Si l'on essaie de trouver une erreur dans le Network Device Enrollment Service (NDES), il est utile d'activer le Debug Logging.
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Protocole d'installation
Pendant l'installation (configuration des rôles), les actions sont écrites dans le fichier journal suivant.
%WINDIR%\certocm.log
Activer le journal de débogage
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le débogage peut être activé avec la commande suivante :
certutil –setreg enroll\debug 0xffffffe3
Les fichiers journaux sont écrits aux emplacements suivants :
- %WINDIR%\mscep.log, à condition que le compte de service NDES ait des droits d'écriture sur ce répertoire (si le compte a des droits d'administrateur local, ce qui devrait être évité pour des raisons de sécurité).
- %WINDIR%\System32\config\systemprofile\AppData\Local\mscep.log si le compte de service NDES n'a pas de droits d'écriture sur le répertoire ci-dessus.
Même si le deuxième cas s'applique, il faut accorder des droits d'écriture. Il convient de créer au préalable le fichier %WINDIR%\System32\config\systemprofile\AppData\Local\mscep.log en tant que fichier texte vide et d'attribuer des droits d'écriture pour le compte de service NDES.
Avant que la journalisation ne soit active, le service NDES doit être redémarré avec la commande iisreset.
iisreset
Ensuite, le fichier journal (après le premier appel des pages mcsep ou mscep_admin) devrait maintenant se remplir de contenus.
Désactiver la journalisation de débogage
Le débogage peut être désactivé à l'aide de la commande de ligne de commande suivante :
certutil –delreg enroll\debug
Ensuite, il faut à nouveau redémarrer le service NDES avec la commande iisreset pour que la journalisation s'arrête.
Français 
Deutsch 
English
Les commentaires sont fermés.