Problembehandlung für das NDES-Richtlinienmodul in Microsoft Intune
Dieser Artikel enthält Anleitungen zur Überprüfung und Problembehandlung des NDES-Richtlinienmoduls (Network Device Enrollment Service), das mit dem Microsoft Intune Certificate Connector installiert wird. Wenn NDES eine Anforderung für ein Zertifikat empfängt, wird die Anforderung an das Richtlinienmodul weitergeleitet, das die Anforderung als gültig für das Gerät überprüft. Nach der Überprüfung kontaktiert NDES die Zertifizierungsstelle , um das Zertifikat im Namen des Geräts anzufordern.
Dieser Artikel bezieht sich auf Schritt 3 und Schritt 4 des SCEP-Kommunikationsworkflows.
NDES-Kommunikation mit dem Richtlinienmodul
Nachdem die Zertifikatanforderung von einem Gerät empfangen wurde, überprüft NDES diese Anforderung mit Intune über das Richtlinienmodul, das mit dem Microsoft Intune Certificate Connector installiert wird. Diese Einträge beziehen sich auf den Zertifikatregistrierungspunkt.
Protokolleinträge, die den Erfolg angeben:
Um zu bestätigen, dass die Überprüfungsanforderung an das Modul übermittelt wurde, suchen Sie nach einem Eintrag, der den folgenden Beispielen in Protokollen auf dem NDES-Server ähnelt:
IIS-Protokolle:
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
NDESPlugin-Protokoll:
Calling VerifyRequest ... Sending request to certificate registration point.
Das folgende Beispiel zeigt eine erfolgreiche Überprüfung der Geräte-Abfrageanforderung an und dass NDES jetzt die Zertifizierungsstelle kontaktieren kann:
Verify challenge returns true Exiting VerifyRequest with 0x0
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Wenn keine Erfolgsindikatoren vorhanden sind:
Wenn Sie diese Einträge nicht finden, lesen Sie zunächst den Leitfaden zur Problembehandlung für die Kommunikation zwischen Gerät und NDES-Server.
Wenn die Informationen in diesem Artikel Ihnen nicht bei der Behebung des Problems helfen, sind die folgenden zusätzlichen Einträge aufgeführt, die auf Probleme hinweisen können.
NDESPlugin.log enthält den Fehler 12175.
Wenn das Protokoll den Fehler 12175 enthält, der dem folgenden ähnelt, liegt möglicherweise ein Problem mit dem SSL-Zertifikat vor:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
Moderne Browser und Browser auf mobilen Geräten ignorieren den allgemeinen Namen in einem SSL-Zertifikat, wenn alternative Antragstellernamen vorhanden sind.
Lösung: Stellen Sie das WEBSERVER-SSL-Zertifikat mit den folgenden Attributen für Den allgemeinen Namen und alternativen Antragstellernamen aus, und binden Sie es dann an Port 443 in IIS:
-
Antragstellername
CN = Name des externen Servers -
Alternativer Antragstellername
Name = Name des externen Servers
DNS-Name = interner Servername
NDESPlugin.log enthält den Fehler 403 – Verboten: Zugriff verweigert"
Wenn die folgenden Protokolle den Fehler 403 enthalten, der dem folgenden ähnelt, ist das Clientzertifikat möglicherweise nicht vertrauenswürdig oder ungültig:
NDESPlugin.log:
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
IIS-Protokoll:
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
Dieses Problem tritt auf, wenn im Zertifikatspeicher vertrauenswürdige Stammzertifizierungsstellen des NDES-Servers Zwischenzertifizierungsstellen vorhanden sind.
Wenn ein Zertifikat die gleichen Werte ausgestellt für und Ausgestellt von aufweist, handelt es sich um ein Stammzertifikat. Andernfalls handelt es sich um ein Zwischenzertifikat.
Lösung: Um das Problem zu beheben, identifizieren und entfernen Sie die Zertifikate der Zwischenzertifizierungsstelle aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen.
NDESPlugin.log gibt an, dass die Anforderung false zurückgibt.
Wenn das Ergebnis der Anforderung false zurückgibt, überprüfen Sie certificateRegistrationPoint.svclog auf Fehler. Beispielsweise kann der Fehler "Signing certificate could not be retrieved" (Signaturzertifikat konnte nicht abgerufen werden) angezeigt werden, der dem folgenden Eintrag ähnelt:
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
Lösung: Öffnen Sie auf dem Server, auf dem der Connector installiert ist, die Registrierungs-Editor, suchen Sie den HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector
Registrierungsschlüssel, und überprüfen Sie dann, ob der Wert SigningCertificate vorhanden ist.
Wenn dieser Wert nicht vorhanden ist, starten Sie den Intune Connectordienst in services.msc neu, und überprüfen Sie dann, ob der Wert in der Registrierung angezeigt wird. Wenn der Wert immer noch fehlt, liegt dies häufig an Netzwerkkonnektivitätsproblemen zwischen dem Server, dem NDES und dem Intune Dienst.
NDES übergibt die Anforderung zum Ausstellen des Zertifikats.
Nach einer erfolgreichen Überprüfung durch den Zertifikatregistrierungspunkt (das Richtlinienmodul) übergibt NDES die Zertifikatanforderung im Namen des Geräts an die Zertifizierungsstelle.
Protokolleinträge, die den Erfolg angeben:
NDESPlugin-Protokoll:
Verify challenge returns true Exiting VerifyRequest with 0x0
IIS-Protokolle:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Wenn keine Erfolgsindikatoren vorhanden sind:
Wenn die Einträge, die den Erfolg angeben, nicht angezeigt werden, führen Sie die folgenden Schritte aus:
Suchen Sie nach Problemen, die in CertificateRegistrationPoint.svclog protokolliert werden, wenn der Zertifikatregistrierungspunkt die Herausforderung überprüft. Suchen Sie nach den Einträgen zwischen den folgenden Zeilen:
- VerifyRequest Started( VerifyRequest Started).
- VerifyRequest Finished with status False
Öffnen Sie die MMC der Zertifizierungsstelle auf der Zertifizierungsstelle, und wählen Sie Fehlgeschlagene Anforderungen aus, um nach Fehlern zu suchen, mit denen ein Problem identifiziert werden kann. Die folgende Abbildung dient lediglich als Beispiel:
Überprüfen Sie das Anwendungsereignisprotokoll auf der Zertifizierungsstelle auf Fehler. In der Regel werden Fehler angezeigt, die mit dem übereinstimmen, was in den fehlerhaften Anforderungen aus dem vorherigen Schritt angezeigt wird. Die folgende Abbildung dient lediglich als Beispiel:
Nächste Schritte
Wenn das NDES-Richtlinienmodul die Anforderung überprüft und die Anforderung an die Zertifizierungsstelle weitergeleitet wird, besteht der nächste Schritt darin, die Zertifikatübermittlung an das Gerät zu überprüfen.