Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)"

Folgendes Szenario angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server
  • Man verfügt über die erforderlichen Berechtigungen zur Installation der Rolle (lokaler Administrator, Enterprise Administrator)
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Failed to enroll RA certificates. The RPC Server is unavailable. 0x800706ba (Win32: 1722 RPC_S_SERVER_UNAVAILABLE)

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Dieser Fehler tritt nicht auf dem NDES-Server auf, sondern auf der Zertifizierungsstelle. Die NDES-Rollenkonfiguration startet den Zertifizierungsstellen-Dienst während der Konfiguration neu.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Die NDES-Installationsroutine veröffentlicht zwei Zertifikatvorlagen auf der Zertifizierungsstelle:

  • Exchange Enrollment Agent (Offline request)
  • CEP Encryption

Des Weiteren wird die Registrierung der Zertifizierungsstelle konfiguriert, sodass die OID 2.5.4.5 in den Wert SubjectTemplate eingetragen wird.

Die Konfigurationsänderungen werden erst nach Neustart des Zertifizierungsstellen-Dienstes aktiv.

Ist auf der Zertifizierung die Auditierung des Startens und Beendens des Zertifizierungsstellen-Dienstes konfiguriert, wird eine Prüfsumme der Zertifizierungsstellen-Datenbank bei Auslösung dieser Ereignisse erstellt (bei einem Neustart des Dienstes also zwei mal).

Die Zertifizierungsstelle wird die Ereignisse 4880 und 4881 ins Ereignisprotokoll schreiben.

Wenn die Datenbank der Zertifizierungsstelle eine gewisse Größe erreicht hat, kann der Prozess, diese Prüfsummen zu erzeugen, länger dauern, als die Installationsroutine von NDES wartet – sie läuft in einen Timeout und wirft die Fehlermeldung, dass sie nicht mehr mit der Zertifizierungsstelle kommunizieren kann.

Die Zertifizierungsstelle warnt aus diesem Grund sogar ausdrücklich davor, diese Audit-Einstellung zu aktivieren.

Sofern man keinen Nutzen aus ihr zieht, ist es zu empfehlen, diese Einstellung nicht zu setzen. Nachdem man sie deaktiviert und den Zertifizierungsstellen-Dienst neu gestartet hat, sollte die NDES-Installation nun erfolgreich klappen.

Workaround: NDES ohne Rollenkonfigurations-Assistenten installieren

Es gibt die Möglichkeit, die NDES-Rolle ohne den Rollenkonfigurations-Assistenten zu installieren. Entsprechend entfallen dann die Anforderungen, welche den zuvor beschriebenen Fehler auslösen können. Wie NDES manuell installiert wird ist im Artikel "Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren" beschrieben. Bitte beachten, dass die dort beschriebene Methode vom Hersteller nicht unterstützt wird, man also keine Produktunterstützung im Fehlerfall erhalten wird.

Weiterführende Links:

Externe Quellen

de_DEDeutsch