SCEP NDES fehlende Berechtigung zum Registrieren
Hallo Zusammen,
ich habe hier in der Domäne eine Enterprise-CA laufen. Diese hat die Rolle des NPS mit automatischer Zertifikatsregistrierung fürs WLAN und LAN (802.1x) und funktioniert soweit.
Nun habe ich aber auch z.B. Drucker, die kein Domainmitglied sind. Diese möchte ich per SCEP/NDES registrieren. Ich habe soweit dem Server die Rollen eingetragen, Template erstellt und konfiguriert, Registry angepasst, IIS angepasst, extra User für NDES erstellt aber:
Wenn ich auf die mscep_Admin-Seite gehe, so bekomme ich immer die Meldung:
"Sie verfügen nicht über die erforderlichen Berechtigungen zum Registrieren per SCEP. Wenden Sie sich an den Systemadministrator. "
Egal ob ich mit dem lokalen Admin direkt auf dem Server versuche, mit dem Domain-Admin oder mit dem extra NDES-User. Jedes mal die gleiche Meldung und ich komme nicht dahinter, wo mir die Berechtigung fehlt.
Hoffe, dass mir hier jemand weiterhelfen kann. Ich habe die Anleitungen soweit durchgeforstet, soweit es ging alles ausprobiert, aber komme nicht weiter.
Danke.
Nachtrag: Windows Server 2012R2.
Nachtrag: Handlerzuordnungen wurden bereits auch für StaticFile über den ExtensionlessUrlHandler positioniert.
ich habe hier in der Domäne eine Enterprise-CA laufen. Diese hat die Rolle des NPS mit automatischer Zertifikatsregistrierung fürs WLAN und LAN (802.1x) und funktioniert soweit.
Nun habe ich aber auch z.B. Drucker, die kein Domainmitglied sind. Diese möchte ich per SCEP/NDES registrieren. Ich habe soweit dem Server die Rollen eingetragen, Template erstellt und konfiguriert, Registry angepasst, IIS angepasst, extra User für NDES erstellt aber:
Wenn ich auf die mscep_Admin-Seite gehe, so bekomme ich immer die Meldung:
"Sie verfügen nicht über die erforderlichen Berechtigungen zum Registrieren per SCEP. Wenden Sie sich an den Systemadministrator. "
Egal ob ich mit dem lokalen Admin direkt auf dem Server versuche, mit dem Domain-Admin oder mit dem extra NDES-User. Jedes mal die gleiche Meldung und ich komme nicht dahinter, wo mir die Berechtigung fehlt.
Hoffe, dass mir hier jemand weiterhelfen kann. Ich habe die Anleitungen soweit durchgeforstet, soweit es ging alles ausprobiert, aber komme nicht weiter.
Danke.
Nachtrag: Windows Server 2012R2.
Nachtrag: Handlerzuordnungen wurden bereits auch für StaticFile über den ExtensionlessUrlHandler positioniert.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1472072994
Url: https://administrator.de/forum/scep-ndes-fehlende-berechtigung-zum-registrieren-1472072994.html
Ausgedruckt am: 22.12.2024 um 22:12 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
in der Registry ist doch das Zertifikat hinterlegt: HKLM\Software\Microsoft\Cryptography\MSECP
Überprüfe mal, ob die Berechtigungen zum Registrieren für dieses Zertifikat passen (am Reiter Sicherheit beim Zertifikats-Template schauen).
Du hast aber keinen Azure NDES-Zertifiktaskonnektor laufen?
Grüße
lcer
in der Registry ist doch das Zertifikat hinterlegt: HKLM\Software\Microsoft\Cryptography\MSECP
Überprüfe mal, ob die Berechtigungen zum Registrieren für dieses Zertifikat passen (am Reiter Sicherheit beim Zertifikats-Template schauen).
Du hast aber keinen Azure NDES-Zertifiktaskonnektor laufen?
Grüße
lcer
Und die Berechtigungen und Gruppenmitgliedschaften des ndes Accounts stimmen auch? https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Grüße
lcer
Grüße
lcer
Hallo,
und nicht auf dem Computeraccount des Servers.
Welchen Benutzer hast Du für den zugeordneten IIS-ApplicationPool eingestellt?
Grüße
lcer
Zitat von @westberliner:
- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
Ich gehe davon aus, dass Du den SPN so an gelegt hast, wie im Link beschrieben:- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
setspn -s http/SERVER-AUF-DEM-SCEP_LÄUFT NdesService-BENUTZER
Welchen Benutzer hast Du für den zugeordneten IIS-ApplicationPool eingestellt?
Grüße
lcer
Zitat von @westberliner:
Hallo Icer,
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
nein. passt so.Hallo Icer,
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True
Ist bei mir auch so.MYDOMAIN\NDES
Benutzerprofil laden: True
Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
Da bin ich nicht sicher, ob hier auch der NDES-Account stehen müsste. Die Applicationpools habe ich nicht, ich verwende SCEP auch nur mit dem Intune-Konnector.MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
deine .local Domäne wird es ja hoffentlich nicht sein. Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Sonst fand sich noch Folgendes:
https://social.technet.microsoft.com/wiki/contents/articles/9063.active- ...
Resolution: The administrator who browsed to this page MUST have the following permissions.
If the service configured CA is an Enterprise CA, the requestor must have Enroll permission to all three configured certificate templates. These templates are set through the EncryptionTemplate, SignatureTemplate, and GeneralPurposeTemplate registry keys. For more information about configuring templates, see Configuring Templates for Device Enrollment.
If the service configured CA is a Stand-alone CA, the requestor must be a member of the CA administrators group.
Grüße
lcer
Hallo,
grüße
lcer
Zitat von @westberliner:
Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
neues Thema, mach am besten eine neue Frage auf.Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
grüße
lcer