Lors de l'appel de la page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin), on est toujours invité à se connecter.

Supposons le scénario suivant :

• Un serveur NDES est configuré sur le réseau.
• Le serveur NDES est appelé sous un alias DNS.
• Malgré la saisie correcte des données de connexion, on est toujours invité à se connecter à nouveau lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin).

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

L'erreur se produit parce que l'authentification échoue. Les causes possibles peuvent être

• Si une entrée CNAME est utilisée comme alias pour l'adresse de la page de connexion NDES, l'authentification échoue lorsque la connexion à la page web d'administration NDES s'effectue via Kerberos, c'est-à-dire que l'adresse appelée ne correspond pas au nom principal du service (Service Principal Name, SPN). Dans ce cas, la solution consiste à utiliser un enregistrement A au lieu d'un CNAME.
• Si le serveur NDES utilise un Compte de domaine ou un Compte de service gMSA (Group Managed Service Account)L'authentification en mode noyau doit être désactivée dans IIS, sinon les tickets de service ne peuvent pas être décryptés.

Liens complémentaires :

• La connexion à la page web d'administration pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".
• Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de domaine
• Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account)