Folgendes Szenario angenommen:
- Im Netzwerk ist ein Server für die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment, CAWE) installiert.
- Die Rolle ist auf einem separaten Server, nicht auf der Zertifizierungsstelle direkt installiert.
- Ein Benutzer versucht, ein Zertifikat über die Zertifizierungsstellen-Webregistrierung zu beantragen oder eine vorhandene Zertifikatanforderung an die Zertifizierungsstelle zu übermitteln.
- Die Anmeldung des Benutzers an der CAWE schlägt mit HTTP Code 401 "Unauthorized: Access is denied due to invalid credentials." fehl:
You do not have permission to view this directory or page using the credentials that you supplied.
Die Zertifizierungsstellen-Webregistrierung ist eine sehr alte Funktion aus Windows 2000 Zeiten – und wurde zuletzt mit dem Release von Windows Server 2003 angepasst. Entsprechend alt und potentiell unsicher ist der Code. Ebenso unterstützt die Funktion keine Zertifikatvorlagen mit Version 3 oder neuer – damit sind keine Zertifikatvorlagen nutzbar, welche Funktionen verwenden, die mit Windows Vista / Windows Server 2008 oder neuer eingeführt wurden. Es wird empfohlen, die Zertifizierungsstellen-Webregistrierung nicht einzusetzen und stattdessen eine Beantragung der Zertifikate über Bordmittel oder das PSCertificateEnrollment PowerShell Modul vorzunehmen.
Mögliche Ursachen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
- Höchstwahrscheinlich wurden inkorrekte Anmeldedaten eingegeben. Wenn ein Authentifizierungs-Dialog aufkam, obwohl die Windows-Authentisierung aktiviert ist, sollte die Adresse der CAWE in die "Lokales Intranet" Zone im Internet Explorer aufgenommen werden.
- Es ist eine Anmelderestriktion für das anmeldende Benutzerkonto konfiguriert.
Details: Es ist eine Anmelderestriktion für das anmeldende Benutzerkonto konfiguriert
Das Verhalten kann auftreten, wenn im Benutzerkonto des anmeldenden Benutzers eine Anmelderestiktion eingestellt ist, beispielsweise das userWorkstations Attribut.
Microsoft empfiehlt, das Attribut nicht mehr zu verwenden.
Das Attribut kann über die Windows PowerShell mit folgendem Befehl abgefragt werden:
Get-ADUser -Identity {Kontoname} -Properties userWorkstations
Weiterführende Links:
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Group Managed Service Account (gMSA) konfigurieren
- Die Zertifizierungsstellen-Webregistrierung (CAWE) für die Verwendung mit einem Domänenkonto konfigurieren
- Übersicht über die möglichen Delegierungseinstellungen für die Zertifizierungsstellen-Webregistrierung (CAWE)
Externe Quellen
- User-Workstations attribute (Microsoft)