Catégorie : Service d'enregistrement des périphériques réseau (NDES)

Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • Der NDES Server verwendet ein Domänenkonto oder einen Group Managed Service Account (gMSA) für die Identität des SCEP IIS-Anwendungspools.
  • Die Beantragung von Zertifikaten über NDES schlägt mit HTTP Fehlercode 503 (Server Unavailable) fehl.
  • Der Aufruf der mscep- und mscep_admin Seiten schlägt ebenfalls mit dem HTTP Fehlercode 500 fehl.
  • Même après une réinitialisation iisreset ou un redémarrage du serveur NDES, aucun événement indiquant que le service NDES a été démarré ou qu'il y a eu des erreurs n'apparaît après avoir appelé la page mscep ou mscsp_admin.
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige »

Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?

Le service d'enregistrement des périphériques réseau (NDES) est l'implémentation par Microsoft du protocole SCEP (Simple Certificate Enrollment Protocol) développé au début des années 2000 par la société Cisco. La première implémentation a été publiée avec Windows Server 2003.

Il peut paraître surprenant que NDES n'utilise toujours pas, dans sa configuration standard, le protocole SSL (Secure Socket Layer) pour les connexions HTTP. Ce fait est expliqué et évalué plus en détail ci-après.

Continuer la lecture de « Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden? »

La demande de certificats via le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „ La clé publique ne respecte pas la taille minimale requise par le modèle de certificat spécifié. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH) “.“

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • La demande de certificat échoue avec le message d'erreur suivant : 
"The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)"
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „The public key does not meet the minimum size required by the specified certificate template. 0x80094811 (-2146875375 CERTSRV_E_KEY_LENGTH)“ »

La demande de certificats via le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur „ The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT) “.“

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • La demande de certificat échoue avec le message d'erreur suivant :
The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)“ »

La demande de certificats via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 500.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • Le serveur NDES utilise un compte de domaine pour l'identité du pool d'applications SCEP IIS.
  • La demande de certificats via NDES échoue avec le code d'erreur HTTP 500 (erreur interne du serveur).
  • L'appel des pages mscep et mscep_admin échoue également avec le code d'erreur HTTP 500.
  • Même après une réinitialisation iisreset ou un redémarrage du serveur NDES, aucun événement indiquant que le service NDES a été démarré ou qu'il y a eu des erreurs n'apparaît après avoir appelé la page mscep ou mscsp_admin.
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 500 fehl »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur „ Le service d'enregistrement des périphériques réseau ne peut pas être démarré (0x80004005). Erreur non spécifiée “.“

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lorsque vous accédez au site Web de demande NDES (mscep) et au site Web d'administration NDES (certsrv/mscep_admin), l'erreur HTTP 500 (erreur interne du serveur) avec le code d'erreur 0x80004005 s'affiche.
  • Les événements suivants sont pris en compte N° 2 et N° 8 enregistré dans le journal des événements de l'application : 
The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error“ »

Présentation des événements Windows générés par le service d'enregistrement des périphériques réseau (NDES)

Nachfolgend eine Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) erzeugten Ereignisse in der Windows-Ereignisanzeige.

Die Ereignisse des Registrierungsdienst für Netzwerkgeräte sind nicht offiziell dokumentiert. Die nachfolgende Liste wurde mit Hilfe des Tools Windows Event Log Messages (WELM) erzeugt.

Continuer la lecture de « Übersicht über die vom Registrierungsdienst für Netzwerkgeräte (NDES) generierten Windows-Ereignisse »

Effectuer un test de fonctionnement pour le service d'enregistrement des périphériques réseau (NDES)

Après l'installation d'un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) ou après des travaux de maintenance importants, il convient de procéder à un test fonctionnel approfondi afin de s'assurer que tous les composants fonctionnent comme prévu.

Continuer la lecture de « Funktionstest durchführen für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Configurer le Network Device Enrollment Service (NDES) pour l'utiliser avec un alias

Les étapes suivantes décrivent comment configurer le service d'inscription des périphériques réseau (NDES) pour une utilisation avec un alias.

Le terme « alias » signifie que le service n'est pas appelé avec le nom du serveur sur lequel il est installé, mais avec un nom générique indépendant de celui-ci. L'utilisation d'un alias permet de transférer le service vers un autre système à une date ultérieure sans avoir à communiquer la nouvelle adresse à tous les participants.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für die Verwendung mit einem Alias konfigurieren »

Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model)

Implementiert man neben den Active Directory Certificate Services auch das administrative Schichtenmodell (Administrative Tiering Model) für den Active Directory Verzeichnisdienst, stellt sich die Frage der Zuordnung der einzelnen PKI-Komponenten in dieses Modell, um eine zielgerichtete Sicherheitshärtung vornehmen zu können.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

Règles de pare-feu requises pour le service d'enregistrement des périphériques réseau (NDES)

Lorsque l'on implémente un service d'inscription de périphériques réseau (NDES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account)

Pour des raisons de sécurité, il peut être préférable de faire fonctionner NDES avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »

Activer la journalisation de débogage pour le service d'enregistrement des périphériques réseau (NDES)

Si l'on essaie de trouver une erreur dans le Network Device Enrollment Service (NDES), il est utile d'activer le Debug Logging.

Continuer la lecture de « Debug Protokollierung für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren »

Modifier le mot de passe statique du Network Device Enrollment Service (NDES)

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est configuré pour utiliser un mot de passe statique.
  • Le mot de passe statique doit être modifié.
Continuer la lecture de « Das statische Passwort des Network Device Enrollment Service (NDES) ändern »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
  • Il s'agit de la Événement n° 2 enregistré dans le journal des événements de l'application : 
The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais