Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der NDES-Beantragungs-Webseite (mscep) und der NDES-Administrations-Webseite (certsrv/mscep_admin) wird der HTTP-Fehler 500 (Internal Server Error) gemeldet.
  • Es wird das Ereignis Nr. 2 im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Der Fehler "The system cannot find the file specified" tritt in der Regel auf, wenn es ein Problem mit der Registry des NDES gibt.

Unter Umständen wird das Ereignis Nr. 10 protokolliert.

Möglichkeit 1: Inkonsistente Registry

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler kann auftreten, wenn die Registry des NDES-Servers nicht konsistent ist , z.B. wenn der "EnforcePassword" Registry-Wert nicht vorhanden ist.

Möglichkeit 2: Kein Zugriff auf den EncryptedPasswort Registry-Wert

Tritt nur auf, wenn der NDES-Server für die Verwendung eines statischen Passwortes konfiguriert ist.

Diese Fehlermeldung tritt bei einem NDES Server, der für die Verwendung eines statischen Kennworts konfiguriert ist auf, wenn das NDES Dienstkonto nicht auf den Registry-Pfad für NDES zugreifen kann, um den Unterschlüssel EncryptedPassword zu erzeugen.

Da das statische Passwort in der Registry abgespeichert wird, muss dem NDES Dienstkonto Schreibberechtigung auf den MSCEP Registrierungsschlüssel erteilt werden.

Die gewünschte Einstellung befindet sich in folgendem Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP

Dies wird über die "Full Control" Berechtigung erreicht.

Sofern der NDES-Dienst mit der Identität des IIS Anwendungspools läuft, kann diese mit folgender Syntax eingetragen werden:

IIS APPPOOL\SCEP

Handelt es sich bei dem NDES-Dienstkonto um ein Domänenkonto, muss noch die Option "Load User Profile" in der erweiterten Konfiguration des IIS Anwendungspools aktiviert werden.

Ebenso muss ein Benutzerprofil existieren, d.h. das NDES-Dienstkonto muss sich einmalig interaktiv am NDES Server anmelden, damit dieses erzeugt werden kann. Dieser Umstand schließt auch automatisch die Verwendung von Group-managed Service Accounts (gMSA) für den Betrieb mit einem statischen Passwort aus.

Diese Einstellung kann auch mit folgendem Windows PowerShell Befehl gesetzt werden:

Set-ItemProperty IIS:\AppPools\SCEP -name processModel -value @{LoadUserProfile="true"}

Weiterführende Links:

de_DEDeutsch