Problembehandlung für das NDES-Richtlinienmodul in Microsoft Intune
Dieser Artikel enthält Anleitungen, mit denen Sie den Betrieb des Richtlinienmoduls für den Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES) überprüfen und beheben können, das mit dem Microsoft Intune-Zertifikatconnector installiert wird. Wenn NDES eine Anforderung für ein Zertifikat empfängt, leitet sie die Anforderung an das Richtlinienmodul weiter, wodurch die Anforderung als gültig für das Gerät überprüft wird. Nach der Überprüfung kontaktiert NDES die Zertifizierungsstelle (Ca), um das Zertifikat im Auftrag des Geräts anzufordern.
Dieser Artikel gilt sowohl für Schritt 3 als auch für Schritt 4 des SCEP-Kommunikationsworkflows.
NDES-Kommunikation mit dem Richtlinienmodul
Nachdem die Zertifikatanforderung von einem Gerät empfangen wurde, überprüft NDES diese Anforderung mit Intune über das Richtlinienmodul, das mit dem Microsoft Intune-Zertifikatconnector installiert wird. Diese Einträge beziehen sich auf den Zertifikatregistrierungspunkt.
Protokolleinträge, die auf Erfolg hinweisen:
Um zu bestätigen, dass die Überprüfungsanforderung an das Modul übermittelt wird, suchen Sie nach einem Eintrag, der den folgenden Beispielen in Protokollen auf dem NDES-Server ähnelt:
IIS-Protokolle:
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
NDESPlugin-Protokoll:
Calling VerifyRequest ... Sending request to certificate registration point.
Das folgende Beispiel zeigt eine erfolgreiche Überprüfung der Anforderung für geräteabfragen an und dass NDES jetzt kontakt mit der Zertifizierungsstelle kontaktieren kann:
Verify challenge returns true Exiting VerifyRequest with 0x0
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Wenn Erfolgsindikatoren nicht vorhanden sind:
Wenn Sie diese Einträge nicht finden, lesen Sie zunächst die Anleitung zur Problembehandlung für geräte- und NDES-Serverkommunikation.
Wenn die Informationen in diesem Artikel Ihnen nicht helfen, das Problem zu beheben, sind die folgenden zusätzlichen Einträge aufgeführt, die auf Probleme hinweisen können.
NDESPlugin.log enthält einen Fehler 12175
Wenn das Protokoll einen Fehler 12175 enthält, der dem folgenden ähnelt, liegt möglicherweise ein Problem mit dem SSL-Zertifikat vor:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
Moderne Browser und Browser auf mobilen Geräten ignorieren den allgemeinen Namen eines SSL-Zertifikats, wenn alternative Antragstellernamen vorhanden sind.
Lösung: Stellen Sie das SSL-Zertifikat des Webservers mit den folgenden Attributen für allgemeinen Namen und alternativen Antragstellernamen aus, und binden Sie es dann an Port 443 in IIS:
- Antragstellername
CN = Name des externen Servers - Alternativer Antragstellername
Name = Externer Servername
DNS-Name = interner Servername
NDESPlugin.log enthält einen Fehler 403 – Verboten: Zugriff verweigert"
Wenn die folgenden Protokolle einen Fehler 403 enthalten, der dem folgenden ähnelt, ist das Clientzertifikat möglicherweise nicht vertrauenswürdig oder ungültig:
NDESPlugin.log:
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
IIS-Protokoll:
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
Dieses Problem tritt auf, wenn zwischengeschaltete Zertifizierungsstellenzertifikate im Zertifikatspeicher der VERTRAUENSWÜRDIGen Stammzertifizierungsstellen des NDES-Servers vorhanden sind.
Wenn ein Zertifikat dieselben von Werten ausgestellt und ausgestellt hat , handelt es sich um ein Stammzertifikat. Andernfalls handelt es sich um ein Zwischenzertifikat.
Lösung: Um das Problem zu beheben, identifizieren und entfernen Sie die Zwischenzertifizierungsstellenzertifikate aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen.
NDESPlugin.log gibt an, dass die Abfrage "false" zurückgibt.
Wenn das Ergebnis der Abfrage "false" zurückgibt, überprüfen Sie das CertificateRegistrationPoint.svclog auf Fehler. Möglicherweise wird ein Fehler "Signaturzertifikat konnte nicht abgerufen werden" angezeigt, der dem folgenden Eintrag ähnelt:
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
Lösung: Öffnen Sie auf dem Server, auf dem der Connector installiert ist, den Registrierungs-Editor, suchen Sie den HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector
Registrierungsschlüssel, und überprüfen Sie dann, ob der SignCertificate-Wert vorhanden ist.
Wenn dieser Wert nicht vorhanden ist, starten Sie den Intune Connector Service in services.msc neu, und überprüfen Sie dann, ob der Wert in der Registrierung angezeigt wird. Wenn der Wert immer noch fehlt, liegt er häufig an Netzwerkkonnektivitätsproblemen zwischen dem Server, den NDES und dem Intune-Dienst besteht.
NDES übergibt die Anforderung, um das Zertifikat auszugeben.
Nach einer erfolgreichen Überprüfung durch den Zertifikatregistrierungspunkt (das Richtlinienmodul) übergibt NDES die Zertifikatanforderung im Auftrag des Geräts an die Zertifizierungsstelle.
Protokolleinträge, die auf Erfolg hinweisen:
NDESPlugin-Protokoll:
Verify challenge returns true Exiting VerifyRequest with 0x0
IIS-Protokolle:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Wenn Erfolgsindikatoren nicht vorhanden sind:
Wenn die Einträge, die den Erfolg angeben, nicht angezeigt werden, führen Sie die folgenden Schritte aus:
Suchen Sie nach Problemen, die in CertificateRegistrationPoint.svclog protokolliert werden, wenn der Zertifikatregistrierungspunkt die Herausforderung überprüft. Suchen Sie nach den Einträgen zwischen den folgenden Zeilen:
- VerifyRequest Started.
- VerifyRequest abgeschlossen mit dem Status "False"
Öffnen Sie die MMC der Zertifizierungsstelle auf der Zertifizierungsstelle, und wählen Sie "Fehlgeschlagene Anforderungen " aus, um nach Fehlern zu suchen, die helfen, ein Problem zu identifizieren. Die folgende Abbildung ist ein Beispiel:
Überprüfen Sie das Anwendungsereignisprotokoll bei der Zertifizierungsstelle auf Fehler. In der Regel werden Fehler angezeigt, die mit dem übereinstimmen, was sie in den fehlgeschlagenen Anforderungen aus dem vorherigen Schritt sehen. Die folgende Abbildung ist ein Beispiel:
Nächste Schritte
Wenn das NDES-Richtlinienmodul die Anforderung überprüft und die Anforderung an die Zertifizierungsstelle weitergeleitet wird, besteht der nächste Schritt darin, die Zertifikatübermittlung an das Gerät zu überprüfen.