Ich habe da noch ein paar Fragen...
In KB5005413 gibt es einen Abschnitt, der darauf hinweist, die web.config noch manuell zu editieren: "After enabling EPA in the UI, the Web.config file created by CES role at 'windir\systemdata\CES\_CES_Kerberos\web.config'..."
Ich habe eine Test-Installation, wo nur das 'Certificate Authority Web Enrollment' installiert ist, nicht der 'Certificate Enrollment Web Service'. Eine web.config kann ich bei dieser Installation nirgendwo entdecken.
Ich vermute, dass ein Editieren der web.config nur notwendig ist, wenn 'Certificate Enrollment Web Service' installiert sind - korrekt?
Im 'Certificate Authority Web Enrollment' habe ich nur 'Negotiate: Kerberos' über die GUI (wie auf den Screenshots) gesetzt, da bekomme ich eine Warnung über 'Enable Kernel-mode authentication' in der Extended Protection.
Im Screenshot von MS ist bei der 'Extended Protection' zu sehen, dass MS diese auf 'Required' stellt, aber die haben noch die Checkbox 'Enable Kernel-mode authentication' selektiert. Ist wohl ein 'Bug' auf den Screenshots
und die 'Enable Kernel-mode authentication' gehört vermutlich ausgeschaltet, wenn nur 'Negotiate: Kerberos' gewählt wird - oder?
Zusammenfassend: 'Certificate Authority Web Enrollment' nur auf 'Negotiate: Kerberos' stellen und bei Extended Protection auf 'Required' und die Kernel-mode auth. ausschalten - korrekt?
In KB5005413 gibt es einen Abschnitt, der darauf hinweist, die web.config noch manuell zu editieren: "After enabling EPA in the UI, the Web.config file created by CES role at 'windir\systemdata\CES\_CES_Kerberos\web.config'..."
Ich habe eine Test-Installation, wo nur das 'Certificate Authority Web Enrollment' installiert ist, nicht der 'Certificate Enrollment Web Service'. Eine web.config kann ich bei dieser Installation nirgendwo entdecken.
Ich vermute, dass ein Editieren der web.config nur notwendig ist, wenn 'Certificate Enrollment Web Service' installiert sind - korrekt?
Im 'Certificate Authority Web Enrollment' habe ich nur 'Negotiate: Kerberos' über die GUI (wie auf den Screenshots) gesetzt, da bekomme ich eine Warnung über 'Enable Kernel-mode authentication' in der Extended Protection.
Im Screenshot von MS ist bei der 'Extended Protection' zu sehen, dass MS diese auf 'Required' stellt, aber die haben noch die Checkbox 'Enable Kernel-mode authentication' selektiert. Ist wohl ein 'Bug' auf den Screenshots
und die 'Enable Kernel-mode authentication' gehört vermutlich ausgeschaltet, wenn nur 'Negotiate: Kerberos' gewählt wird - oder?
Zusammenfassend: 'Certificate Authority Web Enrollment' nur auf 'Negotiate: Kerberos' stellen und bei Extended Protection auf 'Required' und die Kernel-mode auth. ausschalten - korrekt?