13
SCEP NDES fehlende Berechtigung zum Registrieren
Hallo Zusammen,
ich habe hier in der Domäne eine Enterprise-CA laufen. Diese hat die Rolle des NPS mit automatischer Zertifikatsregistrierung fürs WLAN und LAN (802.1x) und funktioniert soweit.
Nun habe ich aber auch z.B. Drucker, die kein Domainmitglied sind. Diese möchte ich per SCEP/NDES registrieren. Ich habe soweit dem Server die Rollen eingetragen, Template erstellt und konfiguriert, Registry angepasst, IIS angepasst, extra User für NDES erstellt aber:
Wenn ich auf die mscep_Admin-Seite gehe, so bekomme ich immer die Meldung:
"Sie verfügen nicht über die erforderlichen Berechtigungen zum Registrieren per SCEP. Wenden Sie sich an den Systemadministrator. "
Egal ob ich mit dem lokalen Admin direkt auf dem Server versuche, mit dem Domain-Admin oder mit dem extra NDES-User. Jedes mal die gleiche Meldung und ich komme nicht dahinter, wo mir die Berechtigung fehlt.
Hoffe, dass mir hier jemand weiterhelfen kann. Ich habe die Anleitungen soweit durchgeforstet, soweit es ging alles ausprobiert, aber komme nicht weiter.
Danke.
Nachtrag: Windows Server 2012R2.
Nachtrag: Handlerzuordnungen wurden bereits auch für StaticFile über den ExtensionlessUrlHandler positioniert.
ich habe hier in der Domäne eine Enterprise-CA laufen. Diese hat die Rolle des NPS mit automatischer Zertifikatsregistrierung fürs WLAN und LAN (802.1x) und funktioniert soweit.
Nun habe ich aber auch z.B. Drucker, die kein Domainmitglied sind. Diese möchte ich per SCEP/NDES registrieren. Ich habe soweit dem Server die Rollen eingetragen, Template erstellt und konfiguriert, Registry angepasst, IIS angepasst, extra User für NDES erstellt aber:
Wenn ich auf die mscep_Admin-Seite gehe, so bekomme ich immer die Meldung:
"Sie verfügen nicht über die erforderlichen Berechtigungen zum Registrieren per SCEP. Wenden Sie sich an den Systemadministrator. "
Egal ob ich mit dem lokalen Admin direkt auf dem Server versuche, mit dem Domain-Admin oder mit dem extra NDES-User. Jedes mal die gleiche Meldung und ich komme nicht dahinter, wo mir die Berechtigung fehlt.
Hoffe, dass mir hier jemand weiterhelfen kann. Ich habe die Anleitungen soweit durchgeforstet, soweit es ging alles ausprobiert, aber komme nicht weiter.
Danke.
Nachtrag: Windows Server 2012R2.
Nachtrag: Handlerzuordnungen wurden bereits auch für StaticFile über den ExtensionlessUrlHandler positioniert.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1472072994
Url: https://administrator.de/contentid/1472072994
Printed on: April 25, 2024 at 16:04 o'clock
13 Comments
Latest comment
Hallo,
in der Registry ist doch das Zertifikat hinterlegt: HKLM\Software\Microsoft\Cryptography\MSECP
Überprüfe mal, ob die Berechtigungen zum Registrieren für dieses Zertifikat passen (am Reiter Sicherheit beim Zertifikats-Template schauen).
Du hast aber keinen Azure NDES-Zertifiktaskonnektor laufen?
Grüße
lcer
in der Registry ist doch das Zertifikat hinterlegt: HKLM\Software\Microsoft\Cryptography\MSECP
Überprüfe mal, ob die Berechtigungen zum Registrieren für dieses Zertifikat passen (am Reiter Sicherheit beim Zertifikats-Template schauen).
Du hast aber keinen Azure NDES-Zertifiktaskonnektor laufen?
Grüße
lcer
1
Hallo,
in der Registry habe ich den Namen der Zertifikatsvorlage (Netzwerkdrucker) unter deinem genannten Schlüssel bei allen 3 Werten eingetragen.
Auf den Registry-Schlüssel hat der User NDES@mydomain.local Vollzugriff.
Auf die Zertifikatsvorlage Netzwerkdrucker hat der User NDES@mydomain.local Lesen, Schreiben, Registrieren, Automatisch registrieren als Recht zugewiesen.
Ist kein Azure NDES.
in der Registry habe ich den Namen der Zertifikatsvorlage (Netzwerkdrucker) unter deinem genannten Schlüssel bei allen 3 Werten eingetragen.
Auf den Registry-Schlüssel hat der User NDES@mydomain.local Vollzugriff.
Auf die Zertifikatsvorlage Netzwerkdrucker hat der User NDES@mydomain.local Lesen, Schreiben, Registrieren, Automatisch registrieren als Recht zugewiesen.
Ist kein Azure NDES.
Hallo,
2. Versuch: die Authentifizierungseinstellungen im IIS. Nicht dass der Netzwerkdrucker anonym authentifiziert und Du Dich per integrierte Windows-Authentigizierung.
Grüße
lcer
2. Versuch: die Authentifizierungseinstellungen im IIS. Nicht dass der Netzwerkdrucker anonym authentifiziert und Du Dich per integrierte Windows-Authentigizierung.
Grüße
lcer
1
Hi,
in den Authentifizierungseinstellungen hatte ich nichts verändert. (Mit einem Drucker hatte ich das noch nicht mal getestet, komme ja nicht so weit).
Bei der Default Website:
Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Deaktiv - HTTP401 Abfrage
Bei der MSCEP_ADMIN Webseite:
Anonym Authentifizierung - Deaktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage
Bei MSCEP Website:
Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage
in den Authentifizierungseinstellungen hatte ich nichts verändert. (Mit einem Drucker hatte ich das noch nicht mal getestet, komme ja nicht so weit).
Bei der Default Website:
Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Deaktiv - HTTP401 Abfrage
Bei der MSCEP_ADMIN Webseite:
Anonym Authentifizierung - Deaktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage
Bei MSCEP Website:
Anonym Authentifizierung - Aktiv
ASP.net-Identitätswechsel - Deaktiv
Formularauthentifihierung - Deaktiv - HTTP302 Umleitung
Windows-Authentifizierung - Aktiviert - HTTP401 Abfrage
Und die Berechtigungen und Gruppenmitgliedschaften des ndes Accounts stimmen auch? https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
Grüße
lcer
Grüße
lcer
1
- Be a domain user account - Ja
- Be a member of the local IIS_IUSRS group - Ja
- Have Request permissions on the configured CA - Ja, Zertifikate anfordern an der CA.
- Have Read and Enroll permissions on the NDES certificate template, which is configured automatically - Eigenes Zertifikatstemplate "Netzwerkdrucker" - Berechtigungen vorhanden.
- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
Problem weiterhin vorhanden.
- Be a member of the local IIS_IUSRS group - Ja
- Have Request permissions on the configured CA - Ja, Zertifikate anfordern an der CA.
- Have Read and Enroll permissions on the NDES certificate template, which is configured automatically - Eigenes Zertifikatstemplate "Netzwerkdrucker" - Berechtigungen vorhanden.
- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
Problem weiterhin vorhanden.
Hallo,
und nicht auf dem Computeraccount des Servers.
Welchen Benutzer hast Du für den zugeordneten IIS-ApplicationPool eingestellt?
Grüße
lcer
Zitat von @westberliner:
- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
Ich gehe davon aus, dass Du den SPN so an gelegt hast, wie im Link beschrieben:- Have a service principal name (SPN) set in Active Directory: War nicht vorhanden, habe ich angelegt:
http/vm-cs
http/vm-cs.mydomain.local
setspn -s http/SERVER-AUF-DEM-SCEP_LÄUFT NdesService-BENUTZERWelchen Benutzer hast Du für den zugeordneten IIS-ApplicationPool eingestellt?
Grüße
lcer
1
Hallo Icer,
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True
Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True
Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
Ich habe den Fehler gefunden....eigentlich ganz einfach, wenn man öfters damit arbeitet:
Ich habe zwar eine Zertifikatsvorlage erstellt und dort die Berechtigung vergeben, jedoch habe ich NICHT eine auszustellende Zertifikatsvorlage erzeugt. (Rechtsklick auf Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage --> Vorlage "Netzwerkdrucker" auswählen und bestätigen.)
Kam mir gerade, als ich die Fehlermeldung im Eventlog mir zum 4.Mal durchgelesen habe:
Das Kennwort des Registrierungsdiensts für das Netzwerkgerät kann nicht angegeben werden, da der Benutzer für die konfigurierte Zertifikatvorlage nicht über die erforderlichen Registrierungsberechtigungen verfügt oder die Zertifizierungsstelle nicht zum Ausstellen von Zertifikaten berechtigt ist, die auf der konfigurierten Zertifikatvorlage basieren.
Nun erhalten ich auch das Kennwort und den Fingerabdruck.
Jetzt heisste es nochmal alle Einstellungen checken und zurücksetzen, damit ich mir keine Lücken aufgemacht habe.
Danke dir auf jeden Fall für deine Hilfe!
Ich habe zwar eine Zertifikatsvorlage erstellt und dort die Berechtigung vergeben, jedoch habe ich NICHT eine auszustellende Zertifikatsvorlage erzeugt. (Rechtsklick auf Zertifikatsvorlagen --> Neu --> Auszustellende Zertifikatsvorlage --> Vorlage "Netzwerkdrucker" auswählen und bestätigen.)
Kam mir gerade, als ich die Fehlermeldung im Eventlog mir zum 4.Mal durchgelesen habe:
Das Kennwort des Registrierungsdiensts für das Netzwerkgerät kann nicht angegeben werden, da der Benutzer für die konfigurierte Zertifikatvorlage nicht über die erforderlichen Registrierungsberechtigungen verfügt oder die Zertifizierungsstelle nicht zum Ausstellen von Zertifikaten berechtigt ist, die auf der konfigurierten Zertifikatvorlage basieren.
Nun erhalten ich auch das Kennwort und den Fingerabdruck.
Jetzt heisste es nochmal alle Einstellungen checken und zurücksetzen, damit ich mir keine Lücken aufgemacht habe.
Danke dir auf jeden Fall für deine Hilfe!
Zitat von @westberliner:
Hallo Icer,
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
nein. passt so.Hallo Icer,
der SPN bezieht sich aufn Server, auf dem der NDES läuft (VM-CS ist der Hostname).
Habe diesen wie folgt registriert:
setspn -s http/vm-cs.mydomain.local mydomain.local\NDES
setspn -s http/vm-cs MYDOMAIN\NDES
Dein Befehl lautet anders?
Im IIS Applicationpool SCEP ist die Identität:
MYDOMAIN\NDES
Benutzerprofil laden: True
Ist bei mir auch so.MYDOMAIN\NDES
Benutzerprofil laden: True
Im IIS Applicationpool WSEntrollmentServer ist die Identität:
MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
Da bin ich nicht sicher, ob hier auch der NDES-Account stehen müsste. Die Applicationpools habe ich nicht, ich verwende SCEP auch nur mit dem Intune-Konnector.MYDOMAIN\NDES
Im IIS Applicationpool WSEntrollmentPolicyServer ist die Identität
ApplicationPoolIdentity
deine .local Domäne wird es ja hoffentlich nicht sein. Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Sonst fand sich noch Folgendes:
https://social.technet.microsoft.com/wiki/contents/articles/9063.active- ...
Resolution: The administrator who browsed to this page MUST have the following permissions.
If the service configured CA is an Enterprise CA, the requestor must have Enroll permission to all three configured certificate templates. These templates are set through the EncryptionTemplate, SignatureTemplate, and GeneralPurposeTemplate registry keys. For more information about configuring templates, see Configuring Templates for Device Enrollment.
If the service configured CA is a Stand-alone CA, the requestor must be a member of the CA administrators group.Grüße
lcer
@icer:
Verwendest du dein SCEP für z.B. Netzwerkdrucker? Ich konnte gerade am Drucker ein Zertifikat anfordern.
Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
Verwendest du dein SCEP für z.B. Netzwerkdrucker? Ich konnte gerade am Drucker ein Zertifikat anfordern.
Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
Hallo,
grüße
lcer
Zitat von @westberliner:
Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
neues Thema, mach am besten eine neue Frage auf.Allerdings authentifiziert sich der Drucker nicht am NPS. Bin auch unschlüssig, welches Setup ich am Drucker setzen soll. habe hier Canon im Einsatz.
grüße
lcer
1Zitat von @lcer00:
deine .local Domäne wird es ja hoffentlich nicht sein. Hinweise zur Verwendung der Domäne .local in DNS und mDNS
lcer
Zur Beantwortung deiner Frage:
Ja, ist tatsächlich noch eine .local Domain hier, die hab ich vor 7 Jahren übernommen und bisher auch nicht wirklich einen Grund gehabt haben die zu ändern....da ich einen on Prem Exchange habe, ist das auch nicht so einfach alles...
