none
NDES/SCEP-Anfrage schlägt fehl RRS feed

  • Frage

  • Hallo Leute,

    ich möchte eine NDES-Server ans Laufen bekommen, worüber ich mittels einer Software Zertifikate automatisch anfordern und an mobile Clients verteilen kann. Ich habe alles entsprechend tausender Anleitungen installiert. Leider erhalte ich einen Fehler im Eventlog des NDES-Servers (2012R2, gleichzeitig CA), wenn die Software ein Zertifikat anfordert:

    Protokollname: Application
    Quelle:        ASP.NET 4.0.30319.0
    Datum:         27.05.15 12:08:58
    Ereignis-ID:   1309
    Aufgabenkategorie:Web Event
    Ebene:         Warnung
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      DC01.XXX.de
    Beschreibung:
    Event code: 3005
    Event message: Es ist eine unbehandelte Ausnahme aufgetreten.
    Event time: 27.05.2015 12:08:58
    Event time (UTC): 27.05.2015 10:08:58
    Event ID: a3bd2a4d3f0647a78475c8f67d13f800
    Event sequence: 6
    Event occurrence: 1
    Event detail code: 0
     
    Application information:
        Application domain: /LM/W3SVC/1/ROOT/CertSrv/mscep-2-130771949379088018
        Trust level: Full
        Application Virtual Path: /CertSrv/mscep
        Application Path: C:\Windows\system32\CertSrv\mscep\
        Machine name: DC01
     
    Process information:
        Process ID: 3488
        Process name: w3wp.exe
        Account name: XXXX\ndesservice
     
    Exception information:
        Exception type: HttpException
        Exception message: Die Länge der Abfragezeichenfolge für die Anforderung überschreitet den konfigurierten maxQueryStringLength-Wert.
       bei System.Web.HttpRequest.ValidateInputIfRequiredByConfig()
       bei System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)

     

    Ich habe bereits in der Registry unter  HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters  und  HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters  die Werte hochgesetzt und auch in der Webseite die Anforderungsfilterung ebenso gemäß diesem Artikel:

    http://blogs.technet.com/b/tune_in_to_windows_intune/archive/2014/04/25/part-2-scep-certificate-enrolling-using-configmgr-2012-crp-ndes-and-windows-intune.aspx

    Leider bleibt der Fehler bestehen.

    Kennt jemand eine Lösung für dieses Problem? Ich kann die Seite https://FQDN/certsrv/mscep/mscep.dll ohne Fehlermeldung aufrufen. Ich stehe auch mit dem Support der Software, welche die Anforderung sendet, in Kontakt, komme aber nicht recht weiter.


    Viele Grüße Dirk

    Mittwoch, 27. Mai 2015 10:43

Antworten

  • Im Endeffekt habe ich es jetzt hinbekommen, es war ein Konfigfehler meinerseits (wie zu erwarten war). Ich hatte den Namen der Zertifizierungsstelle falsch geschrieben im der SCEP-Konfig. Sehr ärgerlich ist, dass es nirgendwo einen Hinweis auf meinen Fehler in den Logs gab sondern nur völlig irreführende Fehlermeldungen. Na ja, so isses halt.

    Viele Grüße Dirk

    • Als Antwort markiert -Dirk- Dienstag, 16. Juni 2015 14:36
    Dienstag, 16. Juni 2015 14:36

Alle Antworten

  • Ich bin einen Schritt weiter durch Modifikation der web.config.

    Jetzt erhalte ich:

    Protokollname: Application
    Quelle:        Microsoft-Windows-NetworkDeviceEnrollmentService
    Datum:         27.05.15 17:23:12
    Ereignis-ID:   49
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:
    Benutzer:      NT-AUTORITÄT\IUSR
    Computer:      DC01.XXXX.de
    Beschreibung:
    Das verschlüsselte Kennwort konnte vom Registrierungsdienst für Netzwerkgeräte nicht entschlüsselt werden, oder die Länge des entschlüsselten Kennworts entspricht nicht der Konfiguration in der Registrierung. Entfernen Sie den Eintrag "EncryptedPassword" aus der Registrierung, um das Problem zu beheben.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-NetworkDeviceEnrollmentService" Guid="{73144342-19D1-47A4-94DE-D38E6A054AD5}" />
        <EventID>49</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000000</Keywords>
        <TimeCreated SystemTime="2015-05-27T15:23:12.177997300Z" />
        <EventRecordID>208597</EventRecordID>
        <Correlation />
        <Execution ProcessID="332" ThreadID="4300" />
        <Channel>Application</Channel>
        <Computer>DC01.XXXX.de</Computer>
        <Security UserID="S-1-5-17" />
      </System>
      <EventData Name="EVENT_MSCEP_FAILED_DECRYPT_PASSWORD">
      </EventData>
    </Event>

    Der Vorschlag, den RegKey zu löschen funktioniert leider nicht, denn nach einem Neustart des Servers ist der Eintrag wieder da.

    Hat jemand ne Idee?


    Viele Grüße Dirk

    Donnerstag, 28. Mai 2015 13:13
  • Hier stand ursprünglich eine Antwort von User "Stefan Falz", die aber gelöscht wurde.

    Leider hat mir der in dieser Nachricht gepostete Link nicht weiter geholfen, der Fehler ist nach wie vor nachfolgender, wenn ein Zertifikat angefordert wird:

    Das verschlüsselte Kennwort konnte vom Registrierungsdienst für Netzwerkgeräte nicht entschlüsselt werden, oder die Länge des entschlüsselten Kennworts entspricht nicht der Konfiguration in der Registrierung. Entfernen Sie den Eintrag "EncryptedPassword" aus der Registrierung, um das Problem zu beheben.

    Hat denn niemand einen NDES-Server am Laufen?


    Viele Grüße Dirk


    • Bearbeitet -Dirk- Montag, 1. Juni 2015 11:53
    Montag, 1. Juni 2015 11:52
  • Im Endeffekt habe ich es jetzt hinbekommen, es war ein Konfigfehler meinerseits (wie zu erwarten war). Ich hatte den Namen der Zertifizierungsstelle falsch geschrieben im der SCEP-Konfig. Sehr ärgerlich ist, dass es nirgendwo einen Hinweis auf meinen Fehler in den Logs gab sondern nur völlig irreführende Fehlermeldungen. Na ja, so isses halt.

    Viele Grüße Dirk

    • Als Antwort markiert -Dirk- Dienstag, 16. Juni 2015 14:36
    Dienstag, 16. Juni 2015 14:36