Résolution des problèmes du module de stratégie NDES dans Microsoft Intune
Cet article fournit des conseils pour vous aider à valider et résoudre les problèmes d’opération du module de stratégie NDES (Network Device Enrollment Service) qui s’installe avec Microsoft Intune Certificate Connector. Lorsque NDES reçoit une demande de certificat, il transfère la demande au module de stratégie, qui valide la demande comme valide pour l’appareil. Après la validation, NDES contacte l’autorité de certification pour demander le certificat pour le compte de l’appareil.
Cet article s’applique à l’étape 3 et à l’étape 4 du flux de travail de communication SCEP.
Communication NDES vers le module de stratégie
Après avoir reçu la demande de certificat d’un appareil, NDES valide cette demande auprès d’Intune via le module de stratégie qui s’installe avec Microsoft Intune Certificate Connector. Ces entrées font référence au point d’inscription de certificat.
Entrées de journal qui indiquent la réussite :
Pour confirmer que la demande de validation est envoyée au module, recherchez une entrée qui ressemble aux exemples suivants dans les journaux d’activité sur le serveur NDES :
Journaux IIS :
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
Journal NDESPlugin :
Calling VerifyRequest ... Sending request to certificate registration point.
L’exemple suivant indique une validation réussie de la demande de défi des appareils et que NDES peut désormais contacter l’autorité de certification :
Verify challenge returns true Exiting VerifyRequest with 0x0
CertificateRegistrationPoint.svclog :
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Lorsque les indicateurs de réussite ne sont pas présents :
Si vous ne trouvez pas ces entrées, commencez par passer en revue les conseils de résolution des problèmes relatifs à la communication entre l’appareil et le serveur NDES.
Si les informations contenues dans cet article ne vous aident pas à résoudre le problème, les entrées supplémentaires suivantes peuvent indiquer des problèmes.
NDESPlugin.log contient une erreur 12175
Lorsque le journal contient une erreur 12175 similaire à ce qui suit, il peut y avoir un problème avec le certificat SSL :
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
Les navigateurs et navigateurs modernes sur les appareils mobiles ignorent le nom commun sur un certificat SSL s’il existe d’autres noms d’objet présents.
Solution : émettez le certificat SSL du serveur web avec les attributs suivants pour le nom commun et l’autre nom de l’objet, puis liez-le au port 443 dans IIS :
- Nom de l’objet
CN = nom de serveur externe - Autre nom de l’objet
Nom = nom du serveur externe
Nom DNS = nom du serveur interne
NDESPlugin.log contient une erreur 403 – Interdit : l’accès est refusé »
Lorsque les journaux suivants contiennent une erreur 403 similaire à ce qui suit, le certificat client peut être non approuvé ou non valide :
NDESPlugin.log :
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
Journal IIS :
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
Ce problème se produit s’il existe des certificats d’autorité de certification intermédiaires dans le magasin de certificats autorités de certification racines approuvées du serveur NDES.
Si un certificat a le même certificat émis vers et émis par des valeurs, il s’agit d’un certificat racine. Sinon, il s’agit d’un certificat intermédiaire.
Solution : Pour résoudre le problème, identifiez et supprimez les certificats d’autorité de certification intermédiaires du magasin de certificats autorités de certification racines approuvées.
NDESPlugin.log indique que le défi retourne false
Lorsque le résultat du défi retourne false, vérifiez que certificateRegistrationPoint.svclog pour les erreurs. Par exemple, vous pouvez voir une erreur « Le certificat de signature n’a pas pu être récupéré » semblable à l’entrée suivante :
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
Solution : sur le serveur sur lequel le connecteur est installé, ouvrez l’Éditeur du Registre, recherchez la HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector
clé de Registre, puis vérifiez si la valeur SigningCertificate existe.
Si cette valeur n’existe pas, redémarrez le service connecteur Intune dans services.msc, puis vérifiez si la valeur apparaît dans le Registre. Si la valeur est toujours manquante, elle est souvent due à des problèmes de connectivité réseau entre le serveur que NDES et le service Intune.
NDES transmet la demande pour émettre le certificat
Après une validation réussie par le point d’inscription de certificat (le module de stratégie), NDES transmet la demande de certificat à l’autorité de certification pour le compte de l’appareil.
Entrées de journal qui indiquent la réussite :
Journal NDESPlugin :
Verify challenge returns true Exiting VerifyRequest with 0x0
Journaux IIS :
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
CertificateRegistrationPoint.svclog :
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Lorsque les indicateurs de réussite ne sont pas présents :
Si vous ne voyez pas les entrées qui indiquent la réussite, procédez comme suit :
Recherchez les problèmes qui sont consignés dans CertificateRegistrationPoint.svclog lorsque le point d’inscription de certificat vérifie le défi. Recherchez les entrées entre les lignes suivantes :
- VerifyRequest Started.
- VerifyRequest terminé avec l’état False
Ouvrez la console MMC de l’autorité de certification sur l’autorité de certification, puis sélectionnez Demandes ayant échoué pour rechercher des erreurs qui aident à identifier un problème. L’image suivante est un exemple :
Passez en revue le journal des événements de l’application sur l’autorité de certification pour les erreurs. En règle générale, vous pouvez voir les erreurs qui correspondent à ce que vous voyez dans les demandes ayant échoué à l’étape précédente. L’image suivante est un exemple :
Prochaines étapes
Si le module de stratégie NDES valide la demande et que la demande est transférée à l’autorité de certification, l’étape suivante consiste à passer en revue la remise de certificat à l’appareil.