Catégorie : Dépannage

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est configuré pour fonctionner avec un mot de passe statique.
  • Lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin), les utilisateurs sont toujours invités à s'authentifier malgré des données de connexion correctes.
  • L'événement suivant est enregistré dans le journal des événements de l'application :
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword.“ »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "You do not have sufficient permission to enroll with SCEP. Veuillez contacter votre administrateur système".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator. 
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „You do not have sufficient permission to enroll with SCEP. Please contact your system administrator.“ »

Lors de l'appel de la page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin), on est toujours invité à se connecter.

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est appelé sous un alias DNS.
  • Malgré la saisie correcte des données de connexion, on est toujours invité à se connecter à nouveau lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin).
Continuer la lecture de « Bei Aufruf der Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) wird man immer wieder zur Anmeldung aufgefordert. »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::Install : The system cannot find the path specified. 0x80070003 (WIN32 : 3 ERROR_PATH_NOT_FOUND)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „CMSCEPSetup::Install: The system cannot find the path specified. 0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)“ »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
The password cache is full.
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „The password cache is full.“ »

Transférer le Network Device Enrollment Service (NDES) vers une autre autorité de certification

Supposons le scénario suivant :

  • Une instance NDES est installée sur le réseau.
  • L'autorité de certification délivrant des NDES doit être modifiée.

La déclaration officielle à ce sujet est que, dans ce cas, NDES doit être réinstallé et configuré. Cela n'est toutefois pas nécessaire. Les étapes nécessaires sont décrites ci-dessous.

Continuer la lecture de « Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen »

Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Habituellement, la configuration des rouleaux NDES exige que l'utilisateur qui effectue l'installation est membre du groupe "Enterprise Admins. Toutefois, cela n'est pas techniquement nécessaire et va à l'encontre des recommandations de Microsoft en matière de durcissement de la sécurité, car NDES n'est pas (nécessairement) un système classé dans la couche de sécurité la plus élevée (Tier-0).

Ci-dessous est décrite une manière de configurer le rôle NDES même sans les droits requis.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::SetMSCEPSetupProperty : Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Scénario suivant

  • On installe un serveur NDES (Network Device Enrollment Service)
  • La configuration des rôles échoue avec le message d'erreur suivant : 
CMSCEPSetup::SetMSCEPSetupProperty: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „CMSCEPSetup::SetMSCEPSetupProperty: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

  • On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
  • Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
  • Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant : 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)“ »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Description du drapeau EDITF_ADDOLDKEYUSAGE

Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :

  • On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
  • Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
  • L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Continuer la lecture de « Beschreibung des Flags EDITF_ADDOLDKEYUSAGE »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant :
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais