Registrierungsdienst für Netzwerkgeräte (NDES) – Page 7 – Uwe Gradenegger

Renouveler les certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Lorsque NDES est en service depuis un certain temps (typiquement deux ans), on est confronté au défi de renouveler les certificats Registration Authority (RA). Ce processus n'est malheureusement pas forcément résolu de manière intuitive et est donc décrit plus en détail dans cet article.

Continuer la lecture

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect".

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
Les événements n 2 et 10 enregistré dans le journal des événements de l'application :

The Network Device Enrollment Service cannot be started (0x80070057). The parameter is incorrect.

The Network Device Enrollment Service cannot retrieve one of its required certificates (0x80070057). The parameter is incorrect.

Continuer la lecture

Configurer le Network Device Enrollment Service (NDES) pour qu'il fonctionne sans mot de passe

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants. Certaines solutions ne peuvent pas du tout gérer un mot de passe.

Dans ce cas, on peut configurer NDES pour qu'il ne génère ni ne demande de mot de passe.

Continuer la lecture

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un mot de passe statique

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants.

Dans ce cas, on peut configurer NDES pour qu'il génère un mot de passe statique qui ne change plus par la suite.

Continuer la lecture

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword".

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
Le serveur NDES est configuré pour fonctionner avec un mot de passe statique.
Lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin), les utilisateurs sont toujours invités à s'authentifier malgré des données de connexion correctes.
L'événement suivant est enregistré dans le journal des événements de l'application :

The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.

Continuer la lecture

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "You do not have sufficient permission to enroll with SCEP. Veuillez contacter votre administrateur système".

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :

You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.

Continuer la lecture

Lors de l'appel de la page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin), on est toujours invité à se connecter.

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
Le serveur NDES est appelé sous un alias DNS.
Malgré la saisie correcte des données de connexion, on est toujours invité à se connecter à nouveau lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin).

Continuer la lecture

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::Install : The system cannot find the path specified. 0x80070003 (WIN32 : 3 ERROR_PATH_NOT_FOUND)".

Supposons le scénario suivant :

On installe un serveur NDES (Network Device Enrollment Service).
La configuration des rôles échoue avec le message d'erreur suivant :

CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)

Continuer la lecture

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".

Supposons le scénario suivant :

Un serveur NDES est configuré sur le réseau.
Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :

The password cache is full.

Continuer la lecture

Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)

Par défaut, le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) demande des certificats à partir du modèle "IPsec (Offline Request)". Ce modèle de certificat date de l'époque de Windows 2000 et ne peut pas être modifié. C'est pourquoi il est recommandé de modifier les paramètres par défaut et d'utiliser ses propres modèles de certificats, qui répondent aux exigences personnelles.

Continuer la lecture

Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)

Dans la configuration standard, le Network Device Enrollment Service (NDES) n'accepte que les connexions non cryptées via HTTP. Il est conseillé de configurer au moins la page web d'administration de NDES pour HTTP via TLS (HTTPS) afin de rendre plus difficile l'enregistrement du trafic réseau. Vous trouverez ci-dessous des instructions à ce sujet.

Pour un examen plus approfondi de la nécessité d'utiliser SSL, voir l'article "Faut-il utiliser HTTPS pour le service d'enregistrement des périphériques réseau (NDES) ?„ .

Continuer la lecture

Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Supposons le scénario suivant :

Une instance NDES est installée sur le réseau.
L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Continuer la lecture

Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator

Supposons le scénario suivant :

On installe un serveur NDES (Network Device Enrollment Service).
La configuration des rôles échoue avec le message d'erreur suivant :

Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Habituellement, la configuration des rouleaux NDES exige que l'utilisateur qui effectue l'installation est membre du groupe "Enterprise Admins. Toutefois, cela n'est pas techniquement nécessaire et va à l'encontre des recommandations de Microsoft en matière de durcissement de la sécurité, car NDES n'est pas (nécessairement) un système classé dans la couche de sécurité la plus élevée (Tier-0).

Ci-dessous est décrite une manière de configurer le rôle NDES même sans les droits requis.

Continuer la lecture

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::SetMSCEPSetupProperty : Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Scénario suivant

On installe un serveur NDES (Network Device Enrollment Service)
La configuration des rôles échoue avec le message d'erreur suivant :

CMSCEPSetup::SetMSCEPSetupProperty: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

Continuer la lecture

Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES) utilise deux modèles de certificats pour sa fonction interne afin de fonctionner comme une autorité d'inscription (Registration Authority, RA). Ceux-ci sont publiés sur l'autorité de certification configurée pendant la configuration des rôles du service NDES et des certificats sont demandés :

CEP Encryption
Agent d'inscription Exchange (demande hors ligne)

Ces modèles de certificats sont des modèles standard issus du monde Windows 2000 (modèles de la version 1), c'est-à-dire qu'ils ne peuvent pas être modifiés. De plus, le modèle Exchange Enrollment Agent (Offline Request) est marqué comme modèle utilisateur, c'est-à-dire que pendant la configuration des rôles NDES, le certificat est demandé dans le contexte de l'utilisateur qui l'installe et est ensuite importé dans le magasin de la machine. Les choses se compliquent ici au plus tard lorsque les certificats doivent être renouvelés au bout de deux ans.

Il est donc préférable d'utiliser ses propres modèles de certificats pour NDES. Ceux-ci peuvent par exemple être adaptés en ce qui concerne la longueur de la clé. Il est également possible d'utiliser des modules de sécurité matériels (HSM) de cette manière. Il est même possible de configurer un renouvellement automatique.

Continuer la lecture

Français