Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword."

Autor Uwe GradeneggerVeröffentlicht am Kategorien Registrierungsdienst für Netzwerkgeräte (NDES), TroubleshootingSchlagwörter ,

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Der NDES-Server ist für den Betrieb mit einem statischen Passwort konfiguriert.
  • Bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) werden Benutzer trotz korrekter Anmeldedaten immer wieder zur Authentifizierung aufgefordert.
  • Es wird folgendes Ereignis wird im Anwendungs-Ereignisprotokoll hinterlegt:
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Das NDES-Dienstkonto muss das statische Passwort in die Registry eintragen, ist hierfür jedoch nicht berechtigt. Die Registry für NDES befindet sich innerhalb des folgenden Pfades:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP

Das NDES-Dienstkonto benötigt Lese- und Schreibberechtigungen auf diesen Registry-Schlüssel. Sie können mit der "Full Control" Berechtigung gewährt werden.

Sofern der NDES-Dienst mit der Identität des IIS Anwendungspools läuft, kann diese mit folgender Syntax eingetragen werden:

IIS APPPOOL\SCEP

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch