La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "Failed to enroll RA certificates. Le serveur RPC est indisponible. 0x800706ba (Win32 : 1722 RPC_S_SERVER_UNAVAILABLE)"

Supposons le scénario suivant :

• On installe un serveur NDES (Network Device Enrollment Service)
• On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
• La configuration des rôles échoue avec le message d'erreur suivant :

Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Cette erreur ne se produit pas sur le serveur NDES, mais sur l'autorité de certification. La configuration des rôles NDES redémarre le service d'autorité de certification pendant la configuration.

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

La routine d'installation NDES publie deux modèles de certificats sur l'autorité de certification :

• Agent d'inscription Exchange (demande hors ligne)
• CEP Encryption

De plus, l'enregistrement de l'autorité de certification est configuré de sorte que l'OID 2.5.4.5 soit saisi dans la valeur SubjectTemplate.

Les modifications de configuration ne seront actives qu'après le redémarrage du service d'autorité de certification.

Si l'audit du démarrage et de l'arrêt du service d'autorité de certification est configuré sur la certification, une somme de contrôle de la base de données de l'autorité de certification est créée lors du déclenchement de ces événements (donc deux fois lors d'un redémarrage du service).

L'autorité de certification va enregistrer les événements 4880 et 4881 dans le journal des événements.

Lorsque la base de données de l'autorité de certification atteint une certaine taille, le processus de création de ces sommes de contrôle peut prendre plus de temps que la routine d'installation de NDES n'en attend - elle se met en time-out et lance un message d'erreur indiquant qu'elle ne peut plus communiquer avec l'autorité de certification.

Pour cette raison, l'autorité de certification met même explicitement en garde contre l'activation de ce paramètre d'audit.

Si l'on n'en tire aucun avantage, il est recommandé de ne pas définir ce paramètre. Après l'avoir désactivé et avoir redémarré le service d'autorité de certification, l'installation de NDES devrait maintenant se dérouler avec succès.

Solution de contournement : installer NDES sans l'assistant de configuration des rôles

Il est possible d'installer le rôle NDES sans l'assistant de configuration des rôles. Les exigences qui peuvent déclencher l'erreur décrite précédemment sont alors supprimées. L'article "Comment installer NDES manuellement" explique comment procéder.Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administratorest décrite dans l'article "La méthode". Veuillez noter que la méthode décrite n'est pas prise en charge par le fabricant et qu'il n'y aura donc pas de support produit en cas d'erreur.

Liens complémentaires :

• Problèmes de performance lors de l'audit des "Start and stop Active Directory Certificate Services
• Configuration de la surveillance des événements de sécurité (paramètres d'audit) pour les autorités de certification
• Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator

Sources externes

• L'installation de NDES redémarre le service CertSvc sur le serveur CA cible (Microsoft, archive.org)