Solucionar el error de configuración de NDES: ERROR_PATH_NOT_FOUND (0x80070003) en Windows Server 2025

Recibir un error de CMSCEPSetup::Install con el código 0x80070003 durante la configuración de NDES es uno de los errores más frustrantes de los Servicios de certificados de Active Directory. Esta guía explica paso a paso por qué ocurre y cómo solucionarlo.

¿Qué es NDES y por qué falla?

Servicio de inscripción de dispositivos de red (NDES) es un servicio de rol dentro Servicios de certificados de Active Directory (AD CS) que permite a los dispositivos de red, como enrutadores, cortafuegos y dispositivos móviles, obtener Certificados digitales automáticamente. NDES implementa el Protocolo simple de inscripción de certificados (SCEP), un estándar ampliamente adoptado y utilizado por plataformas de administración de dispositivos móviles (MDM) como Microsoft Intune, Cisco ISE y otras para automatizar la inscripción de certificados para dispositivos que no están unidos a un dominio, lo que les permite solicitar y recibir certificados de forma segura de una Autoridad de Certificación (CA).

NDES actúa como puente entre estos dispositivos que no pertenecen al dominio y la CA, garantizando que puedan autenticarse y comunicarse de forma segura dentro de la organización.

Dado que NDES opera en la intersección de IIS, Active Directory y la Autoridad de CertificaciónSu instalación es muy sensible al orden de configuración, los permisos de la cuenta de servicio y el estado del sistema existente. Incluso una configuración incorrecta menor en cualquiera de estos componentes puede provocar que el proceso de instalación falle, lo que a menudo resulta en errores crípticos como 0x80070003 (ERROR_RUTA_NO_ENCONTRADA).

Comprensión del error 0x80070003 (ERROR_PATH_NOT_FOUND)

El mensaje de error completo que verá en el asistente de configuración de AD CS es:

CMSCEPSetup::Install: El sistema no puede encontrar la ruta especificada.

0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)

El código de error Win32 0x80070003 se traduce directamente como ERROR_PATH_NOT_FOUND, lo que significa que el instalador intentó acceder a una ruta del sistema de archivos o a una ubicación del registro que simplemente no existe en el equipo.

El componente que falla es CMSCEPSetup, el módulo de configuración de SCEP responsable de configurar los directorios virtuales de IIS, registrar la conexión con la CA y escribir las entradas de registro necesarias. Cuando no encuentra la ruta esperada, interrumpe toda la instalación de NDES.

Causas principales del error CMSCEPSetup::Install

1. IIS no está instalado o está mal configurado.

NDES depende en gran medida de IIS. Windows Server 2025 en particular, incluso después de eliminar el rol de IIS, el inetpub La carpeta y las claves de registro asociadas pueden permanecer en un estado dañado. Si se vuelve a agregar IIS sobre este estado residual, CMSCEPSetup no logra encontrar las rutas esperadas.

2. Ruta de CA incorrecta o inaccesible

Si el nombre de la CA está mal escrito, el servidor de la CA está fuera de línea o el tipo de CA seleccionado es incompatible, la configuración no puede resolver las rutas necesarias para los certificados RA.

3. Claves de registro sobrantes de una instalación anterior fallida.

Las claves de registro MSCEP obsoletas de instalaciones anteriores fallidas provocan conflictos cuando el instalador intenta escribir nuevos valores.

4. Problemas de permisos de la cuenta de servicio de NDES

La cuenta de servicio debe ser un administrador local, tener derechos de "Iniciar sesión como servicio" y tener Lee y regístrate. permisos en el CEP Cifrado y plantillas de certificados de agente de inscripción de Exchange.

5. Plantillas de certificados faltantes

NDES requiere el Cifrado CEP y el Agente de inscripción de Exchange (solicitud fuera de línea) Plantillas que se publicarán en la CA. Si faltan, el instalador no podrá localizar las rutas de inscripción necesarias.

Guía de solución paso a paso

Los pasos que se describen a continuación proporcionan un método limpio para eliminar los componentes dañados y reconstruir correctamente la configuración NDES.

Paso 1: Eliminar completamente IIS

Comience por retirar completamente el Servidor web (IIS) rol del servidor.

1. Abra el Administrador del servidor y vaya a Administrar y eliminar roles y funciones.
   
   
2. Se abrirá el Asistente para eliminar roles y características. Haga clic aquí. Siguiente en el Antes de comenzar .
   
   
3. En la página de selección de servidor, asegúrese de que esté seleccionado el servidor correcto y, a continuación, haga clic en Siguiente.
4. En la página Roles del servidor:
5. Localice Servidor web (IIS).
6. Desmarca la casilla junto a Servidor web (IIS).
   
   
7. Cuando se le solicite, haga clic en Eliminar características para eliminar todos los componentes dependientes de IIS.
   Haga clic en Siguiente a través de las páginas restantes (Características, Confirmación).
   
   
8. En la página de confirmación:
9. (Opcional) Verificar Reiniciar automáticamente el servidor de destino si es necesario..
   
   
10. Haga clic en Eliminar.

• Espere a que finalice el proceso de eliminación.
• Una vez finalizado, no lo reinicie inmediatamente (según su secuencia de limpieza).
• Proceda con los siguientes pasos (verificación del registro y limpieza de inetpub).

Nota: También puedes eliminar IIS con PowerShell:

Remove-WindowsFeature -Name Web-Server -IncludeManagementTools

Do No Reinicia el servidor. La carpeta de contenido de IIS se eliminará en los siguientes pasos.

Paso 2: Compruebe la ruta de IIS en el Registro.

Antes de reiniciar, abra Editor del registro (regedit) y revise la ruta de instalación de IIS para confirmar qué carpeta se está utilizando.

Vaya a:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp

Compruebe el valor de RutaWWWRootEn la mayoría de los casos, apuntará a:

C: \ inetpub \ wwwroot

Revise también esta clave para el estado persistente del servicio IIS:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC

Si InetStp or W3SVC Si aún existen claves después de desinstalar IIS, generalmente significa que IIS no se limpió correctamente. Este estado residual suele ser la razón por la que falla la configuración de NDES.

Paso 3: Reinicie el servidor y elimine la carpeta inetpub.

Ahora reinicie el servidor. Este reinicio es necesario porque Windows Server 2025 puede seguir manteniendo bloqueos de archivos en las carpetas de IIS incluso después de que se haya eliminado el rol de IIS.

Después de que el servidor vuelva a estar en línea, elimine todo inetpub carpeta de la unidad C:.

Comando de PowerShell:

Remove-Item -Path "C:\inetpub" -Recurse -Force

¿Por qué es necesario reiniciar?

En Windows Server 2025, los identificadores de archivo relacionados con IIS no siempre se liberan por completo inmediatamente después de la eliminación del rol. Si intenta eliminar el inetpub carpeta antes de reiniciar, puede recibir errores como archivo en uso or acceso denegado.

Paso 4: Elimine cualquier instalación previa de NDES y limpie el registro de MSCEP.

Si NDES se instaló previamente o se configuró parcialmente, elimine el servicio de rol y borre los datos obsoletos del registro MSCEP. Para eliminar la clave de registro MSCEP antigua, siga los pasos que se indican a continuación:

• Abrir el editor de registro
• Vaya a la ruta: HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP
• Elimine la clave MSCEP, si está presente.

Paso 5: Elimine cualquier instalación previa de NDES y limpie el registro de MSCEP.

Antes de volver a ejecutar la configuración de NDES, asegúrese de que la cuenta de servicio esté configurada correctamente en todos los dispositivos. Servidor local, IIS y Autoridad de certificación.

5.1 Verificar el acceso de administrador local

1. Inicie sesión en el Servidor NDES.
2. Abra Administración de equipos o pulse Win + R → tipo compmgmt.msc.
3. Vaya a: Usuarios y grupos locales > Grupos.
4. Abra el panel de administradores grupo.
5. Haga clic en Agregar y verifique que la cuenta de servicio de NDES esté incluida en la lista.
6. Si no está presente, añada: DOMINIO\NDES_Cuenta de servicio.

5.2 Verificar la pertenencia al grupo IIS_IUSRS

1. NDES depende de IIS, por lo que la cuenta debe tener acceso a los procesos de trabajo de IIS.
2. Abra Administración de equipos.
3. Vaya a: Usuarios y grupos locales > Grupos.
4. Abra IIS_IUSRS.
5. Asegúrese de que la cuenta de servicio de NDES sea miembro.
6. Si no, haga clic en Agregar y agregue la cuenta de servicio.

5.3 Verificar los permisos de la plantilla de certificado

1. Abra Autoridad de certificación (certsrv.msc) en el servidor CA.
2. Haga clic con el botón Plantillas de certificado → Gestionar.
3. Para cada plantilla requerida (por ejemplo, Cifrado CEP, Agente de inscripción de Exchange (solicitud fuera de línea)), verificar permisos.
4. Para comprobar los permisos:
   • Plantilla con clic derecho → Propiedades.
   • Vaya al Seguridad .
   • Asegúrese de que la cuenta de servicio de NDES tenga:
     • ✔ Leer
     • ✔ Inscríbete
5. Si falta, haga clic en Agregar .
6. Agregue la cuenta de servicio.
7. Grant Leer y el Inscríbase permisos

5.4 [Opcional] Verificar el derecho “Iniciar sesión como servicio”

1. Prensa Win + R → tipo secpol.msc.
2. Vaya a:
3. Políticas locales > Asignación de derechos de usuario.
4. Abra Iniciar sesión como servicio.
5. Asegúrese de que la cuenta de servicio de NDES esté incluida en la lista.
6. Si falta, haga clic en Agregar usuario o grupo.
7. Agregue la cuenta de servicio.
8. Solicita y ahorra.

Paso 6: Publique las plantillas de certificado necesarias en la CA.

1. En la CA emisora, abra la Autoridad certificada consola.
2. Vaya a: Plantillas de certificado > Nuevo > Plantilla de certificado para emitir.
3. Publique las siguientes plantillas:
   • Cifrado CEP
   • Agente de inscripción de Exchange (solicitud fuera de línea)
4. Estas plantillas son necesarias para que NDES complete su configuración correctamente.

Paso 7: Publique las plantillas de certificado necesarias en la CA.

1. Una vez que IIS se haya eliminado y limpiado por completo, reinstálelo con todas las funciones que requiere NDES.
2. Abra Administrador del servidor > Agregar roles y característicasluego instalar ECM para cada año fiscal junto con la Servidor web (IIS) y asegúrese de que se incluyan los siguientes componentes:
   • ASP.NET 4.x
   • Autenticación de Windows
   • Compatibilidad de administración de IIS 6
   • Características de desarrollo de aplicaciones requeridas

Paso 8: Publique las plantillas de certificado necesarias en la CA.

Después de completar la limpieza de IIS, eliminar cualquier configuración NDES obsoleta, verificar la cuenta de servicio y publicar las plantillas de certificado necesarias, el siguiente paso es ejecutar el Asistente de configuración de NDES de nuevo.

En este paso, se vuelve a conectar el rol NDES a la Autoridad de Certificación y se definen la cuenta de servicio y la configuración criptográfica que utilizará NDES.

1. Inicie sesión en el Servidor NDES con una cuenta que tenga los privilegios administrativos necesarios.
2. Abra Administrador de servidores.
3. En la esquina superior derecha, haz clic en el bandera de notificación amarilla.
4. Desde el menú de notificaciones, seleccione Configurar los servicios de certificados de Active Directory en el servidor de destino. Esto iniciará el Asistente de configuración de los servicios de certificados de Active Directory.
5. En la Credenciales En la página, confirme que la cuenta que se muestra tiene permisos suficientes para realizar la configuración.
6. La cuenta que se debe usar normalmente debe ser una Administrador de dominio o bien otra cuenta con los derechos necesarios para configurar los servicios de rol de AD CS.
7. Haga clic en Siguiente.
8. En la Servicios de rol página, seleccione Servicio de inscripción de dispositivos de redAsegúrese de que solo se marque el servicio de rol previsto.
9. Haga clic en Siguiente.
10. Cuando se le solicite, ingrese la cuenta de servicio con la que se ejecutará NDES en el siguiente formato: DOMINIO\cuenta de servicio.
11. Introduce y confirma la contraseña de esta cuenta.
12. Verifique que el nombre de usuario esté escrito correctamente y pertenezca al dominio deseado.
13. Haga clic en Siguiente.
14. En la CA para NDES página, haga clic Seleccione y seleccione la CA emisora ​​correcta de la lista. Verifique los detalles de conexión si se le solicita.
15. Haga clic en OK, luego haga clic en Siguiente.
16. Verifique el ajuste configuración criptográfica:
    • Lo correcto proveedor criptográfico esté seleccionado.
    • La longitud de la clave Cumple con los requisitos de seguridad de su organización y con las mejores prácticas del sector.
17. Si usa un Proveedor respaldado por HSMAsegúrese de que el software HSM y el proveedor estén instalados y funcionando correctamente.
18. Revise todas las selecciones de configuración en el Confirmación Desbobinador hidráulico de alta resistencia:Para bobinas de mayor peso o necesidades de automatización más elevadas, visite ladesbobinador hidráulico de alta resistencia.
19. Asegúrese de que todos los datos sean correctos antes de hacer clic. Configurar.
20. Una vez finalizada la configuración, el asistente mostrará un Resultados Desbobinador hidráulico de alta resistencia:Para bobinas de mayor peso o necesidades de automatización más elevadas, visite ladesbobinador hidráulico de alta resistencia.

¿Cómo verificar una instalación exitosa de NDES?

• Abra un navegador en el Servidor NDES y navega a http://localhost/certsrv/mscep/mscep.dllDeberías ver un Página de respuesta de capacidades de SCEP.
• In Administrador de IIS, confirmar la Servicio de certificación aplicación y mscep El directorio virtual existe bajo Sitio web predeterminado.
• Abra Servicios (services.msc) y confirma Servicio de inscripción de dispositivos de red Esta corriendo.
• In Visor de sucesos, comprobar ID de evento 6 de la fuente MSCEP, lo que confirma el éxito de la empresa emergente.
• Confirmar C: \ inetpub \ wwwroot IIS lo recreó correctamente durante la instalación nueva.

¿Cómo puede ayudar la consultoría de cifrado?

Encryption Consulting cuenta con una amplia experiencia en la entrega de soluciones de cifrado de extremo a extremo. PKI Soluciones para clientes empresariales y gubernamentales. Ofrecemos tanto servicios profesionales como nuestra plataforma de automatización (Administrador de CertSecure) para garantizar que su PKI sea segura, resistente y preparada para el futuro.

1. Servicios PKI

Servicios de asesoramiento, diseño e implementación de extremo a extremo para ayudar a las organizaciones a construir, modernizar y gobernar entornos seguros de infraestructura de clave pública.

2 Planificación de proyectos

Evaluamos su entorno criptográfico, revisamos las configuraciones, dependencias y requisitos de PKI y consolidamos los hallazgos en un plan de proyecto estructurado y aprobado por el cliente.

3. Desarrollo de CP/CPS

En la siguiente fase, desarrollaremos la Política de Certificación (PC) y la Declaración de Prácticas de Certificación (DPC) alineadas con la RFC#3647. Estos documentos se adaptan a los requisitos normativos, de seguridad y operativos de su organización.

4. Diseño e implementación de PKI

Diseñamos e implementamos infraestructuras PKI resilientes, incluyendo Root sin conexión. CA, CA emisoras, servidores NDES, HSM Integración, etc., según las necesidades del cliente. Los entregables incluyen el documento de diseño de PKI, guías de compilación, guiones para ceremonias y configuraciones del sistema. Una vez implementado, realizamos pruebas exhaustivas, validación, optimización y sesiones de transferencia de conocimientos para capacitar a su equipo.

5. Continuidad del negocio y recuperación ante desastres

Luego de la implementación, desarrollamos e implementamos estrategias de continuidad comercial y recuperación ante desastres, realizamos pruebas de conmutación por error y documentamos flujos de trabajo operativos para toda la infraestructura de PKI y HSM, respaldados por una guía integral de operaciones de PKI.

6. Soporte y mantenimiento continuos

Tras la implementación, ofrecemos un paquete de soporte anual por suscripción que ofrece cobertura integral para los componentes PKI, CLM y HSM. Esto incluye respuesta a incidentes, resolución de problemas, optimización del sistema, gestión del ciclo de vida de los certificados, actualizaciones de CP/CPS, archivado de claves, actualizaciones de firmware de HSM, registro de auditoría y gestión de parches.

Este enfoque garantiza que su infraestructura PKI no solo sea segura y compatible, sino también escalable, resiliente y totalmente alineada con sus objetivos operativos y regulatorios a largo plazo.

Administrador de CertSecure

Administrador de CertSecure by Encryption Consulting es una solución de gestión del ciclo de vida de los certificados que simplifica y automatiza todo el ciclo de vida, lo que le permite centrarse en la seguridad en lugar de en las renovaciones.

Automatización para certificados de corta duración: Con la adopción de los certificados ACME y TLS de 90/47 días como estándar, la renovación manual ya no es una opción práctica. CertSecure Manager automatiza la inscripción, la renovación y la implementación para garantizar que los certificados caduquen sin previo aviso.

Integración perfecta de DevOps y la nube: Los certificados se pueden aprovisionar directamente en servidores web e instancias en la nube, y se integran con herramientas de registro modernas como Datadog, Splunk, herramientas ITSM como ServiceNow y herramientas DevOps como Terraform y Ansible.

Compatibilidad con múltiples CA: Muchas organizaciones utilizan múltiples CA (CA interna de Microsoft, CA públicas como DigiCert y GlobalSign, etc.). CertSecure Manager se integra con estas fuentes, proporcionando un único panel para la gestión de la emisión y el ciclo de vida.

Políticas unificadas de emisión y renovación: CertSecure Manager aplica los tamaños de clave, los algoritmos y las reglas de renovación de su organización de manera consistente en todos los certificados, no solo automatizando las renovaciones con múltiples CA, sino garantizando que cada certificado cumpla con sus estándares de seguridad en todo momento.

Monitoreo proactivo y pruebas de renovación: El monitoreo continuo, combinado con pruebas simuladas de renovación/vencimiento, garantiza que usted identifique los riesgos antes de que los certificados afecten los sistemas de producción.

Visibilidad y cumplimiento centralizados: Un panel consolidado muestra todos los certificados, longitudes de clave, algoritmos fuertes y débiles, y sus fechas de vencimiento. Los registros de auditoría y la aplicación de políticas simplifican el cumplimiento con PCI DSS, HIPAAy otros marcos.

Si aún se pregunta dónde y cómo comenzar a proteger su PKI, Encryption Consulting está aquí para ayudarlo con sus Servicios de soporte de PKIPuede contar con nosotros como su socio de confianza y lo guiaremos en cada paso con claridad, confianza y experiencia práctica.  

Conclusión

On Windows Server 2025El error CMSCEPSetup::Install: ERROR_PATH_NOT_FOUND (0x80070003) suele deberse a un estado residual de IIS que persiste tras la eliminación del rol. La solución requiere desinstalar completamente IIS, reiniciar el servidor, eliminar la carpeta inetpub y borrar las claves de registro de IIS restantes antes de reinstalar IIS y ejecutar de nuevo el asistente NDES.

En versiones anteriores de Windows Server, el problema suele deberse a la falta de funciones de IIS, una configuración incorrecta de la CA, claves de registro MSCEP obsoletas o permisos de cuenta de servicio. Siga los pasos en orden y utilice el Visor de eventos para identificar cualquier ruta que falte.