Поделиться через

Устранение неполадок профилей сертификатов SCEP с помощью Intune

  • Статья

В этих статьях содержатся рекомендации по устранению неполадок и устранению проблем с профилями сертификатов SCEP в Microsoft Intune. Эти понятия рассматриваются в следующих разделах:

  • Архитектура и поток обмена данными процесса SCEP
  • Сужение места, где существует проблема в этом потоке связи
  • Определение ключевых файлов журнала, на которые ссылаются в последующих статьях для устранения неполадок с профилями сертификатов

Сведения, приведенные в этой статье и связанных статьях по устранению неполадок с сертификатами SCEP, относятся к использованию профилей сертификатов SCEP с устройствами Android, iOS/iPad и Windows. В настоящее время аналогичные сведения для macOS недоступны. Сведения об устранении неполадок службы регистрации сетевых устройств (NDES) см. в следующих статьях:

Прежде чем продолжить, убедитесь, что выполнены предварительные требования для использования профилей сертификатов SCEP, включая развертывание корневого сертификата с помощью профиля доверенного сертификата.

Общие сведения о потоке связи SCEP

На следующем рисунке показан базовый обзор процесса связи SCEP в Intune. Каждый шаг содержит ссылку на статью с более предписывающим руководством.

Снимок экрана: поток профиля сертификата SCEP.

  1. Развертывание профиля сертификата SCEP. Intune создает строку запроса, для которой требуется конкретный пользователь, назначение сертификата и тип сертификата.

  2. Связь между устройством и сервером NDES. Устройство использует URI для NDES из профиля для связи с сервером NDES, чтобы создать проблему.

  3. Взаимодействие NDES с модулем политики. NDES перенаправляет запрос в модуль политики соединителя сертификатов Intune на сервере, который проверяет запрос.

  4. NDES в центр сертификации. NDES передает действительные запросы на выдачу сертификата в центр сертификации (ЦС).

  5. Доставка сертификата на устройство. Сертификат доставляется на устройство.

  6. Отчеты о развертывании в Intune. Соединитель сертификатов Intune сообщает о событии выдачи сертификата в Intune.

Файлы журнала

Чтобы выявить проблемы, связанные с рабочим процессом подготовки к обмену данными и сертификатами, просмотрите файлы журналов как из инфраструктуры сервера, так и с устройств. В последующих разделах, посвященных устранению неполадок с профилями сертификатов SCEP, приводятся файлы журналов, на которые ссылается этот раздел.

Журналы устройств зависят от платформы устройства:

Журналы для локальной инфраструктуры

Локальная инфраструктура, поддерживающая использование профилей сертификатов SCEP для развертываний сертификатов, включает соединитель сертификатов Microsoft Intune, NDES, работающий на Windows Server, и центр сертификации.

Файлы журналов для этих ролей включают windows Просмотр событий, консоли сертификатов и различные файлы журналов, относящиеся к соединителю сертификатов Intune, NDES или другим ролям и операциям, которые являются частью локальной инфраструктуры.

В следующем списке содержатся журналы или консоли, на которые ссылаются последующие статьи по устранению неполадок SCEP.

  • NDESConnector_date_time.svclog:

    В этом журнале отображается обмен данными из соединителя сертификатов Microsoft Intune с Intune облачной службой. Для просмотра этого файла журнала можно использовать средство просмотра трассировки служб .

    Связанный раздел реестра: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Расположение: на сервере, на котором размещается NDES по адресу %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • CertificateRegistrationPoint_date_time.svclog:

    В этом журнале отображается модуль политики NDES, получающий и проверяющий запросы сертификатов. Для просмотра этого файла журнала можно использовать средство просмотра трассировки служб .

    Расположение: на сервере, на котором размещается NDES по адресу %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • NDESPlugin.log:

    В этом журнале показана передача запросов сертификатов в точку регистрации сертификатов и итоговая проверка этих запросов.

    Расположение: на сервере, на котором размещается NDES по адресу %program_files%\Microsoft Intune\NDESPolicyModule\logs.

  • Журналы IIS:

    В журналах IIS отображаются запросы сертификатов с мобильных устройств, входящих в NDES.

    Расположение: на сервере, на котором размещается NDES по адресу c:\inetpub\logs\LogFiles\W3SVC1

  • Журнал приложений Windows:

    Этот журнал полезен при изучении проблем IIS, таких как пул приложений SCEP.

    Расположение: на сервере, на котором размещается NDES: Запустите eventvwr.msc, чтобы открыть Windows Просмотр событий

Журналы для устройств Android

Для устройств под управлением Android используйте файл журнала приложений Корпоративный портал AndroidOMADM.log. Перед сбором и просмотром журналов убедитесь, что включено подробное ведение журнала , а затем воспроизведите проблему.

Сведения о сборе журналов OMADM.log с устройства см. в статье Отправка журналов и отправка по электронной почте с помощью USB-кабеля.

Вы также можете отправлять журналы и отправлять по электронной почте для поддержки .

Журналы для устройств iOS и iPadOS

Для устройств под управлением iOS/iPadOS используйте журналы отладки и Xcode , выполняемые на компьютере Mac:

  1. Подключите устройство iOS/iPadOS к Mac, а затем перейдите в разделСлужебные программыприложений>, чтобы открыть консольное приложение.

  2. В разделе Действие выберите Включить информационные сообщения и Включить сообщения отладки.

    Снимок экрана: выбраны параметры Включить информационные сообщения и Включить сообщения отладки.

  3. Воспроизведите проблему, а затем сохраните журналы в текстовый файл:

    1. Выберите Изменить>Выберите все , чтобы выбрать все сообщения на текущем экране, а затем нажмите кнопку Изменить>копировать , чтобы скопировать сообщения в буфер обмена.
    2. Откройте приложение TextEdit, вставьте скопированные журналы в новый текстовый файл и сохраните файл.

Журнал Корпоративный портал для устройств iOS и iPadOS не содержит сведений о профилях сертификатов SCEP.

Журналы для устройств Windows

Для устройств под управлением Windows используйте журналы событий Windows для диагностики проблем с регистрацией или управлением устройствами для устройств, которыми вы управляете с помощью Intune.

На устройстве откройте Просмотр событий>Приложения и журналы> службMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Снимок экрана: журналы событий Windows в Просмотр событий.

Дальнейшие действия

Устранение неполадок с развертыванием профиля сертификата SCEP на устройствах в Microsoft Intune