Устранение неполадок связи между устройствами и серверами NDES для профилей сертификатов SCEP в Microsoft Intune
Используйте следующие сведения, чтобы определить, может ли устройство, получивщее и обработающее профиль сертификата Intune scEP, обратиться в службу регистрации сетевых устройств (NDES) для вызова. На устройстве создается закрытый ключ, а запрос на подпись сертификата (CSR) и запрос передаются с устройства на сервер NDES. Чтобы связаться с сервером NDES, устройство использует URI из профиля сертификата SCEP.
В этой статье приведены ссылки на шаг 2 из обзора потока связи SCEP.
Просмотр журналов IIS для подключения с устройства
Файлы журналов служб IIS содержат одинаковые типы записей для всех платформ.
На сервере NDES откройте последний файл журнала IIS, который находится в следующей папке: %SystemDrive%\inetpub\logs\logfiles\w3svc1
Выполните поиск в журнале записей, аналогичных приведенным ниже примерам. Оба примера содержат состояние 200, которое отображается ближе к концу:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.
And
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0
Когда устройство обращается к СЛУЖБАм IIS, регистрируется HTTP-запрос GET для mscep.dll.
Просмотрите код состояния в конце этого запроса:
Код состояния 200: это состояние указывает, что соединение с сервером NDES прошло успешно.
Код состояния 500. В группе IIS_IUSRS могут отсутствию правильных разрешений. См . раздел Устранение неполадок с кодом состояния 500 далее в этой статье.
Если код состояния не является 200 или 500:
Сведения о проверке конфигурации см. в статье Тестирование и устранение неполадок URL-адреса сервера SCEP далее в этой статье.
Сведения о менее распространенных кодах ошибок см. в статье Код состояния HTTP в IIS 7 и более поздних версиях .
Если запрос на подключение не зарегистрирован вообще, контакт с устройства может быть заблокирован в сети между устройством и сервером NDES.
Проверка журналов устройств на наличие подключений к NDES
устройства Android,
Просмотрите журнал OMADM устройств. Найдите записи, похожие на следующие примеры, которые регистрируются при подключении устройства к NDES:
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000 VERB Event org.jscep.message.PkiMessageEncoder 18327 10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000 VERB Event org.jscep.message.PkiMessageEncoder 18327 10 Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Sending org.<server>.cms.CMSSignedData@ad57775
Ключевые записи включают следующие примеры текстовых строк:
- Есть 1 запрос
- Получено "200 OK" при отправке GetCACaps(ca) в
https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
- Подписывание pkiMessage с помощью ключа, принадлежащего [dn=CN=<username>; serial=1]
Подключение также регистрируется службами IIS в папке %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ сервера NDES. Ниже приведен пример:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 -
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 -
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421
Устройства iOS и iPadOS
Просмотрите журнал отладки устройств. Найдите записи, похожие на следующие примеры, которые регистрируются при подключении устройства к NDES:
debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
default 18:30:55.483977 -0500 profiled Attempting to retrieve issued certificate...\
debug 18:30:55.487798 -0500 profiled Sending CSR via GET.\
debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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
Ключевые записи включают следующие примеры текстовых строк:
- operation=GetCACert
- Попытка получить выданный сертификат
- Отправка CSR через GET
- operation=PKIOperation
Устройства с Windows
На устройстве с Windows, которое устанавливает подключение к NDES, можно просмотреть устройства Windows Просмотр событий и найти признаки успешного подключения. Connections регистрируются как событие с идентификатором 36 в журнале deviceManagement-Enterprise-Diagnostics-Provide>Администратор.
Чтобы открыть журнал, выполните следующие действия:
На устройстве запустите eventvwr.msc, чтобы открыть windows Просмотр событий.
Разверните узел Журналы> приложений и службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Администратор.
Найдите событие 36, похожее на следующий пример, с ключевой строкой SCEP: запрос сертификата создан успешно:
Event ID: 36 Task Category: None Level: Information Keywords: User: <UserSid> Computer: <Computer Name> Description: SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
Устранение неполадок с кодом состояния 500
Connections, аналогичные приведенному ниже, с кодом состояния 500 указывают, что право пользователя "Олицетворить клиент после проверки подлинности" не назначено группе IIS_IUSRS на сервере NDES. В конце отображается значение состояния 500 :
2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31
Чтобы устранить эту проблему, выполните следующие действия.
- На сервере NDES запустите secpol.msc , чтобы открыть локальную политику безопасности.
- Разверните узел Локальные политики, а затем выберите Назначение прав пользователя.
- Дважды щелкните Олицетворение клиента после проверки подлинности в области справа.
- Выберите Добавить пользователя или группу..., введите IIS_IUSRS в поле Введите имена объектов для выбора, а затем нажмите кнопку ОК.
- Нажмите ОК.
- Перезагрузите компьютер и повторите попытку подключения с устройства.
Тестирование и устранение неполадок URL-адреса сервера SCEP
Выполните следующие действия, чтобы проверить URL-адрес, указанный в профиле сертификата SCEP.
В Intune измените профиль сертификата SCEP и скопируйте URL-адрес сервера. URL-адрес должен выглядеть так:
https://contoso.com/certsrv/mscep/mscep.dll
.Откройте веб-браузер и перейдите по URL-адресу сервера SCEP. Результат должен быть следующим: HTTP Error 403.0 — Запрещено. Этот результат указывает, что URL-адрес работает правильно.
Если вы не получили эту ошибку, выберите ссылку, похожую на ошибку, чтобы просмотреть руководство по конкретной проблеме:
- Я получаю общее сообщение службы регистрации сетевых устройств
- Я получаю сообщение об ошибке HTTP 503. Служба недоступна"
- Я получаю ошибку GatewayTimeout
- Я получаю сообщение "HTTP 414 Request-URI Too Long"
- Я получаю сообщение "Эта страница не может быть отображена"
- Я получаю сообщение "500 — внутренняя ошибка сервера"
Общее сообщение NDES
При переходе по URL-адресу сервера SCEP появляется следующее сообщение службы регистрации сетевых устройств:
Причина. Эта проблема обычно связана с установкой соединителя Microsoft Intune.
Mscep.dll — это расширение ISAPI, которое перехватывает входящий запрос и отображает ошибку HTTP 403, если он установлен правильно.
Решение. Проверьте файл SetupMsi.log, чтобы определить, успешно ли установлен соединитель Microsoft Intune. В следующем примере установка завершена успешно , а состояние успешной установки или ошибки: 0 указывает на успешную установку:
MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully. MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
В случае сбоя установки удалите соединитель Microsoft Intune, а затем переустановите его. Если установка прошла успешно и вы по-прежнему получаете сообщение General NDES, выполните команду iisreset , чтобы перезапустить СЛУЖБЫ IIS.
Ошибка HTTP 503
При переходе по URL-адресу сервера SCEP появляется следующее сообщение об ошибке:
Эта проблема обычно связана с тем, что пул приложений SCEP в IIS не запущен. На сервере NDES откройте диспетчер IIS и перейдите в раздел Пулы приложений. Найдите пул приложений SCEP и убедитесь, что он запущен.
Если пул приложений SCEP не запущен, проверка журнал событий приложения на сервере:
На устройстве запустите eventvwr.msc, чтобы открыть Просмотр событий и перейти кприложениюжурналов> Windows.
Найдите событие, похожее на следующий пример. Это означает, что пул приложений завершает работу при получении запроса:
Log Name: Application Source: Application Error Event ID: 1000 Task Category: Application Crashing Events Level: Error Keywords: Classic Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96 Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db Exception code: 0xc0000005
Распространенные причины сбоя пула приложений
Причина 1. В хранилище сертификатов доверенных корневых центров сертификации сервера NDES есть промежуточные сертификаты ЦС (не самозаверяющий сертификат).
Решение. Удалите промежуточные сертификаты из хранилища сертификатов доверенных корневых центров сертификации, а затем перезапустите сервер NDES.
Чтобы определить все промежуточные сертификаты в хранилище сертификатов доверенных корневых центров сертификации, выполните следующий командлет PowerShell:
Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}
Сертификат с одинаковыми значениями Выдано и Выдано по значениям , является корневым сертификатом. В противном случае это промежуточный сертификат.
После удаления сертификатов и перезапуска сервера снова запустите командлет PowerShell, чтобы убедиться, что промежуточных сертификатов нет. Если они есть, проверка, отправляет ли групповая политика промежуточные сертификаты на сервер NDES. В этом случае исключите сервер NDES из групповая политика и удалите промежуточные сертификаты еще раз.
Причина 2. URL-адреса в списке отзыва сертификатов блокируются или недоступны для сертификатов, используемых соединителем сертификатов Intune.
Решение. Включите дополнительное ведение журнала для сбора дополнительных сведений:
- Откройте Просмотр событий, выберите Вид, убедитесь, что установлен флажок Показать журналы аналитики и отладки.
- Перейдите в раздел Журналы >приложений и службMicrosoft>Windows>CAPI2> Operational, щелкните правой кнопкой мыши Пункт Операционный, а затем выберите Включить журнал.
- После включения ведения журнала CAPI2 воспроизведите проблему и просмотрите журнал событий, чтобы устранить проблему.
Причина 3. Разрешение IIS для CertificateRegistrationSvc включает проверку подлинности Windows .
Решение. Включите анонимную проверку подлинности и отключите проверку подлинности Windows, а затем перезапустите сервер NDES.
Причина 4. Срок действия сертификата модуля NDESPolicy истек.
В журнале CAPI2 (см. решение причины 2) будут отображаться ошибки, связанные с сертификатом, на который ссылается ссылка, за
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint
пределами срока действия сертификата.Решение. Обновите сертификат и переустановите соединитель.
Используйте
certlm.msc
, чтобы открыть хранилище сертификатов локального компьютера, разверните узел Личный, а затем выберите Сертификаты.В списке сертификатов найдите сертификат с истекшим сроком действия, удовлетворяющий следующим условиям:
- Значение "Предполагаемые цели" — проверка подлинности клиента.
- Значение "Выдано" или "Общее имя " соответствует имени сервера NDES.
Примечание.
Требуется расширенное использование ключа проверки подлинности клиента (EKU). Без этого EKU CertificateRegistrationSvc вернет ответ HTTP 403 на запросы NDESPlugin. Этот ответ будет зарегистрирован в журналах IIS.
Дважды щелкните сертификат. В диалоговом окне Сертификат перейдите на вкладку Сведения , найдите поле Отпечаток и убедитесь, что значение соответствует значению подраздела
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint
реестра.Нажмите кнопку ОК , чтобы закрыть диалоговое окно Сертификат .
Щелкните сертификат правой кнопкой мыши, выберите Все задачи, а затем — Запросить сертификат с новым ключом или Продлить сертификат с новым ключом.
На странице Регистрация сертификата нажмите кнопку Далее, выберите правильный шаблон SSL, а затем выберите Дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.
В диалоговом окне Свойства сертификата выберите вкладку Тема и выполните следующие действия.
- В разделе Имя субъекта в раскрывающемся списке Тип выберите Общее имя. В поле Значение введите полное доменное имя (FQDN) сервера NDES. Затем нажмите Добавить.
- В разделе Альтернативное имя в раскрывающемся списке Тип выберите DNS. В поле Значение введите полное доменное имя сервера NDES. Затем нажмите Добавить.
- Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства сертификата .
Выберите Зарегистрировать, подождите, пока регистрация успешно завершится, а затем нажмите кнопку Готово.
Переустановите соединитель сертификатов Intune, чтобы связать его с только что созданным сертификатом. Дополнительные сведения см. в статье Установка соединителя сертификатов для Microsoft Intune.
После закрытия пользовательского интерфейса соединителя сертификатов перезапустите службу соединителя Intune и службу публикации в Интернете.
GatewayTimeout
При переходе по URL-адресу сервера SCEP появляется следующее сообщение об ошибке:
Причина. Служба соединителя прокси приложения Microsoft Entra не запущена.
Решение. Запустите services.msc, а затем убедитесь, что служба соединителя прокси-сервера приложения Microsoft Entra запущена, а для параметра Тип запуска задано значение Автоматически.
Слишком длинный URI запроса HTTP 414
При переходе по URL-адресу сервера SCEP появляется следующее сообщение об ошибке: HTTP 414 Request-URI Too Long
Причина. Фильтрация запросов IIS не настроена для поддержки длинных URL-адресов (запросов), получаемых службой NDES. Эта поддержка настраивается при настройке службы NDES для использования с инфраструктурой для SCEP.
Решение. Настройте поддержку длинных URL-адресов.
На сервере NDES откройте диспетчер IIS и выберите Параметрфильтрафильтра>веб-сайта> по умолчанию, чтобы открыть страницу Изменение параметров фильтрации запросов.
Настройте указанные ниже параметры.
- Максимальная длина URL-адреса (байт) = 65534
- Максимальная строка запроса (байт) = 65534
Нажмите кнопку ОК , чтобы сохранить эту конфигурацию и закрыть диспетчер IIS.
Проверьте эту конфигурацию, найдя следующий раздел реестра, чтобы убедиться, что он содержит указанные значения:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Следующие значения задаются как записи DWORD:
- Имя: MaxFieldLength с десятичным значением 65534
- Имя: MaxRequestBytes с десятичным значением 65534
Перезапустите сервер NDES.
Не удается отобразить эту страницу
У вас настроен Microsoft Entra прокси приложения. При переходе по URL-адресу сервера SCEP появляется следующее сообщение об ошибке:
This page can't be displayed
Причина. Эта проблема возникает, если внешний URL-адрес SCEP неверен в конфигурации Application Proxy. Примером этого URL-адреса является
https://contoso.com/certsrv/mscep/mscep.dll
.Решение. Используйте домен по умолчанию yourtenant.msappproxy.net для внешнего URL-адреса SCEP в конфигурации Application Proxy.
500 — внутренняя ошибка сервера
При переходе по URL-адресу сервера SCEP появляется следующее сообщение об ошибке:
Причина 1. Учетная запись службы NDES заблокирована или срок действия пароля истек.
Решение. Разблокируйте учетную запись или сбросьте пароль.
Причина 2. Срок действия сертификатов MSCEP-RA истек.
Решение. Если срок действия сертификатов MSCEP-RA истек, переустановите роль NDES или запросите новые сертификаты шифрования CEP и агента регистрации Exchange (автономный запрос).
Чтобы запросить новые сертификаты, выполните следующие действия.
В центре сертификации (ЦС) или выдающем ЦС откройте MMC Шаблоны сертификатов. Убедитесь, что вошедший в систему пользователь и сервер NDES имеют разрешения на чтение и регистрацию для шаблонов сертификатов шифрования CEP и агента регистрации Exchange (автономный запрос).
Проверьте срок действия сертификатов на сервере NDES и скопируйте из сертификата сведения о субъекте .
Откройте учетную запись MMC сертификатов для компьютера.
Разверните узел Личный, щелкните правой кнопкой мыши Сертификаты, а затем выберите Все задачи>Запрашивать новый сертификат.
На странице Запрос сертификата выберите Шифрование CEP, а затем выберите Дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.
В разделе Свойства сертификата перейдите на вкладку Тема , введите в поле Имя субъекта сведения, собранные на шаге 2, нажмите кнопку Добавить, а затем нажмите кнопку ОК.
Завершите регистрацию сертификата.
Откройте MMC Сертификатов для моей учетной записи пользователя.
При регистрации для сертификата агента регистрации Exchange (автономный запрос) это необходимо сделать в контексте пользователя. Так как для типа субъекта этого шаблона сертификата задано значение User.
Разверните узел Личный, щелкните правой кнопкой мыши Сертификаты, а затем выберите Все задачи>Запрашивать новый сертификат.
На странице Запрос сертификата выберите Агент регистрации Exchange (автономный запрос), а затем выберите Дополнительные сведения, необходимые для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.
В разделе Свойства сертификата перейдите на вкладку Тема , введите в поле Имя субъекта сведения, собранные на шаге 2, а затем нажмите кнопку Добавить.
Перейдите на вкладку Закрытый ключ , выберите Сделать закрытый ключ экспортируемым, а затем нажмите кнопку ОК.
Завершите регистрацию сертификата.
Экспортируйте сертификат агента регистрации Exchange (автономный запрос) из текущего хранилища сертификатов пользователя. В мастере экспорта сертификатов выберите Да, экспортируйте закрытый ключ.
Импортируйте сертификат в хранилище сертификатов локального компьютера.
В MMC сертификатов выполните следующие действия для каждого из новых сертификатов:
Щелкните сертификат правой кнопкой мыши, выберите Все задачи>Управление закрытыми ключами, добавьте разрешение на чтение в учетную запись службы NDES.
Выполните команду iisreset, чтобы перезапустить СЛУЖБЫ IIS.
Дальнейшие действия
Если устройство успешно достигает сервера NDES для представления запроса на сертификат, следующим шагом является проверка модуля политики соединителей сертификатов Intune.