Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "The password cache is full."

Folgendes Szenario angenommen:

• Ein NDES Server ist im Netzwerk konfiguriert.
• Bei Aufruf der Administrations-Webseite (certsrv/mscep_admin) kommt folgende Meldung:

The password cache is full.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

In der Standardeinstellung können fünf Passwörter innerhalb eines Zeitraums von einer Stunde im Umlauf sein. Um die Anzahl der im Umlauf befindlichen Passwörter zu erhöhen, muss der Wert "PasswordMax" unterhalb des folgenden Registry-Schlüssels auf dem NDES Server entsprechend angepasst werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\PasswordMax

Obiger Schlüssel ist in der Standardeinstellung nicht vorhanden und muss erst erzeugt werden.

Danach kann ein neuer Wert namens "PasswordMax" vom Type DWORD erzeugt werden. Er wird für die maximale Anzahl von Passwörtern, die gleichzeitig im Umlauf sein dürfen, konfiguriert.

Die Änderung erforder einen Neustart des NDES-Dienstes. Hierfür kann entweder der gesamte Webserver-Dienst neu gestartet werden:

iisreset

Oder man startet den SCEP-Anwendungspool auf dem IIS-Webserver neu:

Restart-WebAppPool -Name SCEP

Der NDES-Dienst wird erst beim ersten Aufruf durch einen Client geladen. Dies kann mit folgenden Befehl erzwungen werden:

[void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")

Weiterführende Links:

• Regelmäßige Passwortänderung bei Konfiguration des Registrierungsdienstes für Netzwerkgeräte (NDES) mit einem statischen Passwort