Der Certificate Connector für Microsoft Intune wirft bei der Konfiguration die Fehlermeldung "ArgumentException: String cannot be of zero length"

Folgendes Szenario angenommen:

Es wurde ein NDES Server für die Verwendung mit Microsoft Intune eingerichtet.
Die Konfiguration des Intune Certificate Connector kann nicht abgeschlossen werden, da folgende Fehlermeldung geworfen wird:

Fehler bei der Microsoft Intune Certificate Connector Konfiguration. Es wurden keine Änderungen an Feature- oder Proxyeinstellungen vorgenommen.
Unerwarteter Fehler: System.ArgumentException: Die Zeichenfolge kann keine Länge von 0 (null) haben.
Parametername: name
  bei System.Security.Principal.NTAccount.ctor(String name)

Ursache und Lösung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Der Fehler erscheint am Ende der Installation des Certificate Connector und tritt nur dann auf, wenn die "SCEP" Option bei der Konfiguration gewählt wurde.

Tests haben ergeben, dass Intune für NDES nicht mit der Identität des IIS Anwendungspool verwendbar ist, sondern unbedingt ein Domänenkonto für die Identität des "SCEP" IIS Anwendungspools erfordert.

Hierzu passt, dass Group Managed Service Accounts (gMSA) ebenfalls nicht unterstützt werden:

While the NDES role can be configured to run using a GMSA, the Intune Certificate Connector was not designed nor tested using a GMSA and is considered an unsupported configuration.

Die Lösung ist somit die Konfiguration von NDES für die Verwendung eines Domänenkontos.

Weiterführende Links:

Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren

Externe Quellen

Certificate Connector for Microsoft Intune (Microsoft Corporation)
Configure infrastructure to support SCEP with Intune (Microsoft Corporation)

Ein Gedanke zu „Der Certificate Connector für Microsoft Intune wirft bei der Konfiguration die Fehlermeldung "ArgumentException: String cannot be of zero length"“

Pingback: Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) – Uwe Gradenegger

Kommentare sind geschlossen.