Åtgärda NDES-konfigurationsfelet: ERROR_PATH_NOT_FOUND (0x80070003) på Windows Server 2025

Att få ett CMSCEPSetup::Install-fel med felkoden 0x80070003 under NDES-installationen är ett av de mest frustrerande felen i Active Directory Certificate Services. Den här guiden förklarar exakt varför det händer och hur du åtgärdar det, steg för steg.

Vad är NDES och varför misslyckas det?

Registreringstjänst för nätverksenheter (NDES) är en rolltjänst inom Active Directory-certifikattjänster (AD CS) som gör det möjligt för nätverksenheter, såsom routrar, brandväggar och mobila enheter, att få tillgång till digitala certifikat automatiskt. NDES implementerar Simple Certificate Enrollment Protocol (SCEP), en allmänt använd standard som används av plattformar för hantering av mobila enheter (MDM) som Microsoft Intune, Cisco ISE och andra för att automatisera certifikatregistrering för enheter som inte är domänanslutna, vilket gör det möjligt för dem att säkert begära och ta emot certifikat från en certifikatutfärdare (CA).

NDES fungerar som en brygga mellan dessa icke-domänenheter och CA:n, vilket säkerställer att de kan autentisera och kommunicera säkert inom organisationen.

Eftersom NDES verkar vid korsningen mellan IIS, Active Directory och certifikatutfärdaren, dess installation är mycket känslig för konfigurationsordning, behörigheter för tjänstkonton och befintligt systemtillstånd. Även en mindre felkonfiguration i någon av dessa komponenter kan orsaka att installationsprocessen misslyckas, vilket ofta resulterar i kryptiska fel som 0x80070003 (ERROR_PATH_NOT_FOUND).

Förstå fel 0x80070003 (ERROR_PATH_NOT_FOUND)

Det fullständiga felmeddelandet som du ser i AD CS-konfigurationsguiden är:

CMSCEPSetup::Install: Systemet kan inte hitta den angivna sökvägen.

0x80070003 (WIN32: 3 ERROR_PATH_NOT_FOUND)

Win32-felkoden 0x80070003 översätts direkt till ERROR_PATH_NOT_FOUND – vilket betyder att installationsprogrammet försökte komma åt en filsystemsökväg eller registerplats som helt enkelt inte finns på maskinen.

Komponenten som felar är CMSCEPSetup, SCEP-installationsmodulen som ansvarar för att konfigurera virtuella IIS-kataloger, registrera CA-anslutningen och skriva nödvändiga registerposter. När den inte hittar den förväntade sökvägen avbryts hela NDES-installationen.

Grundorsaker till CMSCEPSetup::Install-felet

1. IIS är inte installerat eller felkonfigurerat

NDES är starkt beroende av IIS. Windows Server 2025 i synnerhet, även efter att IIS-rollen har tagits bort, inetpub Mappen och tillhörande registernycklar kan finnas kvar i ett trasigt tillstånd. Om IIS sedan läggs till igen ovanpå detta kvarvarande tillstånd misslyckas CMSCEPSetup med att hitta förväntade sökvägar.

2. Felaktig eller oåtkomlig CA-sökväg

Om CA-namnet är felstavat, CA-servern är offline eller den valda CA-typen är inkompatibel, kan installationsprogrammet inte matcha de nödvändiga sökvägarna för RA-certifikat.

3. Överblivna registernycklar från en tidigare misslyckad installation

Inaktuella MSCEP-registernycklar från tidigare misslyckade installationer orsakar konflikter när installationsprogrammet försöker skriva nya värden.

4. Problem med behörighet för NDES-tjänstkonto

Tjänstkontot måste vara en lokal administratör, ha rättigheterna "Logga in som en tjänst" och inneha Läs och registrera dig behörigheter på CEP:n kryptering och certifikatmallar för Exchange-registreringsagent.

5. Saknade certifikatmallar

NDES kräver CEP-kryptering och Exchange-registreringsagent (offlineförfrågan) mallar som ska publiceras på CA. Om de saknas kan installationsprogrammet inte hitta nödvändiga registreringsvägar.

Steg-för-steg-guide för reparation

Stegen nedan ger en ren metod för att ta bort de skadade komponenterna och korrekt återuppbygga NDES-konfigurationen.

Steg 1: Ta bort IIS helt

Börja med att helt ta bort Webbserver (IIS) rollen från servern.

1. Öppna Serverhanteraren och gå till Hantera och ta bort roller och funktioner.
   
   
2. Guiden Ta bort roller och funktioner öppnas. Klicka på Nästa på Innan du börjar skärm.
   
   
3. På sidan Serverval, se till att rätt server är vald och klicka sedan på Nästa.
4. På sidan Serverroller:
5. Lokalisera Webbserver (IIS).
6. Avmarkera rutan bredvid Webbserver (IIS).
   
   
7. När du uppmanas, klicka på Ta bort funktioner för att ta bort alla beroende IIS-komponenter.
   Klicka Nästa genom de återstående sidorna (Funktioner, Bekräftelse).
   
   
8. På bekräftelsesidan:
9. (Valfritt) Kontrollera Starta om destinationsservern automatiskt vid behov.
   
   
10. Klicka ta bort.

• Vänta tills borttagningsprocessen är klar.
• Starta inte om programmet omedelbart när du är klar (enligt din rensningssekvens).
• Fortsätt till nästa steg (registerkontroll och rensning av Inetpub).

Obs: Du kan också ta bort IIS med PowerShell:

Ta bort-WindowsFeature-Namn Webbserver-IncludeManagementTools

Do inte Starta om servern ännu. IIS-innehållsmappen kommer att tas bort i nästa steg.

Steg 2: Kontrollera IIS-sökvägen i registret

Innan omstart, öppna Registereditorn (regedit) och granska IIS-installationssökvägen för att bekräfta vilken mapp som används.

Navigera till:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp

Kontrollera värdet på PathWWWRootI de flesta fall kommer det att peka på:

C:\inetpub\wwwroot

Granska även den här nyckeln för kvarvarande IIS-tjänsttillstånd:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC

Om InetStp or W3SVC Om nycklarna fortfarande finns kvar efter att IIS har tagits bort, betyder det oftast att IIS inte rensades ordentligt. Detta kvarvarande tillstånd är ofta anledningen till att NDES-installationen misslyckas.

Steg 3: Starta om servern och ta bort inetpub-mappen

Starta nu om servern. Denna omstart är nödvändig eftersom Windows Server 2025 kan fortsätta att hålla fillås på IIS-mappar även efter att IIS-rollen har tagits bort.

När servern är online igen, radera hela inetpub mapp från C:-enheten.

PowerShell-kommando:

Ta bort-objekt -Sökväg "C:\inetpub" -Rekurs -Tvinga

Varför krävs omstart?

På Windows Server 2025 släpps filreferenser relaterade till IIS inte alltid helt omedelbart efter att rollen har tagits bort. Om du försöker ta bort inetpub mappen innan du startar om, kan du få felmeddelanden som fil som används or tillträde beviljas ej.

Steg 4: Ta bort alla tidigare NDES-installationer och rensa MSCEP-registret

Om NDES tidigare installerades eller delvis konfigurerades, ta bort rolltjänsten och radera de inaktuella MSCEP-registerdata. Följ stegen nedan för att ta bort den gamla MSCEP-registernyckeln:

• Öppna registret
• Gå till sökvägen - HKLM:\SOFTWARE\Microsoft\Cryptography\MSCEP
• Ta bort MSCEP-nyckeln, om den finns

Steg 5: Ta bort alla tidigare NDES-installationer och rensa MSCEP-registret

Innan du kör NDES-konfigurationen igen, se till att servicekontot är korrekt konfigurerat över hela lokal server, IIS och certifikatutfärdare.

5.1 Verifiera lokal administratörsåtkomst

1. Logga in på NDES-server.
2. Öppet Datorhantering eller tryck Win + R → typ compmgmt.msc.
3. Navigera till: Lokala användare och grupper > Grupper.
4. Öppna Administratörer grupp.
5. Klicka Lägg till och verifiera att NDES-tjänstkontot finns med i listan.
6. Om det inte finns, lägg till: DOMÄN\NDES_Tjänstkonto.

5.2 Verifiera medlemskap i IIS_IUSRS-gruppen

1. NDES är beroende av IIS, så kontot måste ha åtkomst till IIS-arbetsprocesser.
2. Öppet Datorhantering.
3. Navigera till: Lokala användare och grupper > Grupper.
4. Öppet IIS_IUSRS.
5. Se till att NDES-tjänstkontot är medlem.
6. Om inte, klicka på Lägg till och lägg till servicekontot.

5.3 Verifiera behörigheter för certifikatmallen

1. Öppet Certifieringsutfärdare (certsrv.msc) på CA-servern.
2. Högerklicka Certifikatmallar → hantera.
3. För varje obligatorisk mall (t.ex. CEP-kryptering, Exchange-registreringsagent (offlineförfrågan)), verifiera behörigheter.
4. Så här kontrollerar du behörigheter:
   • Högerklicka på mallen → Våra Bostäder.
   • Gå till Säkerhet fliken.
   • Se till att NDES-tjänstkontot har:
     • ✔ Läs
     • ✔ Registrera dig
5. Om det saknas, klicka Lägg till.
6. Lägg till servicekontot.
7. Grant Läsa och Skriva in behörigheter.

5.4 [Valfritt] Verifiera rätten att "Logga in som en tjänst"

1. Klicka Win + R → typ secpol.msc.
2. Navigera till:
3. Lokala policyer > Tilldelning av användarrättigheter.
4. Öppet Logga in som en tjänst.
5. Se till att NDES-tjänstkontot finns med i listan.
6. Om det saknas, klicka Lägg till användare eller grupp.
7. Lägg till servicekontot.
8. Ansök och spara.

Steg 6: Publicera obligatoriska certifikatmallar på certifikatutfärdaren

1. På den utfärdande CA:n, öppna certifikatutfärdare konsol.
2. Gå till: Certifikatmallar > Ny > Certifikatmall att utfärda.
3. Publicera följande mallar:
   • CEP-kryptering
   • Exchange-registreringsagent (offlineförfrågan)
4. Dessa mallar krävs för att NDES ska kunna slutföra konfigurationen.

Steg 7: Publicera obligatoriska certifikatmallar på certifikatutfärdaren

1. När IIS har tagits bort och rensats, installera om det med alla funktioner som krävs av NDES.
2. Öppet Serverhanterare > Lägg till roller och funktioneroch installera sedan NDES tillsammans med Webbserver (IIS) och se till att följande komponenter ingår:
   • ASP.NET 4.x
   • Windows-autentisering
   • IIS 6-hanteringskompatibilitet
   • Obligatoriska funktioner för applikationsutveckling

Steg 8: Publicera obligatoriska certifikatmallar på certifikatutfärdaren

Efter att IIS-rensningen har slutförts, all inaktuell NDES-konfiguration har tagits bort, tjänstkontot har verifierats och de nödvändiga certifikatmallarna har publicerats, är nästa steg att köra NDES-konfigurationsguiden igen.

I det här steget återansluter du NDES-rollen till certifikatutfärdaren och definierar det tjänstkonto och de kryptografiska inställningar som NDES ska använda.

1. Logga in på NDES-server med ett konto som har de nödvändiga administratörsbehörigheterna.
2. Öppet server manager.
3. I det övre högra hörnet klickar du på gul aviseringsflagga.
4. Från aviseringsmenyn väljer du Konfigurera Active Directory-certifikattjänster på målservernDetta kommer att starta Konfigurationsguiden för Active Directory-certifikattjänster.
5. På referenser sidan, bekräfta att det visade kontot har tillräckliga behörigheter för att utföra konfigurationen.
6. Kontot som används bör vanligtvis vara ett Domänadministratör eller ett annat konto med nödvändiga rättigheter för att konfigurera AD CS-rolltjänster.
7. Klicka Nästa.
8. På Rolltjänster sida, välj Registreringstjänst för nätverksenheterSe till att endast den avsedda rolltjänsten är markerad.
9. Klicka Nästa.
10. När du uppmanas att göra det, ange det servicekonto som NDES ska köras under i formatet: DOMÄN\tjänstkonto.
11. Ange och bekräfta lösenordet för det här kontot.
12. Dubbelkolla att användarnamnet är korrekt stavat och tillhör den avsedda domänen.
13. Klicka Nästa.
14. På CA för NDES sida, klicka Välja och välj rätt utfärdande certifikatutfärdare från listan. Verifiera anslutningsinformationen om du uppmanas till det.
15. Klicka OK, Klicka sedan Nästa.
16. Verifiera kryptografiska inställningar:
    • Det rätta kryptografisk leverantör väljs.
    • Ocuco-landskapet nyckellängd uppfyller din organisations säkerhetskrav och bästa praxis i branschen.
17. Om du använder en HSM-stödd leverantör, se till att HSM-programvaran och leverantören är installerade och fungerar korrekt.
18. Granska alla konfigurationsval på Bekräftelse sida.
19. Se till att alla uppgifter är korrekta innan du klickar Inställd.
20. När konfigurationen är klar visar guiden en Resultat sida.

Hur verifierar man en lyckad NDES-installation?

• Öppna en webbläsare på NDES-server och navigera till http://localhost/certsrv/mscep/mscep.dllDu borde se en Svarssida för SCEP-funktioner.
• In IIS-hanteraren, bekräfta CertSrv ansökan och mscep virtuell katalog finns under Standardwebbplats.
• Öppet Tjänster (services.msc) och bekräfta Registreringstjänst för nätverksenheter körs.
• In Loggboken, kolla efter Händelse-ID 6 från källan MSCEP, vilket bekräftar lyckad uppstart.
• Bekräfta C:\inetpub\wwwroot återskapades korrekt av IIS under den nya installationen.

Hur kan krypteringskonsulting hjälpa till?

Krypteringskonsulting har lång erfarenhet av att leverera helhetslösningar PKI lösningar för företag och myndigheter. Vi erbjuder både professionella tjänster och vår automationsplattform (CertSecure-hanterare) för att säkerställa att din PKI är säker, robust och framtidsklar.

1. PKI-tjänster

Heltäckande rådgivnings-, design- och implementeringstjänster som hjälper organisationer att bygga, modernisera och styra säkra miljöer med offentlig nyckelinfrastruktur.

2. Projektering

Vi utvärderar er kryptografiska miljö, granskar PKI-konfigurationer, beroenden och krav, och sammanställer resultaten i en strukturerad, kundgodkänd projektplan.

3. CP/CPS-utveckling

I nästa fas kommer vi att utveckla en certifikatpolicy (CP) och en certifieringspraxis (CPS) i linje med RFC#3647. Dessa dokument är anpassade till din organisations regelverk, säkerhetskrav och operativa krav.

4. PKI-design och implementering

Vi designar och driftsätter robusta PKI-infrastrukturer, inklusive offline root CA, utfärdande CA:er, NDES-servrar, HSM integration etc., beroende på kundens behov. Leveranserna inkluderar PKI-designdokument, byggguider, ceremonimanus och systemkonfigurationer. När driftsättningen är klar genomför vi grundliga tester, validering, finjusteringar och kunskapsöverföringssessioner för att stärka ditt team.

5. Kontinuitet i verksamheten och katastrofåterställning

Efter driftsättningen utvecklar och implementerar vi strategier för affärskontinuitet och katastrofåterställning, genomför redundantester och dokumenterar operativa arbetsflöden för hela PKI- och HSM-infrastrukturen, med stöd av en omfattande PKI-driftsguide.

6. Löpande support och underhåll

Efter implementeringen erbjuder vi ett prenumerationsbaserat årligt supportpaket som ger omfattande täckning för PKI-, CLM- och HSM-komponenter. Detta inkluderar incidenthantering, felsökning, systemoptimering, hantering av certifikatlivscykeln, CP/CPS-uppdateringar, nyckelarkivering, uppgraderingar av HSM-firmware, granskningsloggning och patchhantering.

Denna metod säkerställer att din PKI-infrastruktur inte bara är säker och kompatibel, utan också skalbar, robust och helt i linje med dina långsiktiga operativa och regulatoriska mål.

CertSecure-hanterare

CertSecure-hanterare Encryption Consulting är en lösning för hantering av certifikatlivscykeln som förenklar och automatiserar hela livscykeln, så att du kan fokusera på säkerhet snarare än förnyelser.

Automatisering för kortlivade certifikat: Med ACME- och 90-dagars/47-dagars TLS-certifikat som blir standard är manuell förnyelse inte längre ett praktiskt alternativ. CertSecure Manager automatiserar registrering, förnyelse och driftsättning för att säkerställa att certifikat aldrig går ut obemärkt.

Sömlös DevOps- och molnintegration: Certifikat kan tillhandahållas direkt till webbservrar och molninstanser, och de integreras med moderna loggverktyg som Datadog, Splunk, ITSM-verktyg som ServiceNow och DevOps-verktyg som Terraform och Ansible.

Stöd för flera CA: Många organisationer använder flera CA:er (interna Microsoft CA, publika CA:er som DigiCert och GlobalSign, etc.). CertSecure Manager integreras mellan dessa källor och ger en enda överblick över utfärdande och livscykelhantering.

Enhetliga utgivnings- och förnyelsepolicyer: CertSecure Manager tillämpar din organisations nyckelstorlekar, algoritmer och förnyelseregler konsekvent över alla certifikat, inte bara automatiserar förnyelser med flera certifikatutfärdare, utan säkerställer också att varje certifikat uppfyller dina säkerhetsstandarder varje gång.

Proaktiv övervakning och förnyelsetestning: Kontinuerlig övervakning, i kombination med simulerade förnyelse-/utgångstester, säkerställer att du identifierar risker innan certifikat påverkar produktionssystemen.

Centraliserad synlighet och efterlevnad: En konsoliderad instrumentpanel visar alla certifikat, nyckellängder, starka och svaga algoritmer och deras utgångsdatum. Revisionsspår och policytillämpning förenklar efterlevnaden PCI DSS, HIPAAoch andra ramverk.

Om du fortfarande undrar var och hur du ska börja säkra din PKI, finns Encryption Consulting här för att hjälpa dig med det. PKI-supporttjänsterDu kan lita på oss som din betrodda partner, och vi kommer att vägleda dig genom varje steg med tydlighet, självförtroende och praktisk expertis.  

Slutsats

On Windows Server 2025, felet CMSCEPSetup::Install: ERROR_PATH_NOT_FOUND (0x80070003) orsakas oftast av ett kvarvarande IIS-tillstånd som kvarstår efter att rollen har tagits bort. Åtgärden kräver att IIS tas bort helt, att servern startas om, att inetpub-mappen tas bort och att överblivna IIS-registernycklar rensas innan IIS installeras om och NDES-guiden körs igen.

I tidigare versioner av Windows Server beror problemet vanligtvis på saknade IIS-funktioner, felaktig konfiguration av certifikatutfärdare, inaktuella MSCEP-registernycklar eller behörigheter för servicekonton. Gå igenom stegen i ordning och använd Loggboken för att lokalisera eventuella återstående saknade sökvägar.