Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Der NDES-Server ist für den Betrieb mit einem statischen Passwort konfiguriert.
- Bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) werden Benutzer trotz korrekter Anmeldedaten immer wieder zur Authentifizierung aufgefordert.
- Es wird folgendes Ereignis wird im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Das NDES-Dienstkonto muss das statische Passwort in die Registry eintragen, ist hierfür jedoch nicht berechtigt. Die Registry für NDES befindet sich innerhalb des folgenden Pfades:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
Das NDES-Dienstkonto benötigt Lese- und Schreibberechtigungen auf diesen Registry-Schlüssel. Sie können mit der "Full Control" Berechtigung gewährt werden.
Sofern der NDES-Dienst mit der Identität des IIS Anwendungspools läuft, kann diese mit folgender Syntax eingetragen werden:
IIS APPPOOL\SCEP
Deutsch 
English
5 Gedanken zu „Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."“
Kommentare sind geschlossen.