Problembehandlung von Geräten zur NDES-Serverkommunikation für SCEP-Zertifikatprofile in Microsoft Intune

Verwenden Sie die folgenden Informationen, um zu ermitteln, ob ein Gerät, das ein ScEP-Zertifikatprofil (Simple Certificate Enrollment Protocol) empfangen und verarbeitet hat, erfolgreich an den Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES) wenden kann, um eine Herausforderung darzustellen. Auf dem Gerät wird ein privater Schlüssel generiert, und die Zertifikatsignaturanforderung (CSR) und die Abfrage werden vom Gerät an den NDES-Server übergeben. Um den NDES-Server zu kontaktieren, verwendet das Gerät den URI aus dem SCEP-Zertifikatprofil.

Dieser Artikel verweist auf Schritt 2 der ScEP-Kommunikationsflussübersicht.

Überprüfen von IIS-Protokollen für eine Verbindung vom Gerät

Internetinformationsdienste (IIS)-Protokolldateien enthalten denselben Typ von Einträgen für alle Plattformen.

1. Öffnen Sie auf dem NDES-Server die neueste IIS-Protokolldatei im folgenden Ordner: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Durchsuchen Sie das Protokoll nach Einträgen, die den folgenden Beispielen ähneln. Beide Beispiele enthalten einen Status 200, der nahe am Ende angezeigt wird:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   Und

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. Wenn das Gerät IIS kontaktiert, wird eine HTTP GET-Anforderung für mscep.dll protokolliert.

   Überprüfen Sie den Statuscode am Ende dieser Anforderung:

   • Statuscode von 200: Dieser Status gibt an, dass die Verbindung mit dem NDES-Server erfolgreich ist.

   • Statuscode von 500: Die IIS_IUSRS Gruppe besitzt möglicherweise keine korrekten Berechtigungen. Weitere Informationen finden Sie unter Problembehandlung von Statuscode 500 weiter unten in diesem Artikel.

   • Wenn der Statuscode nicht 200 oder 500 ist:

     • Weitere Informationen zur Überprüfung der Konfiguration finden Sie unter "Testen und Problembehandlung der SCEP-Server-URL " weiter unten in diesem Artikel.

     • Informationen zu weniger häufig verwendeten Fehlercodes finden Sie im HTTP-Statuscode in IIS 7 und höheren Versionen .

   Wenn die Verbindungsanforderung überhaupt nicht protokolliert wird, wird der Kontakt vom Gerät möglicherweise im Netzwerk zwischen dem Gerät und dem NDES-Server blockiert.

Überprüfen von Geräteprotokollen für Verbindungen mit NDES

Android-Geräte

Überprüfen Sie das OMADM-Protokoll der Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät eine Verbindung mit NDES herstellt:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Schlüsseleinträge enthalten die folgenden Beispieltextzeichenfolgen:

• Es gibt 1 Anforderungen
• Empfangen von "200 OK" beim Senden von GetCACaps(ca) an https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Signieren von pkiMessage mithilfe des Schlüssels, der [dn=CN=<benutzername>; serial=1] gehört

Die Verbindung wird auch von IIS im Ordner %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ des NDES-Servers protokolliert. Unten ist ein Beispiel aufgeführt:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS/iPadOS-Geräte

Überprüfen Sie das Debugprotokoll für Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät eine Verbindung mit NDES herstellt:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Schlüsseleinträge enthalten die folgenden Beispieltextzeichenfolgen:

• operation=GetCACert
• Versuch, ausgestelltes Zertifikat abzurufen
• Senden von CSR über GET
• operation=PKIOperation

Windows-Geräte

Auf einem Windows-Gerät, das eine Verbindung mit NDES hergestellt, können Sie die Geräte von Windows Ereignisanzeige anzeigen und nach Hinweisen auf eine erfolgreiche Verbindung suchen. Verbindungen werden als Ereignis-ID 36 im Geräteprotokoll DeviceManagement-Enterprise-Diagnostics-Provide>Admin protokolliert.

So öffnen Sie das Protokoll:

1. Führen Sie auf dem Gerät eventvwr.msc aus, um Windows Ereignisanzeige zu öffnen.

2. Erweitern Sie Anwendungen und Dienste protokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

3. Suchen Sie nach Ereignis 36, das dem folgenden Beispiel ähnelt, mit der Schlüsselzeile von SCEP: Zertifikatanforderung erfolgreich generiert:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Problembehandlung beim Statuscode 500

Verbindungen, die dem folgenden Beispiel ähneln, mit einem Statuscode von 500, geben an, dass der Identität eines Clients nach dem Authentifizierungsbenutzerrecht nicht der gruppe IIS_IUSRS auf dem NDES-Server zugewiesen ist. Der Statuswert 500 wird am Ende angezeigt:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

1. Führen Sie auf dem NDES-Server secpol.msc aus, um die lokale Sicherheitsrichtlinie zu öffnen.
2. Erweitern Sie lokale Richtlinien, und wählen Sie dann die Benutzerrechtezuweisung aus.
3. Doppelklicken Sie im rechten Bereich auf den Identitätswechsel eines Clients nach der Authentifizierung .
4. Wählen Sie "Benutzer oder Gruppe hinzufügen" aus, geben Sie IIS_IUSRS in das Feld "Objektnamen eingeben" ein, und wählen Sie dann "OK" aus.
5. Klicken Sie auf OK.
6. Starten Sie den Computer neu, und versuchen Sie es dann erneut mit der Verbindung vom Gerät.

Testen und Behandeln von Problemen mit der SCEP-Server-URL

Führen Sie die folgenden Schritte aus, um die URL zu testen, die im SCEP-Zertifikatprofil angegeben ist.

1. Bearbeiten Sie in Intune Ihr SCEP-Zertifikatprofil, und kopieren Sie die Server-URL. Die URL sollte ähnlich aussehen https://contoso.com/certsrv/mscep/mscep.dll.

2. Öffnen Sie einen Webbrowser, und navigieren Sie dann zu dieser SCEP-Server-URL. Das Ergebnis sollte sein: HTTP-Fehler 403.0 – Verboten. Dieses Ergebnis gibt an, dass die URL ordnungsgemäß funktioniert.

   Wenn Sie diesen Fehler nicht erhalten, wählen Sie den Link aus, der dem Fehler ähnelt, der angezeigt wird, um problemspezifische Anleitungen anzuzeigen:

   • Ich erhalte eine allgemeine Nachricht über den Netzwerkgeräteregistrierungsdienst
   • Ich erhalte "HTTP-Fehler 503. Der Dienst ist nicht verfügbar"
   • Ich erhalte den Fehler "GatewayTimeout"
   • Ich erhalte "HTTP 414 Request-URI Too Long"
   • Ich erhalte "Diese Seite kann nicht angezeigt werden"
   • Ich erhalte "500 - Interner Serverfehler"

Allgemeine NDES-Nachricht

Wenn Sie zur SCEP-Server-URL navigieren, erhalten Sie die folgende Meldung des Netzwerkgeräteregistrierungsdiensts:

• Ursache: Dieses Problem ist in der Regel ein Problem mit der Microsoft Intune Connector-Installation.

  Mscep.dll ist eine ISAPI-Erweiterung, die eingehende Anforderung abfangen und den HTTP 403-Fehler anzeigt, wenn sie ordnungsgemäß installiert ist.

  Lösung: Überprüfen Sie die SetupMsi.log Datei, um zu ermitteln, ob Microsoft Intune Connector erfolgreich installiert wurde. Im folgenden Beispiel wurde die Installation erfolgreich abgeschlossen, und der Installationserfolg oder Fehlerstatus: 0 gibt eine erfolgreiche Installation an:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Wenn die Installation fehlschlägt, entfernen Sie den Microsoft Intune Connector, und installieren Sie ihn dann erneut. Wenn die Installation erfolgreich war und Sie die Allgemeine NDES-Nachricht weiterhin erhalten, führen Sie den Iisreset-Befehl aus, um IIS neu zu starten.

HTTP-Fehler 503

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

Dieses Problem liegt in der Regel daran, dass der SCEP-Anwendungspool in IIS nicht gestartet wird. Öffnen Sie auf dem NDES-Server den IIS-Manager , und wechseln Sie zu Anwendungspools. Suchen Sie den SCEP-Anwendungspool , und bestätigen Sie, dass er gestartet wurde.

Wenn der SCEP-Anwendungspool nicht gestartet wird, überprüfen Sie das Anwendungsereignisprotokoll auf dem Server:

1. Führen Sie auf dem Gerät eventvwr.msc aus, um Ereignisanzeige zu öffnen und zur Windows-Protokollanwendung> zu wechseln.

2. Suchen Sie nach einem Ereignis, das dem folgenden Beispiel ähnelt, was bedeutet, dass der Anwendungspool abstürzt, wenn eine Anforderung empfangen wird:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Häufige Ursachen für einen Absturz eines Anwendungspools

• Ursache 1: Es gibt Zwischenzertifizierungsstellenzertifikate (nicht selbstsigniert) im Zertifikatspeicher der VERTRAUENSWÜRDIGen Stammzertifizierungsstellen des NDES-Servers.

  Lösung: Entfernen Sie Zwischenzertifikate aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen, und starten Sie dann den NDES-Server neu.

  Führen Sie das folgende PowerShell-Cmdlet aus, um alle Zwischenzertifikate im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Ein Zertifikat, das dasselbe von Werten ausgestellt und ausgestellt hat, ist ein Stammzertifikat. Andernfalls handelt es sich um ein Zwischenzertifikat.

  Nachdem Sie Zertifikate entfernt und den Server neu gestartet haben, führen Sie das PowerShell-Cmdlet erneut aus, um zu bestätigen, dass keine Zwischenzertifikate vorhanden sind. Wenn vorhanden, überprüfen Sie, ob eine Gruppenrichtlinie die Zwischenzertifikate an den NDES-Server überträgt. Wenn ja, schließen Sie den NDES-Server aus der Gruppenrichtlinie aus, und entfernen Sie die Zwischenzertifikate erneut.

• Ursache 2: Die URLs in der Zertifikatsperrliste (Certificate Revocation List, CRL) sind für die Zertifikate blockiert oder nicht erreichbar, die vom Intune-Zertifikatconnector verwendet werden.

  Lösung: Aktivieren Sie zusätzliche Protokollierung, um weitere Informationen zu sammeln:

  1. Öffnen Sie Ereignisanzeige, wählen Sie "Ansicht" aus, stellen Sie sicher, dass die Option "Analyse- und Debugprotokolle anzeigen" aktiviert ist.
  2. Wechseln Sie zu Anwendungs- und Dienstprotokollen>Microsoft>Windows>CAPI2>Betriebsbereit, klicken Sie mit der rechten Maustaste auf "Betriebsbereit", und wählen Sie dann "Protokoll aktivieren" aus.
  3. Nachdem die CAPI2-Protokollierung aktiviert wurde, reproduzieren Sie das Problem, und überprüfen Sie das Ereignisprotokoll, um das Problem zu beheben.

• Ursache 3: Die IIS-Berechtigung für "CertificateRegistrationSvc " ist für die Windows-Authentifizierung aktiviert.

  Lösung: Aktivieren Sie die anonyme Authentifizierung, und deaktivieren Sie die Windows-Authentifizierung, und starten Sie dann den NDES-Server neu.

  

• Ursache 4: Das NDESPolicy-Modulzertifikat ist abgelaufen.

  Das CAPI2-Protokoll (siehe Ursache 2's Lösung) zeigt Fehler im Zusammenhang mit dem Zertifikat an, auf das verwiesen wird, indem HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint er sich außerhalb des Gültigkeitszeitraums des Zertifikats befindet.

  Lösung: Erneuern Sie das Zertifikat, und installieren Sie den Connector erneut.

  1. Dient certlm.msc zum Öffnen des zertifikatspeichers des lokalen Computers, erweitern Sie "Persönlich", und wählen Sie dann "Zertifikate" aus.

  2. Suchen Sie in der Liste der Zertifikate ein abgelaufenes Zertifikat, das die folgenden Bedingungen erfüllt:

     • Der Wert der beabsichtigten Zwecke ist die Clientauthentifizierung.
     • Der Wert von "Ausgestellt an" oder "Allgemeiner Name" entspricht dem NDES-Servernamen.

     Notiz

     Die Erweiterte Schlüsselverwendung (Extended Key Usage, EKU) der Clientauthentifizierung ist erforderlich. Ohne diese EKU gibt CertificateRegistrationSvc eine HTTP 403-Antwort auf NDESPlugin-Anforderungen zurück. Diese Antwort wird in den IIS-Protokollen protokolliert.

  3. Doppelklicken Sie auf das Zertifikat. Wählen Sie im Dialogfeld "Zertifikat " die Registerkarte "Details " aus, suchen Sie das Feld "Fingerabdruck" , und überprüfen Sie dann, ob der Wert dem Wert des HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint Registrierungsunterschlüssels entspricht.

  4. Wählen Sie 'OK' aus, um das Dialogfeld "Zertifikat " zu schließen.

  5. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben" aus, und wählen Sie dann "Zertifikat mit neuem Schlüssel anfordern" oder "Zertifikat mit neuem Schlüssel verlängern" aus.

  6. Wählen Sie auf der Seite "Zertifikatregistrierung " die Option "Weiter" aus, wählen Sie die richtige SSL-Vorlage aus, und wählen Sie dann "Weitere Informationen" aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

  7. Wählen Sie im Dialogfeld "Zertifikateigenschaften " die Registerkarte "Betreff " aus, und führen Sie dann die folgenden Schritte aus:

     1. Wählen Sie unter "Antragstellername" im Dropdownfeld "Typ" die Option "Allgemeiner Name" aus. Geben Sie im Feld "Wert " den vollqualifizierten Domänennamen (FQDN) des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
     2. Wählen Sie unter "Alternativer Name" im Dropdownfeld "Typ" DNS aus. Geben Sie im Feld "Wert " den FQDN des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
     3. Wählen Sie 'OK ' aus, um das Dialogfeld 'Zertifikateigenschaften ' zu schließen.

  8. Wählen Sie "Registrieren" aus, warten Sie, bis die Registrierung erfolgreich abgeschlossen ist, und wählen Sie dann "Fertig stellen" aus.

  9. Installieren Sie den Intune-Zertifikatconnector erneut, um ihn mit dem neu erstellten Zertifikat zu verknüpfen. Weitere Informationen finden Sie unter Installieren des Zertifikats-Connectors für Microsoft Intune.

  10. Nachdem Sie die Benutzeroberfläche des Zertifikatkonnektors geschlossen haben, starten Sie den Intune-Connectordienst und den World Wide Web Publishing-Dienst neu.

GatewayTimeout

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

• Ursache: Der Microsoft Entra-Anwendungsproxy-Connectordienst wird nicht gestartet.

  Lösung: Führen Sie services.msc aus, und stellen Sie dann sicher, dass der Microsoft Entra-Anwendungsproxy-Connectordienst ausgeführt wird und der Starttyp auf "Automatisch" festgelegt ist.

HTTP 414 Request-URI zu lang

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt: HTTP 414 Request-URI Too Long

• Ursache: Die IIS-Anforderungsfilterung ist nicht so konfiguriert, dass die langen URLs (Abfragen) unterstützt werden, die der NDES-Dienst empfängt. Diese Unterstützung wird konfiguriert, wenn Sie den NDES-Dienst für die Verwendung mit Ihrer Infrastruktur für SCEP konfigurieren.

• Lösung: Konfigurieren der Unterstützung für lange URLs.

  1. Öffnen Sie auf dem NDES-Server den IIS-Manager, und wählen Sie die Einstellung "Featureeinstellung für die Filterung der Standardwebsiteanforderungsfilterung>>" aus, um die Seite "Einstellungen für die Filterung von Anforderungen bearbeiten" zu öffnen.

  2. Konfigurieren Sie die folgenden Einstellungen:

     • Maximale URL-Länge (Bytes) = 65534
     • Maximale Abfragezeichenfolge (Bytes) = 65534

  3. Wählen Sie "OK " aus, um diese Konfiguration zu speichern und IIS-Manager zu schließen.

  4. Überprüfen Sie diese Konfiguration, indem Sie den folgenden Registrierungsschlüssel suchen, um zu bestätigen, dass er die angegebenen Werte enthält:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Die folgenden Werte werden als DWORD-Einträge festgelegt:

     • Name: MaxFieldLength, mit einem Dezimalwert von 65534
     • Name: MaxRequestBytes mit einem Dezimalwert von 65534

  5. Starten Sie den NDES-Server neu.

Diese Seite kann nicht angezeigt werden.

Sie haben den Microsoft Entra-Anwendungsproxy konfiguriert. Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

This page can't be displayed

• Ursache: Dieses Problem tritt auf, wenn die externe SCEP-URL in der Anwendungsproxy-Konfiguration falsch ist. Diese URL kann beispielsweise wie folgt aussehen: https://contoso.com/certsrv/mscep/mscep.dll.

  Lösung: Verwenden Sie die Standarddomäne yourtenant.msappproxy.net für die externe SCEP-URL in der konfiguration Anwendungsproxy.

500 - Internal server error

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

• Ursache 1: Das NDES-Dienstkonto ist gesperrt oder sein Kennwort ist abgelaufen.

  Lösung: Entsperren Sie das Konto, oder setzen Sie das Kennwort zurück.

• Ursache 2: Die MSCEP-RA-Zertifikate sind abgelaufen.

  Lösung: Wenn die MSCEP-RA-Zertifikate abgelaufen sind, installieren Sie die NDES-Rolle neu, oder fordern Sie neue CEP-Verschlüsselungs- und Exchange-Registrierungs-Agent-Zertifikate (Offlineanforderung) an.

  Führen Sie die folgenden Schritte aus, um neue Zertifikate anzufordern:

  1. Öffnen Sie auf der Zertifizierungsstelle oder der ausstellenden Zertifizierungsstelle die MMC-Zertifikatvorlagen. Stellen Sie sicher, dass der angemeldete Benutzer und der NDES-Server Über Lese- und Registrierungsberechtigungen für die Zertifikatvorlagen CEP-Verschlüsselung und Exchange-Registrierungs-Agent (Offlineanforderung) verfügen.

  2. Überprüfen Sie die abgelaufenen Zertifikate auf dem NDES-Server, kopieren Sie die Antragstellerinformationen aus dem Zertifikat.

  3. Öffnen Sie das Zertifikat MMC für Computerkonto.

  4. Erweitern Sie "Persönlich", klicken Sie mit der rechten Maustaste auf "Zertifikate", und wählen Sie dann "Alle Aufgaben>anfordern neues Zertifikat" aus.

  5. Wählen Sie auf der Seite "Zertifikat anfordern" die Option "CEP-Verschlüsselung" aus, und wählen Sie dann "Weitere Informationen" aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

     

  6. Wählen Sie in den Zertifikateigenschaften die Registerkarte "Betreff" aus, füllen Sie den Antragstellernamen mit den Informationen aus, die Sie während Schritt 2 gesammelt haben, und wählen Sie "Hinzufügen" und dann "OK" aus.

  7. Schließen Sie die Zertifikatregistrierung ab.

  8. Öffnen Sie das Zertifikat MMC für mein Benutzerkonto.

     Wenn Sie sich für das Exchange-Registrierungs-Agent-Zertifikat (Offlineanforderung) registrieren, muss es im Benutzerkontext erfolgen. Da der Antragstellertyp dieser Zertifikatvorlage auf "Benutzer" festgelegt ist.

  9. Erweitern Sie "Persönlich", klicken Sie mit der rechten Maustaste auf "Zertifikate", und wählen Sie dann "Alle Aufgaben>anfordern neues Zertifikat" aus.

  10. Wählen Sie auf der Seite "Zertifikat anfordern" den Exchange-Registrierungs-Agent (Offlineanforderung) aus, und wählen Sie dann "Weitere Informationen" aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

      

  11. Wählen Sie in den Zertifikateigenschaften die Registerkarte "Betreff" aus, füllen Sie den Antragstellernamen mit den Informationen aus, die Sie während Schritt 2 gesammelt haben, und wählen Sie "Hinzufügen" aus.

      

      Wählen Sie die Registerkarte "Privater Schlüssel" aus, wählen Sie "Privaten Schlüssel exportieren" und dann "OK" aus.

      

  12. Schließen Sie die Zertifikatregistrierung ab.

  13. Exportieren Sie das Exchange-Registrierungs-Agent-Zertifikat (Offlineanforderung) aus dem aktuellen Benutzerzertifikatspeicher. Wählen Sie im Zertifikatexport-Assistenten "Ja" aus, und exportieren Sie den privaten Schlüssel.

  14. Importieren Sie das Zertifikat in den Zertifikatspeicher des lokalen Computers.

  15. Führen Sie im MMC der Zertifikate die folgende Aktion für jedes der neuen Zertifikate aus:

      Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie "Alle Aufgaben>verwalten private Schlüssel" aus, fügen Sie dem NDES-Dienstkonto Leseberechtigung hinzu.

  16. Führen Sie den Iisreset-Befehl aus, um IIS neu zu starten.

Nächste Schritte

Wenn das Gerät erfolgreich den NDES-Server erreicht, um die Zertifikatanforderung darzustellen, besteht der nächste Schritt darin, das Richtlinienmodul für Intune-Zertifikatkonnektoren zu überprüfen.