Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"

Folgendes Szenarion angenommen:

  • Man installiert einen Network Device Enrollment Service (NDES) Server.
  • Die Rollenkonfiguration schlägt mit folgender Fehlermeldung fehl:
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Möglichkeit 1: Fehlende Berechtigungen

Der obige Fehler tritt auf, wenn der Benutzer nicht Mitglied der Gruppe Enterprise Administrators ist. Die Mitgliedschaft für diese Gruppe wird vom Rollenkonfigurations-Assistenten hart geprüft, obwohl sie nicht zwingend notwendig wäre.

Möglichkeit 2: Fehlende Netzwerk-Konnektivität

Dieser Fehler kann auftreten, wenn der NDES Server nicht per RPC Named Pipes mit den Root-Domänencontrollern der Gesamtstruktur kommunizieren kann.

RPC Named Pipes erfordern den TCP-Port 445. Dieser muss vom NDES Server zu den Root-Domänencontrollern der Gesamtstruktur geöffnet werden (wegen Mitgliedschaft in der "Enterprise Administrators" Gruppe).

Siehe auch Artikel "Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES)".

Workaround: NDES ohne Rollenkonfigurations-Assistenten installieren

Es gibt die Möglichkeit, die NDES-Rolle ohne den Rollenkonfigurations-Assistenten zu installieren. Entsprechend entfallen dann die Anforderungen, welche den zuvor beschriebenen Fehler auslösen können. Wie NDES manuell installiert wird ist im Artikel "Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren" beschrieben. Bitte beachten, dass die dort beschriebene Methode vom Hersteller nicht unterstützt wird, man also keine Produktunterstützung im Fehlerfall erhalten wird.

Weiterführende Links:

2 Gedanken zu „Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung "Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)"“

Kommentare sind geschlossen.

de_DEDeutsch