Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige

Supposons le scénario suivant :

• Es ist ein Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) im Netzwerk implementiert.
• Der NDES Server verwendet ein Domänenkonto oder einen Group Managed Service Account (gMSA) für die Identität des SCEP IIS-Anwendungspools.
• Die Beantragung von Zertifikaten über NDES schlägt mit HTTP Fehlercode 503 (Server Unavailable) fehl.
• Der Aufruf der mscep- und mscep_admin Seiten schlägt ebenfalls mit dem HTTP Fehlercode 500 fehl.
• Auch nach einem iisreset bzw. Neustart des NDES Servers erscheint nach Aufruf der mscep oder mscsp_admin Seite kein Ereignis, dass der NDES Dienst gestartet wäre, oder dass es Fehler gegeben hätte.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Causes possibles :

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Dieser Fehler tritt unter Anderem dann auf, wenn das Dienstkonto, unter welchem, der SCEP-Anwendungspool ausgeführt wird, folgende Rechte nicht besitzt:

• Log on as a Batch Job (SeBatchLogonRight), wenn es sich um ein Domänenkonto handelt oder…
• Log on as a Service (SeServiceLogonRight), s'il s'agit d'un Compte de service gMSA (Group Managed Service Account) est en cours.

Dies kann unter Anderem dann der Fall sein, wenn Härtungsrichtlinien angewendet wurden, etwa die offiziellen Microsoft Security Baselines. Siehe Artikel „Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)„ .

Liens complémentaires :

• Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten?
• Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)