Bonjour,  
 
Je cherche désespérément à faire fonctionner les services d'inscription de certificats sur notre infra.  
Nous utilisons NPS avec MSchapV2, nous devons passer sur l'authentification réseau avec certificats.
 
J'ai pu installer rôle adéquate mais je n'arrive pas à configurer les services.  
 
Lors de la conf,  il nous demande une compte de service pour qu'il puisse communiquer avec la CA mais il me sort à chaque fois la même erreur :
 
"Echec d'ouverture de session : l'utilisateur ne bénéficie pas du type d'ouverture de session demandé sur cet ordinateur."
 
Avez-vous déjà vu ce souci ?  ou avez-vous une procédure détaillé pour le compte nécessaire ?  
Sachant que j'ai suivi la procédure que j'ai trouvé chez Microsoft.
 
Merci d'avance pour votre aide.

Le compte utilisé est-il admin du serveur ?
A t'il le droit d'ouvrir une session en tant que service ou tache ?

Comment et où as-tu configuré ta PKI déjà, parce que ça ne se fait pas n'importe comment...

En fait, il y a deux comptes,  un pour "installer" les services.  Celui-ci est bien admin du serveur.  
 
Et le deuxième est un compte de service,  j'ai suivi cette procédure :
 
https://learn.microsoft.com/en-us/p [...] erviceAcct
 
Pour la partie CA, elle est déjà fonctionnelle. Nous l'utilisons déjà (typiquement, le chiffrement TLS pour le NPS utilise déjà notre CA)

Pk tu veux faire du web service enrollment ?
Si tes PC sont dans le domaine (le cas vu que tu fais du mschapv2 actuellement), suffit de configurer l'autoenrollment de certificat par gpo et configurer les bonnes permissions sur tes templates.
Mais comme le note nebulios ça sent la PKI monté à l'arrache ça en mode next next next finish

Je pense qu'il l'a installé directement sur le NPS en fait...

Donc pour vous, je n'ai pas besoin de ces services ?  
Je vais en effet faire de l'auth NPS  via certificat ordinateur, mais on doit aussi en faire via certificat utilisateur.  

Bon,  
C'est un problème de droit en fait.  
je peux demander un certificat avec un compte avec pouvoir. Mais pas avec un compte utilisateur "standard", ni avec un compte ordinateur.
 
Pourtant,  j'ai bien mis les droits sur le modèle de certificat.

Mais le message est clair : problème de droit sur type d'ouverture de session.
Tu indiques utiliser un "compte de service".
Mais je réitère ma question : A t'il le droit d'ouvrir une session en tant que service ou tache ?

On pense que tu tentes des trucs au pif en espérant que ça finisse par fonctionner.
Sauf qu'un élément aussi sensible niveau secu qu'une PKI, ça ne s'improvise pas. Donc fais appel à un pro.

 
 
Euh, merci mais je suis tech info depuis 15 ans...  
 
Je n'ai pas installé le serveur en question.  Je reprends juste ce qui a été fait.  Et comme tu l'as dit, ça n'a pas forcément été fait dans les règles de l'art, donc j'essaie de remettre cela d'aplomb.  
 
Pour info, cette PKI est utilisé en interne uniquement.  
Notre infra hébergée ne se base pas sur Windows pour ce type de service.
 
Jusqu'à maintenant, on utilisait mschapv2,  mais c'est déprécié, donc je suis en train de mettre en place l'authent par certificat.
Donc pour résumé, pour l'instant, j'ai réussi à chiffrer la dialogue NPS avec un certificat serveur IAS / RAS, délivré par notre CA "interne".
Mais je n'arrive pas à faire fonctionner l'auto enroll sur mes ordinateurs clients.  
 
Il me manque des droits quelques part.  
 
Petite question.  
Sachant qu'actuellement, j'ai sur le même serveur : AD / CA / NPS
Est-ce que je perdrais moins de temps à utiliser une VM Windows "toute neuve" pour installer la CA ? (et éventuellement le NPS, mais ça pas sûr puisqu'il fonctionne parfaitement).
 
 
 
 

Oula, le truc à surtout pas faire (mixer AD/CA/NPS ) ton AD a été bien pourri par tout ça au niveau des permissions.
Et vu que tu peux pas changer le nom du serveur hébergeant la CA ça veut dire refaire une autre CA et correctement décomissionner l'actuelle (mais vu que c'est ton DC ça a forcément impacté la machine)

Je sais bien ...  
Comme je l'ai dit, j'ai récupéré cette config,  je n'en suis pas à l'origine.  
 
Et je chercher justement le meilleur moyen de m'en sortir et de repartir sur des bases propres.  
 
Je vais prendre les choses à l'envers.  
Est-ce que je peux envisager de repartir sur un nouveau serveur AD d'un côté.
Un nouveau serveur pour la CA et le NPS  
Puis décommission de l'ancien AD / CA / NPS pour suppression.
 
Si vous voyez un meilleur moyen de procéder,  je suis preneur  

C'est le mieux mais comme je disais il y aura du nettoyage à faire dans l'AD

pour les comptes qui sont censés être en local ?  
type IIS / etc ... ?

ça + tout ce qui est AIA, CRL and co stockés dans l'AD

Il faut tout decommissioner, tout nettoyer puis tout remonter dans les règles de l'art (une pki, ce n'est pas un seul serveur) : pki, ad, nps. C'est beaucoup de travail.
 
Que tu sois technicien depuis 15 ans ne change rien : si tu n'as pas tiqué immédiatement sur le degré de pourriture de l'existant, tu ne sauras pas remettre ça d'équerre tout seul, et proprement. Ce qui est normal : expérience et expertise ne viennent pas toutes seules.
Et ça risque de te retomber dessus en cas d'incidents.
Donc le mieux est de te faire accompagner, et d'avoir un transfert de compétences au passage.
Ou alors tenter en solo, en t'appuyant sur les précos Microsoft et la doc Technet.
 

 
C'est bien ce que je compte faire.  ça ne fait pas 15 que je suis dans cette boite  
Et je te rassure, j'ai bien vu le niveau de pourriture du truc ^^"  quand j'ai mis les mains dedans, il y a quelques jours.
Mais je gère également de l'apache, du serveur Docker, du serveur linux, du VMware, du Kubernetes, du parefeu, etc...  donc je prend le temps de m'y atteler que maintenant.  
 
Je te rassure, si je vois que je bloque, nous nous ferons assister (ou cela sera l'occasion pour moi de refaire les formations Microsoft,  je n'en ai pas refait depuis Windows Server 2012,  ça ne ferait pas de mal...)
 
merci pour les conseils en tout cas    
 
On va pouvoir repartir sur de bonnes bases.

 
 
Merci !