikation und Analyse

Bevor Sie mit der Behebung beginnen, überprüfen Sie den aktuellen Status:

1. TPM-Status überprüfen:

   • Drücken Sie Win + R, geben Sie tpm.msc ein und drücken Sie Enter.
   • Prüfen Sie, ob das TPM vorhanden und bereit ist („Das TPM ist einsatzbereit”). Wichtig ist auch, dass es sich um TPM 2.0 handelt. Wenn es fehlt oder deaktiviert ist, ist dies eine Hauptursache.

2. Device Health Attestation Service-Status überprüfen:

   • Drücken Sie Win + R, geben Sie services.msc ein und drücken Sie Enter.
   • Suchen Sie den Dienst Device Health Attestation Service. Prüfen Sie seinen Starttyp und Status.

3. Azure AD Join Status überprüfen (optional):

   • Öffnen Sie die Eingabeaufforderung (CMD) als Administrator und geben Sie dsregcmd /status ein.
   • Suchen Sie unter „Device State” nach den Einträgen für „AzureAdJoined” und „DomainJoined”. Dies hilft zu verstehen, ob Ihr Gerät in eine Azure AD-Umgebung integriert ist.

Option 1: Den AikCertEnrollTask deaktivieren (Die einfache und oft ausreichende Lösung)

Diese Methode ist die schnellste und effektivste, um die Fehlermeldungen zu stoppen, wenn Sie die Funktionen der Gerätezustandsbescheinigung nicht aktiv nutzen oder benötigen. Sie können den Task entweder über die grafische Benutzeroberfläche (GUI) oder per PowerShell deaktivieren.

Anleitung über die Aufgabenplanung (GUI):

1. Öffnen Sie die Aufgabenplanung:

   • Drücken Sie Win + R, geben Sie taskschd.msc ein und drücken Sie Enter.
   • Alternativ suchen Sie im Startmenü nach „Aufgabenplanung”.

2. Navigieren Sie zum Task:

   • Im linken Bereich der Aufgabenplanung navigieren Sie zu Aufgabenplanungsbibliothek > Microsoft > Windows > Device Health Attestation.

3. Deaktivieren Sie den Task:

   • Im mittleren Bereich sehen Sie den Task AikCertEnrollTask.
   • Klicken Sie mit der rechten Maustaste auf AikCertEnrollTask und wählen Sie im Kontextmenü Deaktivieren.

4. Bestätigen Sie die Aktion und schließen Sie die Aufgabenplanung.

Nach dieser Deaktivierung sollten keine weiteren Fehler bezüglich dieses Tasks in der Ereignisanzeige oder Aufgabenplanung mehr auftreten. Beachten Sie, dass die Aufgabe bei größeren Windows-Updates oder durch Unternehmens-Gruppenrichtlinien eventuell wieder aktiviert werden könnte.

Anleitung über PowerShell (für Admins und Automatisierung):

Für diejenigen, die die Kommandozeile bevorzugen oder dies auf mehreren Systemen automatisieren möchten, ist PowerShell die effizientere Methode.

1. Öffnen Sie PowerShell als Administrator:

   • Suchen Sie im Startmenü nach „PowerShell”, klicken Sie mit der rechten Maustaste auf „Windows PowerShell” und wählen Sie „Als Administrator ausführen”.

2. Geben Sie den folgenden Befehl ein und drücken Sie Enter:

   Disable-ScheduledTask -TaskPath "MicrosoftWindowsDevice Health Attestation" -TaskName "AikCertEnrollTask"

3. Optional: Um zu überprüfen, ob die Aufgabe tatsächlich deaktiviert wurde, können Sie diesen Befehl verwenden:

   Get-ScheduledTask -TaskPath "MicrosoftWindowsDevice Health Attestation" -TaskName "AikCertEnrollTask" | Select-Object TaskName, State

   Der Status sollte nun „Disabled” anzeigen.

Wann ist dies sicher? Dies ist in den meisten Heim- und kleinen Büroumgebungen absolut sicher. Wenn Sie nicht wissen, ob Sie Device Health Attestation benötigen, ist es sehr wahrscheinlich, dass Sie es nicht tun. Nur in Umgebungen, die explizit Azure AD Conditional Access oder Intune Compliance Policies auf Basis der Gerätezustandsbescheinigung verwenden, sollte diese Methode vermieden werden.

Option 2: Die tiefergehende Problemlösung (Wenn Device Health Attestation benötigt wird)

Wenn Sie in einer Umgebung arbeiten, in der Device Health Attestation (DHA) aktiv genutzt wird oder werden soll, ist die Deaktivierung des Tasks keine optimale Lösung. Stattdessen müssen Sie die zugrunde liegende Ursache beheben. Hier sind die Schritte:

1. TPM-Überprüfung und -Konfiguration:

Dies ist der wichtigste Schritt, da das TPM das Herzstück der DHA ist.

• TPM im BIOS/UEFI aktivieren: Starten Sie Ihren Computer neu und rufen Sie das BIOS/UEFI-Setup auf (meist durch Drücken von Entf, F2, F10 oder F12 während des Starts). Suchen Sie nach Einstellungen wie „Security”, „Trusted Platform Module (TPM)”, „Intel PTT” oder „AMD fTPM” und stellen Sie sicher, dass es aktiviert ist. Speichern Sie die Änderungen und starten Sie neu.

• TPM initialisieren: Öffnen Sie tpm.msc erneut. Wenn das TPM verfügbar, aber nicht initialisiert ist, klicken Sie auf „TPM vorbereiten” oder „TPM initialisieren” und folgen Sie den Anweisungen. Dies kann einen Neustart erfordern.

• TPM-Firmware aktualisieren: Besuchen Sie die Support-Website Ihres Geräteherstellers (Dell, HP, Lenovo, Microsoft Surface usw.) und suchen Sie nach den neuesten TPM-Firmware-Updates für Ihr spezifisches Modell. Veraltete Firmware ist eine häufige Ursache für Probleme.

2. Device Health Attestation-Dienst:

• Dienst überprüfen und starten:

  • Öffnen Sie services.msc.
  • Suchen Sie den Device Health Attestation Service.
  • Stellen Sie sicher, dass der Starttyp auf Manuell oder Automatisch eingestellt ist (Manuell ist der Standard und ausreichend, da der Task den Dienst bei Bedarf startet).
  • Wenn der Dienst nicht läuft, versuchen Sie, ihn zu starten.
  • Sollte der Dienst bereits laufen, starten Sie ihn neu (Rechtsklick > „Neu starten”).

3. Netzwerk und Firewall:

Stellen Sie sicher, dass Ihr Gerät die notwendigen Microsoft-Dienste erreichen kann.

• Firewall-Regeln: Überprüfen Sie, ob Ihre lokale Firewall oder Netzwerk-Firewall die Kommunikation mit den Microsoft Health Attestation Services blockiert. Für eine vollständige Liste der erforderlichen URLs und Ports konsultieren Sie die offizielle Microsoft-Dokumentation. In der Regel werden HTTPS (Port 443) und die URLs für den Microsoft Health Attestation Service benötigt (z.B. attestation.windows.net).

• Proxy-Einstellungen: Wenn Sie einen Proxy-Server verwenden, stellen Sie sicher, dass die Proxy-Einstellungen für den Systemkontext korrekt konfiguriert sind, da der Task unter einem Systemkonto ausgeführt wird.

4. Azure AD Join/Intune Überprüfung:

Wenn Ihr Gerät in Azure AD eingebunden ist, stellen Sie sicher, dass dies korrekt erfolgt ist.

• Geräteintegrität in Azure AD: Überprüfen Sie im Azure-Portal unter „Azure Active Directory” > „Geräte”, ob Ihr Gerät als konform oder registriert angezeigt wird und ob es keine Fehler gibt.

• Intune Compliance-Richtlinien: Wenn Sie Intune verwenden, überprüfen Sie, ob die Gerätezustandsbescheinigung in Ihren Compliance-Richtlinien aktiviert und korrekt konfiguriert ist.

• Zertifikatspeicher: Manchmal können Probleme im lokalen Zertifikatspeicher des Geräts (certlm.msc) die Registrierung behindern. Überprüfen Sie, ob ältere, fehlerhafte AIK-Zertifikate vorhanden sind, die gelöscht werden könnten (Vorsicht: Nur löschen, wenn Sie sicher sind, dass sie nicht mehr benötigt werden und fehlerhaft sind).

5. Berechtigungen (selten, aber möglich):

Wenn die Fehler den Code „0x80070005: Zugriff verweigert” enthalten und alle anderen Schritte fehlschlagen, könnte dies ein Hinweis auf beschädigte Systemberechtigungen sein.

• System File Checker (SFC): Führen Sie sfc /scannow in einer administrativen Eingabeaufforderung aus, um beschädigte Systemdateien zu reparieren.

• DISM-Wiederherstellung: Führen Sie DISM /Online /Cleanup-Image /RestoreHealth aus, um das Systemabbild zu überprüfen und zu reparieren.

Nachdem Sie diese tiefergehenden Schritte ausgeführt haben, versuchen Sie, den AikCertEnrollTask in der Aufgabenplanung manuell auszuführen (Rechtsklick auf den Task > „Ausführen”). Überprüfen Sie dann die Ereignisanzeige und das „Letzte Ausführungsergebnis” in der Aufgabenplanung, ob der Fehler behoben ist.

Spezielle Szenarien und erweiterte Tipps

• Enterprise-Umgebungen: In größeren Organisationen werden solche Einstellungen oft über Gruppenrichtlinien (GPOs) oder Mobile Device Management (MDM)-Lösungen wie Intune zentral verwaltet. Wenn Sie ein Unternehmensgerät verwenden, überprüfen Sie, ob GPOs oder MDM-Profile die AikCertEnrollTask aktivieren oder konfigurieren. Eine manuelle Deaktivierung könnte von diesen Richtlinien wieder rückgängig gemacht werden. Hier ist eine Abstimmung mit der IT-Abteilung ratsam.

• Windows-Updates: Manchmal kann ein größeres Windows-Feature-Update den AikCertEnrollTask wieder aktivieren, selbst wenn Sie ihn zuvor deaktiviert haben. In diesem Fall müssen Sie ihn erneut deaktivieren.

• Windows 10/11 Home vs. Pro/Enterprise: Auf Windows Home-Versionen ist die Relevanz der Gerätezustandsbescheinigung für die meisten Nutzer praktisch null, da die erweiterten Verwaltungsfunktionen selten verwendet werden. Hier ist die Deaktivierung des Tasks die sinnvollste Lösung. Auf Pro- und Enterprise-Versionen, insbesondere in Firmenumgebungen, kann die Funktion jedoch relevant sein.

Fazit: Ein aufgeräumtes System ist ein glückliches System

Der AikCertEnrollTask ist ein gutes Beispiel dafür, wie ein scheinbar harmloser Windows-Dienst, wenn er auf einem System mit unzureichenden Voraussetzungen läuft, zu unnötigem „Rauschen” in den Systemprotokollen führen kann. Ob Sie sich für die einfache Deaktivierung entscheiden oder die tiefergehenden Probleme angehen, um die volle Funktionalität der Device Health Attestation zu nutzen – Sie haben nun die Werkzeuge und das Wissen, um diesen hartnäckigen Fehler zu beheben.

Ein sauberer und fehlerfreier Ereignisprotokollbereich ist nicht nur ästhetisch ansprechender, sondern auch entscheidend für eine effiziente Fehlerbehebung, wenn wirklich kritische Probleme auftreten. Nehmen Sie sich die Zeit, diesen Task zu zähmen, und genießen Sie ein ruhigeres und besser gewartetes Windows-System. Ihr System wird es Ihnen danken!