Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "You do not have sufficient permission to enroll with SCEP. Please contact your system administrator."

Folgendes Szenario angenommen:

  • Ein NDES Server ist im Netzwerk konfiguriert.
  • Bei Aufruf der Administrations-Webseite (certsrv/mscep_admin) kommt folgende Meldung:
You do not have sufficient permission to enroll with SCEP. Please contact your system administrator. 

Der Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) bietet eine Möglichkeit, Geräten, welche nicht über eine Kennung im Active Directory verfügen (beispielsweise Netzwerkgeräte wie Router, Switches, Drucker, Thin Clients oder Smartphones und Tablets), Zertifikate von einer Zertifizierungsstelle zu beantragen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES)".

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Möglichkeit 1: Berechtigungen auf der Gerätevorlage stimmen nicht

Der Benutzer, der sich an der NDES-Administrations-Seite anmeldet, muss auf der konfigurierten Zertifikatvorlage das Enroll-Recht besitzen.

Möglichkeit 2: Falsche Gerätevorlage konfiguriert

Darüber hinaus sollte konfiguriert werden, ob die korrekte Zertifikatvorlage auf dem NDES Server konfiguriert wurde. Die Konfiguration der entsprechenden Zertifikatvorlagen ist in der Registry auf dem NDES Server zu finden unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP 

Zu beachten ist, dass der Name des LDAP-Objektes der Zertifikatvorlage eingetragen wird, also der Name ohne die Leerzeichen.

Möglichkeit 3: Die Gerätevorlage ist nicht auf der Zertifizierungsstelle veröffentlicht

Die Fehlermeldung erscheint auch dann, wenn die konfigurierte Zertifikatvorlage gar nicht auf der entsprechenden Zertifizierungsstelle veröffentlicht ist.

Nach der Veröffentlichung muss der NDES-Dienst neu gestartet werden, damit die Änderungen angewendet werden.

Import-Module -Name WebAdministration
Restart-WebAppPool -Name SCEP
Start-Sleep -Seconds 15
[void](Invoke-WebRequest -Uri "http://localhost/certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACaps")

Möglichkeit 4: Reihenfolge der Handler Mappings stimmt nicht

Sollten die vorigen Methoden noch keinen Erfolg gebracht haben, sollte die Reihenfolge der Handler Mappings kontrolliert werden.

Hierzu navigiert man in der IIS Management Konsole auf die Default Web Site und klickt auf der rechten Seite auf "View Applications".

NDES teilt sich in zwei Anwendungen auf:

  • Die Schnittstelle zur Beantragung der Einmalpasswörter (mscep_admin).
  • Die Schnittstelle zur Beantragung der Zertifikate (mscep).

Die nachfolgenden Schritte müssen nacheinander für beide Anwendungen erfolgen.

Nach Doppelklick auf die Anwendung wird die Option "Handler Mappings" gewählt.

Aur der rechten Seite wird "View Ordered List" ausgewählt.

Der "StaticFile" Handler muss über dem " ExtensionlessUrlHandler-ISAPI-4.0_64bit" angeordnet werden.

Anschließend muss NDES über den iisreset Befehl neu gestartet werden.

Möglichkeit 5: Der Managed Pipeline Modus stimmt nicht

In der Standardeinstellung ist der Managed Pipeline Modus für den "SCEP" Anwendungspool auf "klassisch" eingestellt. Wenn ASP.NET 4.5 (bzw. 4.6, 4.7, 4.8) auf dem Webserver installiert ist (wie es im Fall des Microsoft Intune Connector für NDES der Fall ist), muss der Modus auf "Integrated" konfiguriert werden.

Weiterführende Links:

Externe Quellen

3 Gedanken zu „Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet "You do not have sufficient permission to enroll with SCEP. Please contact your system administrator."“

Kommentare sind geschlossen.

de_DEDeutsch