Fehler bei der NDES-Konfiguration: ERROR_PATH_NOT_FOUND (0x80070003) auf Windows Server 2025

Die Fehlermeldung „CMSCEPSetup::Install fehlgeschlagen“ mit dem Fehlercode 0x80070003 während der NDES-Installation ist einer der ärgerlichsten Fehler bei Active Directory-Zertifikatdiensten. Diese Anleitung erklärt Ihnen Schritt für Schritt, warum dieser Fehler auftritt und wie Sie ihn beheben können.

Was ist NDES und warum schlägt es fehl?

Netzwerkgeräteregistrierungsdienst (NDES) ist ein Rollendienst innerhalb Active Directory-Zertifikatdienste (AD CS) die es Netzwerkgeräten wie Routern, Firewalls und Mobilgeräten ermöglicht, Daten zu erhalten digitale Zertifikate automatisch. NDES implementiert die Einfaches Zertifikatsregistrierungsprotokoll (SCEP), ein weit verbreiteter Standard, der von Mobile Device Management (MDM)-Plattformen wie Microsoft Intune, Cisco ISE und anderen verwendet wird, um die Zertifikatsregistrierung für nicht in eine Domäne eingebundene Geräte zu automatisieren und ihnen die sichere Anforderung und den Empfang von Zertifikaten von einer Zertifizierungsstelle (CA) zu ermöglichen.

NDES fungiert als Brücke zwischen diesen Nicht-Domänen-Geräten und der Zertifizierungsstelle und gewährleistet so, dass sie sich innerhalb der Organisation sicher authentifizieren und kommunizieren können.

Da NDES an der Schnittstelle von IIS, Active Directory und die ZertifizierungsstelleDie Installation reagiert äußerst empfindlich auf die Konfigurationsreihenfolge, die Berechtigungen des Dienstkontos und den aktuellen Systemzustand. Selbst geringfügige Fehlkonfigurationen in einer dieser Komponenten können zum Fehlschlagen des Installationsprozesses führen und oft kryptische Fehlermeldungen wie die folgenden verursachen: 0x80070003 (ERROR_PATH_NOT_FOUND).

Fehler 0x80070003 (ERROR_PATH_NOT_FOUND) verstehen

Die vollständige Fehlermeldung, die im AD CS-Konfigurationsassistenten angezeigt wird, lautet:

CMSCEPSetup::Install: Das System kann den angegebenen Pfad nicht finden.

0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)

Der Win32-Fehlercode 0x80070003 bedeutet direkt ERROR_PATH_NOT_FOUND – das heißt, das Installationsprogramm hat versucht, auf einen Dateisystempfad oder einen Registrierungsspeicherort zuzugreifen, der auf dem Rechner einfach nicht existiert.

Die fehlerhafte Komponente ist CMSCEPSetup, das SCEP-Setup-Modul, das für die Konfiguration der virtuellen IIS-Verzeichnisse, die Registrierung der CA-Verbindung und das Schreiben der erforderlichen Registrierungseinträge zuständig ist. Wenn der erwartete Pfad nicht gefunden wird, bricht es die gesamte NDES-Installation ab.

Hauptursachen des CMSCEPSetup::Install-Fehlers

1. IIS ist nicht installiert oder falsch konfiguriert

NDES ist stark von IIS abhängig. Windows Server 2025 Insbesondere auch nach dem Entfernen der IIS-Rolle, inetpub Ordner und zugehörige Registrierungsschlüssel können in einem fehlerhaften Zustand verbleiben. Wenn IIS anschließend in diesem Restzustand neu installiert wird, kann CMSCEPSetup die erwarteten Pfade nicht finden.

2. Falscher oder nicht erreichbarer CA-Pfad

Wenn der CA-Name falsch geschrieben ist, der CA-Server offline ist oder der ausgewählte CA-Typ inkompatibel ist, kann das Setup die erforderlichen Pfade für RA-Zertifikate nicht auflösen.

3. Überbleibsel von Registrierungsschlüsseln einer zuvor fehlgeschlagenen Installation

Veraltete MSCEP-Registrierungsschlüssel von zuvor fehlgeschlagenen Installationen verursachen Konflikte, wenn das Installationsprogramm versucht, neue Werte zu schreiben.

4. Probleme mit den Berechtigungen des NDES-Dienstkontos

Das Dienstkonto muss über lokale Administratorrechte verfügen, die Berechtigung „Anmelden als Dienst“ besitzen und folgende Funktionen ausführen: Lesen und einschreiben Berechtigungen auf dem CEP Verschlüsselung und Zertifikatvorlagen für den Exchange Enrollment Agent.

5. Fehlende Zertifikatvorlagen

NDES benötigt die CEP-Verschlüsselung und Exchange-Registrierungs-Agent (Offline-Anforderung) Vorlagen, die auf der Zertifizierungsstelle veröffentlicht werden müssen. Falls diese fehlen, kann das Installationsprogramm die erforderlichen Registrierungspfade nicht finden.

Schritt-für-Schritt-Anleitung zur Fehlerbehebung

Die folgenden Schritte bieten eine saubere Methode, um die beschädigten Komponenten zu entfernen und die NDES-Konfiguration ordnungsgemäß wiederherzustellen.

Schritt 1: IIS vollständig entfernen

Beginnen Sie damit, die/den/das vollständig zu entfernen. Webserver (IIS) Rolle vom Server.

1. Öffnen Sie den Server-Manager und gehen Sie zu Rollen und Funktionen verwalten und entfernen.
   
   
2. Der Assistent zum Entfernen von Rollen und Features wird geöffnet. Klicken Sie auf Weiter auf die Bevor Sie beginnen Bildschirm.
   
   
3. Stellen Sie auf der Seite „Serverauswahl“ sicher, dass der richtige Server ausgewählt ist, und klicken Sie dann auf Weiter.
4. Auf der Seite „Serverrollen“:
5. Lokalisieren Webserver (IIS).
6. Deaktivieren Sie das Kontrollkästchen neben Webserver (IIS).
   
   
7. Wenn Sie gefragt werden, klicken Sie auf Funktionen entfernen Alle abhängigen IIS-Komponenten entfernen.
   Klicken Sie auf Weiter durch die verbleibenden Seiten (Funktionen, Bestätigung).
   
   
8. Auf der Bestätigungsseite:
9. (Optional) Überprüfen Starten Sie den Zielserver bei Bedarf automatisch neu.
   
   
10. Klicken Sie auf Entfernen.

• Warten Sie, bis der Entfernungsvorgang abgeschlossen ist.
• Nach Abschluss der Arbeiten nicht sofort wieder starten (gemäß Ihrer Bereinigungssequenz).
• Fahren Sie mit den nächsten Schritten fort (Registry-Prüfung und inetpub-Bereinigung).

Hinweis: Sie können IIS auch mit PowerShell entfernen:

Remove-WindowsFeature -Name Web-Server -IncludeManagementTools

Do kein Frontalunterricht. Starten Sie den Server noch nicht neu. Der IIS-Inhaltsordner wird in den nächsten Schritten gelöscht.

Schritt 2: Überprüfen Sie den IIS-Pfad in der Registrierung

Vor dem Neustart öffnen Registrierungs-Editor (regedit) und überprüfen Sie den IIS-Installationspfad, um zu bestätigen, welcher Ordner verwendet wird.

Navigieren Sie zu:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp

Überprüfen Sie den Wert von PfadWWWRootIn den meisten Fällen wird es darauf hinweisen:

C:\inetpub\wwwroot

Prüfen Sie außerdem diesen Schlüssel auf verbleibende IIS-Dienststatus:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC

Besitzt das InetStp or W3SVC Auch nach der Deinstallation von IIS sind noch Schlüssel vorhanden, was in der Regel bedeutet, dass IIS nicht ordnungsgemäß deinstalliert wurde. Dieser Restzustand ist häufig die Ursache für das Fehlschlagen der NDES-Einrichtung.

Schritt 3: Starten Sie den Server neu und löschen Sie den Ordner inetpub.

Starten Sie nun den Server neu. Dieser Neustart ist erforderlich, da Windows Server 2025 möglicherweise weiterhin Dateisperren für IIS-Ordner aufrechterhält, selbst nachdem die IIS-Rolle entfernt wurde.

Sobald der Server wieder online ist, löschen Sie die gesamte Datei. inetpub Ordner vom Laufwerk C:.

PowerShell-Befehl:

Remove-Item -Path "C:\inetpub" -Recurse -Force

Warum ist ein Neustart erforderlich?

Unter Windows Server 2025 werden Dateihandles im Zusammenhang mit IIS nach dem Entfernen der Rolle nicht immer sofort vollständig freigegeben. Wenn Sie versuchen, die Dateihandles zu löschen, die mit IIS verknüpft sind, kann dies zu Problemen führen. inetpub Ordner vor dem Neustart, möglicherweise erhalten Sie Fehlermeldungen wie die folgenden: Datei in Verwendung or Zugriff abgelehnt.

Schritt 4: Entfernen Sie alle vorherigen NDES-Installationen und bereinigen Sie die MSCEP-Registry.

Falls NDES zuvor installiert oder nur teilweise konfiguriert wurde, entfernen Sie den Rollendienst und löschen Sie die veralteten MSCEP-Registrierungsdaten. Gehen Sie zum Entfernen des alten MSCEP-Registrierungsschlüssels wie folgt vor:

• Öffnen Sie den Registrierungseditor
• Gehen Sie zu folgendem Pfad: HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP
• Löschen Sie den MSCEP-Schlüssel, falls vorhanden.

Schritt 5: Entfernen Sie alle vorherigen NDES-Installationen und bereinigen Sie die MSCEP-Registry.

Bevor Sie die NDES-Konfiguration erneut ausführen, stellen Sie sicher, dass das Dienstkonto korrekt konfiguriert ist. lokaler Server, IIS und Zertifizierungsstelle.

5.1 Lokalen Administratorzugriff überprüfen

1. Melden Sie sich bei der NDES-Server.
2. Öffne Computer-Management oder drücken Sie Win + R → Typ compmgmt.msc.
3. Navigieren Sie zu: Lokale Benutzer und Gruppen > Gruppen.
4. Öffnen Sie den Microsoft Store auf Ihrem Windows-PC Administratoren Gruppe.
5. Klicken Sie auf Speichern und überprüfen Sie, ob das NDES-Dienstkonto aufgeführt ist.
6. Falls nicht vorhanden, hinzufügen: DOMAIN\NDES_ServiceAccount.

5.2 Überprüfung der Mitgliedschaft in der IIS_IUSRS-Gruppe

1. NDES ist auf IIS angewiesen, daher muss das Konto Zugriff auf die IIS-Workerprozesse haben.
2. Öffne Computer-Management.
3. Navigieren Sie zu: Lokale Benutzer und Gruppen > Gruppen.
4. Öffne IIS_IUSRS.
5. Stellen Sie sicher, dass das NDES-Dienstkonto Mitglied ist.
6. Wenn nicht, klicken Sie auf Speichern und fügen Sie das Dienstkonto hinzu.

5.3 Überprüfung der Berechtigungen der Zertifikatvorlage

1. Öffne Zertifizierungsstelle (certsrv.msc) auf dem CA-Server.
2. Der rechten Maustaste auf Zertifikatvorlagen → Verwalten.
3. Für jede erforderliche Vorlage (z. B. CEP-Verschlüsselung, Exchange-Registrierungs-Agent (Offline-Anforderung)), Berechtigungen überprüfen.
4. So überprüfen Sie die Berechtigungen:
   • Vorlage mit der rechten Maustaste anklicken → Eigenschaften im Vergleich.
   • Gehe zu Sicherheit Tab.
   • Stellen Sie sicher, dass das NDES-Dienstkonto Folgendes enthält:
     • ✔ Lesen
     • ✔ Anmelden
5. Falls fehlt, klicken Sie auf Speichern.
6. Fügen Sie das Dienstkonto hinzu.
7. Gewähren Lesen Sie mehr und Einschreiben Berechtigungen.

5.4 [Optional] Überprüfen Sie das Recht „Anmelden als Dienst“.

1. Presse Win + R → Typ secpol.msc.
2. Navigieren Sie zu:
3. Lokale Richtlinien > Zuweisen von Benutzerrechten.
4. Öffne Melden Sie sich als Dienst an.
5. Stellen Sie sicher, dass das NDES-Dienstkonto aufgeführt ist.
6. Falls fehlt, klicken Sie auf Benutzer oder Gruppe hinzufügen.
7. Fügen Sie das Dienstkonto hinzu.
8. Anwenden und speichern.

Schritt 6: Erforderliche Zertifikatvorlagen auf der Zertifizierungsstelle veröffentlichen

1. Öffnen Sie auf der ausstellenden Zertifizierungsstelle die Zertifizierungsstelle Konsole.
2. Gehe zu: Zertifikatvorlagen > Neu > Auszustellende Zertifikatvorlage.
3. Veröffentlichen Sie die folgenden Vorlagen:
   • CEP-Verschlüsselung
   • Exchange-Registrierungs-Agent (Offline-Anforderung)
4. Diese Vorlagen sind erforderlich, damit NDES seine Konfiguration erfolgreich abschließen kann.

Schritt 7: Erforderliche Zertifikatvorlagen auf der Zertifizierungsstelle veröffentlichen

1. Sobald IIS vollständig entfernt und bereinigt wurde, installieren Sie es mit allen von NDES benötigten Funktionen neu.
2. Öffne Server-Manager > Rollen und Features hinzufügendann installieren Nahtoderfahrungen zusammen mit Webserver (IIS) und stellen Sie sicher, dass die folgenden Komponenten enthalten sind:
   • ASP.NET 4.x
   • Windows-Authentifizierung
   • IIS 6-Verwaltungskompatibilität
   • Erforderliche Funktionen der Anwendungsentwicklung

Schritt 8: Erforderliche Zertifikatvorlagen auf der Zertifizierungsstelle veröffentlichen

Nach Abschluss der IIS-Bereinigung, dem Entfernen veralteter NDES-Konfigurationen, der Überprüfung des Dienstkontos und der Veröffentlichung der erforderlichen Zertifikatvorlagen besteht der nächste Schritt darin, Folgendes auszuführen: NDES-Konfigurationsassistent erneut.

In diesem Schritt verbinden Sie die NDES-Rolle wieder mit der Zertifizierungsstelle und definieren das Dienstkonto und die kryptografischen Einstellungen, die NDES verwenden soll.

1. Melden Sie sich bei der NDES-Server mit einem Konto, das über die erforderlichen Administratorrechte verfügt.
2. Öffne Server-Manager.
3. Klicken Sie in der oberen rechten Ecke auf das gelbe Benachrichtigungsflagge.
4. Wählen Sie im Benachrichtigungsmenü Folgendes aus: Konfigurieren der Active Directory-Zertifikatdienste auf dem ZielserverDies wird den Startschuss geben Konfigurationsassistent für Active Directory-Zertifikatdienste.
5. Auf dem Aus- und Fortbildungen Bitte überprüfen Sie auf dieser Seite, ob das angezeigte Konto über ausreichende Berechtigungen zur Durchführung der Konfiguration verfügt.
6. Das verwendete Konto sollte typischerweise ein Domänenadministrator oder ein anderes Konto mit den erforderlichen Rechten zur Konfiguration der AD CS-Rollendienste.
7. Klicken Sie auf Weiter.
8. Auf dem Rollendienste Seite auswählen Netzwerkgeräte-RegistrierungsdienstStellen Sie sicher, dass nur der gewünschte Rollendienst ausgewählt ist.
9. Klicken Sie auf Weiter.
10. Geben Sie bei Aufforderung das Dienstkonto ein, unter dem NDES ausgeführt werden soll, und zwar im folgenden Format: DOMAIN\serviceaccount.
11. Geben Sie das Passwort für dieses Konto ein und bestätigen Sie es.
12. Überprüfen Sie bitte noch einmal, ob der Benutzername richtig geschrieben ist und zur gewünschten Domain gehört.
13. Klicken Sie auf Weiter.
14. Auf dem CA für NDES Seite, klicken Sie auf Auswählen Wählen Sie die korrekte ausstellende Zertifizierungsstelle aus der Liste aus. Überprüfen Sie die Verbindungsdetails, falls Sie dazu aufgefordert werden.
15. Klicken Sie auf OK, dann klick Weiter.
16. Überprüfen Sie die kryptografische Einstellungen:
    • Das richtige kryptografischer Anbieter ist ausgewählt.
    • Die Schlüssellänge Erfüllt die Sicherheitsanforderungen Ihrer Organisation und die Best Practices der Branche.
17. Bei Verwendung eines HSM-gestützter Anbieter, stellen Sie sicher, dass die HSM-Software und der Anbieter ordnungsgemäß installiert sind und funktionieren.
18. Überprüfen Sie alle Konfigurationseinstellungen auf dem Bestätigung
19. Bitte prüfen Sie alle Angaben auf Richtigkeit, bevor Sie klicken. Einrichtung.
20. Sobald die Konfiguration abgeschlossen ist, zeigt der Assistent ein Ergebnisse

Wie lässt sich eine erfolgreiche NDES-Installation überprüfen?

• Öffnen Sie einen Browser auf dem NDES-Server und navigieren Sie zu http://localhost/certsrv/mscep/mscep.dllDu solltest einen sehen Antwortseite für SCEP-Funktionen.
• In IIS-Manager, bestätigen Sie die CertSrv Anwendung und mscep Ein virtuelles Verzeichnis existiert unter Standardwebsite.
• Öffne Dienste (services.msc) und bestätigen Netzwerkgeräte-Registrierungsdienst läuft.
• In Ereignisanzeige, prüfen Auf Event ID 6 von der Quelle MSCE, was ein erfolgreiches Start-up bestätigt.
• Schichtannahme C:\inetpub\wwwroot wurde von IIS bei der Neuinstallation sauber wiederhergestellt.

Wie kann Verschlüsselungsberatung helfen?

Encryption Consulting verfügt über umfangreiche Erfahrung in der Bereitstellung von End-to-End-Lösungen. PKI Lösungen für Unternehmen und Behörden. Wir bieten sowohl professionelle Dienstleistungen als auch unsere Automatisierungsplattform an (CertSecure Manager), um sicherzustellen, dass Ihre PKI sicher, belastbar und zukunftsfähig ist.

1. PKI-Dienste

Umfassende Beratungs-, Design- und Implementierungsdienstleistungen, die Organisationen beim Aufbau, der Modernisierung und der Verwaltung sicherer Public-Key-Infrastrukturen unterstützen.

2. Projektplanung

Wir analysieren Ihre kryptografische Umgebung, überprüfen PKI-Konfigurationen, Abhängigkeiten und Anforderungen und fassen die Ergebnisse in einem strukturierten, vom Kunden genehmigten Projektplan zusammen.

3. CP/CPS-Entwicklung

In der nächsten Phase werden wir die Zertifizierungsrichtlinie (CP) und die Zertifizierungspraxisbeschreibung (CPS) gemäß RFC#3647 entwickeln. Diese Dokumente werden an die regulatorischen, sicherheitsrelevanten und betrieblichen Anforderungen Ihrer Organisation angepasst.

4. PKI-Design und -Implementierung

Wir entwerfen und implementieren robuste PKI-Infrastrukturen, einschließlich Offline-Root-Servern. Zertifizierungsstellenausstellende Zertifizierungsstellen, NDES-Server, HSM Die Integration erfolgt je nach Kundenbedarf. Zu den Leistungen gehören ein PKI-Designdokument, Installationsanleitungen, Skripte für die Implementierungsprozesse und Systemkonfigurationen. Nach der Implementierung führen wir umfassende Tests, Validierungen, Feinabstimmungen und Schulungen durch, um Ihr Team optimal zu unterstützen.

5. Geschäftskontinuität und Notfallwiederherstellung

Im Anschluss an die Implementierung entwickeln und setzen wir Strategien für Geschäftskontinuität und Notfallwiederherstellung um, führen Failover-Tests durch und dokumentieren die betrieblichen Arbeitsabläufe für die gesamte PKI- und HSM-Infrastruktur, unterstützt durch einen umfassenden PKI-Betriebsleitfaden.

6. Laufender Support und Wartung

Nach der Implementierung bieten wir ein abonnementbasiertes Jahres-Supportpaket mit umfassender Abdeckung für PKI-, CLM- und HSM-Komponenten. Dieses beinhaltet Incident Response, Fehlerbehebung, Systemoptimierung, Zertifikatslebenszyklusmanagement, CP/CPS-Updates, Schlüsselarchivierung, HSM-Firmware-Upgrades, Audit-Protokollierung und Patch-Management.

Dieser Ansatz stellt sicher, dass Ihre PKI-Infrastruktur nicht nur sicher und konform, sondern auch skalierbar, belastbar und vollständig auf Ihre langfristigen betrieblichen und regulatorischen Ziele abgestimmt ist.

CertSecure Manager

CertSecure Manager von Encryption Consulting ist eine Lösung zur Lebenszyklusverwaltung von Zertifikaten, die den gesamten Lebenszyklus vereinfacht und automatisiert, sodass Sie sich auf die Sicherheit statt auf Erneuerungen konzentrieren können.

Automatisierung für kurzlebige Zertifikate: Da ACME- und 90-Tage-/47-Tage-TLS-Zertifikate zum Standard werden, ist eine manuelle Erneuerung keine praktische Option mehr. CertSecure Manager automatisiert Registrierung, Erneuerung und Bereitstellung, um sicherzustellen, dass Zertifikate nie unbemerkt ablaufen.

Nahtlose DevOps- und Cloud-Integration: Zertifikate können direkt in Webservern und Cloud-Instanzen bereitgestellt werden und lassen sich in moderne Protokollierungstools wie Datadog, Splunk, ITSM-Tools wie ServiceNow und DevOps-Tools wie Terraform und Ansible integrieren.

Multi-CA-Unterstützung: Viele Organisationen nutzen mehrere Zertifizierungsstellen (interne Microsoft-Zertifizierungsstellen, öffentliche Zertifizierungsstellen wie DigiCert und GlobalSign usw.). CertSecure Manager integriert diese Quellen und bietet eine zentrale Oberfläche für die Ausstellung und das Lebenszyklusmanagement.

Einheitliche Ausstellungs- und Erneuerungsrichtlinien: CertSecure Manager setzt die Schlüsselgrößen, Algorithmen und Erneuerungsregeln Ihres Unternehmens konsistent für alle Zertifikate durch. Dabei werden nicht nur Erneuerungen bei mehreren Zertifizierungsstellen automatisiert, sondern es wird auch sichergestellt, dass jedes Zertifikat jederzeit Ihren Sicherheitsstandards entspricht.

Proaktive Überwachung und Erneuerungstests: Durch kontinuierliche Überwachung in Kombination mit simulierten Erneuerungs-/Ablauftests wird sichergestellt, dass Sie Risiken erkennen, bevor sich Zertifikate auf Produktionssysteme auswirken.

Zentralisierte Transparenz und Compliance: Ein übersichtliches Dashboard zeigt alle Zertifikate, Schlüssellängen, starken und schwachen Algorithmen sowie deren Ablaufdaten an. Prüfprotokolle und die Durchsetzung von Richtlinien vereinfachen die Einhaltung der Vorschriften. PCI DSS, HIPAAund andere Frameworks.

Wenn Sie sich immer noch fragen, wo und wie Sie mit der Sicherung Ihrer PKI beginnen sollen, unterstützt Sie Encryption Consulting mit seinen PKI-Supportdienste. Sie können auf uns als Ihren vertrauenswürdigen Partner zählen und wir werden Sie mit Klarheit, Vertrauen und praxisnaher Expertise durch jeden Schritt führen.  

Fazit

On Windows Server 2025Der Fehler CMSCEPSetup::Install: ERROR_PATH_NOT_FOUND (0x80070003) wird meist durch einen nach der Rollenentfernung verbleibenden IIS-Status verursacht. Zur Behebung muss IIS vollständig entfernt, der Server neu gestartet, der Ordner „inetpub“ gelöscht und verbliebene IIS-Registrierungsschlüssel entfernt werden, bevor IIS neu installiert und der NDES-Assistent erneut ausgeführt wird.

Bei älteren Windows Server-Versionen liegt das Problem meist an fehlenden IIS-Funktionen, einer fehlerhaften CA-Konfiguration, veralteten MSCEP-Registrierungsschlüsseln oder unzureichenden Dienstkontoberechtigungen. Gehen Sie die Schritte der Reihe nach durch und verwenden Sie die Ereignisanzeige, um verbleibende fehlende Pfade zu ermitteln.