Folgendes Szenario angenommen:
- Es soll ein Registrierungsdienst für Netzwerkgeräte (NDES) im Netzwerk implementiert werden.
- Am Active Directory-Standort des NDES-Servers befinden sich nur schreibgeschützte Domänencontroller (engl. Read Only Domain Controller, RODC).
- Die Konfiguration der NDES-Rolle schlägt mit folgender Fehlermeldung fehl:
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates: EnrollmentAgentOffline CEPEncryption IPSEC(Offline request) A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Die NDES Installationsroutine modifiziert u.A. das certificateTemplates Attribut auf dem pKIEnrollmentService Objekt der ausgewählten Zertifizierungsstelle.
Read Only Domain Controller verweisen für solche Operationen den Client lediglich an schreibbare Domänencontroller weiter. Es ist somit Aufgabe des Clients (in diesem Fall der NDES Installationsroutine) diesem Verweis auch Folge zu leisten, was in diesem Fall jedoch nicht erfolgt (da nicht implementiert).
Wieder einmal sieht man, dass NDES seit Windows Server 2003 nicht mehr weiter entwickelt wurde und die Active Directory Certificate Services mit zunehmendem Alter immer mehr Workarounds benötigen.
Eine mögliche Lösung ist, den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen zu installieren, da die benötigten Anpassungen in diesem Fall eigenhändig vorgenommen oder ausgelassen werden können.
Weiterführende Links:
- Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren
- Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)
- Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)
- Grenzen der Microsoft Active Directory Certificate Services
Externe Quellen
- Active Directory Certificate Services (AD CS): Network Device Enrollment Service (NDES) (Microsoft Corporation)
- NDES installation fails (Microsoft TechNet Foren)
Deutsch 
English