Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)"

Folgendes Szenario angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server.
  • Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator).
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler tritt nicht auf dem NDES-Server auf, sondern auf der Zertifizierungsstelle. Die NDES-Rollenkonfiguration startet den Zertifizierungsstellen-Dienst während der Konfiguration neu.

Die Zertifizierungsstelle wird das Ereignis Nr. 34 melden und der Zertifizierungsstellen-Dienst nach Beendigung nicht mehr starten.

Der Fehler deutet darauf hin, dass die Zertifizierungsstelle den RPC-Port nicht mehr binden kann, weil er noch nicht wieder freigegeben wurde. Ein typischer Verdächtiger ist hier der Key Storage Provider des Hardware Securuty Moduls (HSM).

Insbesondere bei Gemalto / SafeNet HSMs gibt es einen bekannten Fehler in einigen Key Storage Providern, der dieses Verhalten auslösen kann.

Workaround: NDES ohne Rollenkonfigurations-Assistenten installieren

Es gibt die Möglichkeit, die NDES-Rolle ohne den Rollenkonfigurations-Assistenten zu installieren. Entsprechend entfallen dann die Anforderungen, welche den zuvor beschriebenen Fehler auslösen können. Wie NDES manuell installiert wird ist im Artikel "Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren" beschrieben. Bitte beachten, dass die dort beschriebene Methode vom Hersteller nicht unterstützt wird, man also keine Produktunterstützung im Fehlerfall erhalten wird.

Weiterführende Links:

3 Gedanken zu „Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The endpoint is a duplicate. 0x800706cc (WIN32: 1740 RPC_S_DUPLICATE_ENDPOINT)"“

Kommentare sind geschlossen.

de_DEDeutsch