Folgendes Szenario angenommen:
- Ein NDES Server ist im Netzwerk konfiguriert.
- Der NDES-Server wird unter einem DNS Alias aufgerufen.
- Trotz korrekter Eingabe der Anmeldedaten wird man bei Aufruf der NDES-Administrations-Webseite (certsrv/mscep_admin) immer wieder neu zur Anmeldung aufgefordert.
Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".
Mögliche Ursachen
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Der Fehler tritt auf, da die Authentifizierung fehlschlägt. Mögliche Ursachen können sein:
- Wird für die Adresse der NDES-Anmeldeseite ein CNAME Eintrag als Alias verwendet, schlägt die Authentifizierung fehl, wenn die Anmeldung an der NDES-Administrations-Webseite via Kerberos erfolgt, stimmt die aufgerufene Adresse also nicht mit dem Dienstprinzipalnamen (Service Principal Name, SPN) überein. Die Lösung besteht in diesem Fall darin, anstatt eines CNAME einen A-Record zu verwenden.
- Verwendet der NDES-Server ein Domänenkonto oder einen Group Managed Service Account (gMSA), muss die Kernelmodus-Authentifizierung im IIS abgeschaltet werden, da ansonsten die Service Tickets nicht entschlüsselt werden können.
Weiterführende Links:
- Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 "Unauthorized: Access is denied due to invalid credentials."
- Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren
- Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren
2 Gedanken zu „Bei Aufruf der Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) wird man immer wieder zur Anmeldung aufgefordert.“
Kommentare sind geschlossen.