westberliner
Goto Top

SCEP NDES fehlende Berechtigung zum Registrieren

Hallo Zusammen,

ich habe hier in der Domäne eine Enterprise-CA laufen. Diese hat die Rolle des NPS mit automatischer Zertifikatsregistrierung fürs WLAN und LAN (802.1x) und funktioniert soweit.

Nun habe ich aber auch z.B. Drucker, die kein Domainmitglied sind. Diese möchte ich per SCEP/NDES registrieren. Ich habe soweit dem Server die Rollen eingetragen, Template erstellt und konfiguriert, Registry angepasst, IIS angepasst, extra User für NDES erstellt aber:

Wenn ich auf die mscep_Admin-Seite gehe, so bekomme ich immer die Meldung:

"Sie verfügen nicht über die erforderlichen Berechtigungen zum Registrieren per SCEP. Wenden Sie sich an den Systemadministrator. "

Egal ob ich mit dem lokalen Admin direkt auf dem Server versuche, mit dem Domain-Admin oder mit dem extra NDES-User. Jedes mal die gleiche Meldung und ich komme nicht dahinter, wo mir die Berechtigung fehlt.

Hoffe, dass mir hier jemand weiterhelfen kann. Ich habe die Anleitungen soweit durchgeforstet, soweit es ging alles ausprobiert, aber komme nicht weiter.

Danke.

Nachtrag: Windows Server 2012R2.
Nachtrag: Handlerzuordnungen wurden bereits auch für StaticFile über den ExtensionlessUrlHandler positioniert.

Content-ID: 1472072994

Url: https://administrator.de/forum/scep-ndes-fehlende-berechtigung-zum-registrieren-1472072994.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

lcer00
lcer00 05.11.2021 um 13:20:47 Uhr
Goto Top
Hallo,

in der Registry ist doch das Zertifikat hinterlegt: HKLM\Software\Microsoft\Cryptography\MSECP

Überprüfe mal, ob die Berechtigungen zum Registrieren für dieses Zertifikat passen (am Reiter Sicherheit beim Zertifikats-Template schauen).

Du hast aber keinen Azure NDES-Zertifiktaskonnektor laufen?

Grüße

lcer
westberliner
westberliner 05.11.2021 um 13:34:04 Uhr
Goto Top
Hallo,

in der Registry habe ich den Namen der Zertifikatsvorlage (Netzwerkdrucker) unter deinem genannten Schlüssel bei allen 3 Werten eingetragen.

Auf den Registry-Schlüssel hat der User NDES@mydomain.local Vollzugriff.

Auf die Zertifikatsvorlage Netzwerkdrucker hat der User NDES@mydomain.local Lesen, Schreiben, Registrieren, Automatisch registrieren als Recht zugewiesen.

Ist kein Azure NDES.
lcer00
lcer00 05.11.2021 um 13:48:40 Uhr
Goto Top
Hallo,

2. Versuch: die Authentifizierungseinstellungen im IIS. Nicht dass der Netzwerkdrucker anonym authentifiziert und Du Dich per integrierte Windows-Authentigizierung.

Grüße

lcer
westberliner
westberliner 05.11.2021 um 14:07:35 Uhr
Goto Top
Hi,

in den Authentifizierungseinstellungen hatte ich nichts verändert. (Mit einem Drucker hatte ich das noch nicht mal getestet, komme ja nicht so weit).

Bei der Default Website:
Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Deaktiv - HTTP401 Abfrage

Bei der MSCEP_ADMIN Webseite:
Anonym Authentifizierung - Deaktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage

Bei MSCEP Website:

Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage
lcer00
lcer00 05.11.2021 um 15:04:29 Uhr
Goto Top
Und die Berechtigungen und Gruppenmitgliedschaften des ndes Accounts stimmen auch? https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...

Grüße

lcer
westberliner
westberliner 08.11.2021 um 08:44:56 Uhr
Goto Top
- Be a domain user account - Ja
- Be a member of the local IIS_IUSRS group - Ja
- Have Request permissions on the configured CA - Ja, Zertifikate anfordern an der CA.
- Have Read and Enroll permissions on the NDES certificate template, which is configured automatically - Eigenes Zertifikatstemplate "Netzwerkdrucker" - Berechtigungen vorhanden.

- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local

Problem weiterhin vorhanden.
lcer00
lcer00 08.11.2021 um 09:50:55 Uhr
Goto Top
Hallo,
Zitat von @westberliner:
- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
Ich gehe davon aus, dass Du den SPN so an gelegt hast, wie im Link beschrieben:

setspn -s http/SERVER-AUF-DEM-SCEP_LÄUFT NdesService-BENUTZER
und nicht auf dem Computeraccount des Servers.

Welchen Benutzer hast Du für den zugeordneten IIS-ApplicationPool eingestellt?

Grüße

lcer
westberliner
westberliner 08.11.2021 um 09:58:56 Uhr
Goto Top
Hallo Icer,

der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).

Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES

Dein Befehl lautet anders?


Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True

Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES

Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
westberliner
Lösung westberliner 08.11.2021 um 10:05:15 Uhr
Goto Top
Ich habe den Fehler gefunden....eigentlich ganz einfach, wenn man öfters damit arbeitet:

Ich habe zwar eine Zertifikatsvorlage erstellt und dort die Berechtigung vergeben, jedoch habe ich NICHT eine auszustellende Zertifikatsvorlage erzeugt. (Rechtsklick auf Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage --> Vorlage "Netzwerkdrucker" auswählen und bestätigen.)

Kam mir gerade, als ich die Fehlermeldung im Eventlog mir zum 4.Mal durchgelesen habe:

Das Kennwort des Registrierungsdiensts für das Netzwerkgerät kann nicht angegeben werden, da der Benutzer für die konfigurierte Zertifikatvorlage nicht über die erforderlichen Registrierungsberechtigungen verfügt oder die Zertifizierungsstelle nicht zum Ausstellen von Zertifikaten berechtigt ist, die auf der konfigurierten Zertifikatvorlage basieren.

Nun erhalten ich auch das Kennwort und den Fingerabdruck.


Jetzt heisste es nochmal alle Einstellungen checken und zurücksetzen, damit ich mir keine Lücken aufgemacht habe.

Danke dir auf jeden Fall für deine Hilfe!
lcer00
lcer00 08.11.2021 um 11:00:34 Uhr
Goto Top
Zitat von @westberliner:

Hallo Icer,

der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).

Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES

Dein Befehl lautet anders?
nein. passt so.

Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True
Ist bei mir auch so.

Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES

Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
Da bin ich nicht sicher, ob hier auch der NDES-Account stehen müsste. Die Applicationpools habe ich nicht, ich verwende SCEP auch nur mit dem Intune-Konnector.

deine .local Domäne wird es ja hoffentlich nicht sein. Hinweise zur Verwendung der Domäne .local in DNS und mDNS

Sonst fand sich noch Folgendes:

https://social.technet.microsoft.com/wiki/contents/articles/9063.active- ...

Resolution: The administrator who browsed to this page MUST have the following permissions.

If the service configured CA is an Enterprise CA, the requestor must have Enroll permission to all three configured certificate templates. These templates are set through the EncryptionTemplate, SignatureTemplate, and GeneralPurposeTemplate registry keys. For more information about configuring templates, see Configuring Templates for Device Enrollment.
If the service configured CA is a Stand-alone CA, the requestor must be a member of the CA administrators group.

Grüße

lcer
westberliner
westberliner 08.11.2021 um 12:48:13 Uhr
Goto Top
@icer:

Verwendest du dein SCEP für z.B. Netzwerkdrucker? Ich konnte gerade am Drucker ein Zertifikat anfordern.

Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
canon_8021x
lcer00
lcer00 08.11.2021 um 13:08:06 Uhr
Goto Top
Hallo,
Zitat von @westberliner:

Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
neues Thema, mach am besten eine neue Frage auf.

grüße

lcer
westberliner
westberliner 08.11.2021 um 14:51:02 Uhr
Goto Top
Zitat von @lcer00:

deine .local Domäne wird es ja hoffentlich nicht sein. Hinweise zur Verwendung der Domäne .local in DNS und mDNS

lcer

Zur Beantwortung deiner Frage:

Ja, ist tatsächlich noch eine .local Domain hier, die hab ich vor 7 Jahren übernommen und bisher auch nicht wirklich einen Grund gehabt haben die zu ändern....da ich einen on Prem Exchange habe, ist das auch nicht so einfach alles...