Microsoft Intune での NDES ポリシー モジュールのトラブルシューティング
この記事では、Microsoft Intune Certificate Connector と共にインストールされるネットワーク デバイス登録サービス (NDES) ポリシー モジュールの操作の検証とトラブルシューティングに役立つガイダンスを提供します。 NDES は、証明書の要求を受信すると、要求をポリシー モジュールに転送し、デバイスに対して有効な要求として検証します。 検証後、NDES は証明機関 (CA) に連絡して、デバイスに代わって証明書を要求します。
この記事は、 SCEP 通信ワークフローの手順 3 と手順 4 の両方に適用されます。
ポリシー モジュールへの NDES 通信
デバイスから証明書要求を受信した後、NDES は、Microsoft Intune Certificate Connector と共にインストールされるポリシー モジュールを使用して、Intune でその要求を検証します。 これらのエントリは、 証明書登録ポイントを参照します。
成功を示すログ エントリ:
検証要求がモジュールに送信されたことを確認するには、NDES サーバーのログで次の例のようなエントリを探します。
IIS ログ:
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875
NDESPlugin ログ:
Calling VerifyRequest ... Sending request to certificate registration point.
次の例は、デバイスチャレンジ要求の検証が成功し、NDES が CA に接続できることを示しています。
Verify challenge returns true Exiting VerifyRequest with 0x0
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
成功インジケーターが存在しない場合:
これらのエントリが見つからない場合は、まず、 device から NDES サーバーへの通信に関するトラブルシューティング ガイダンスを確認。
この記事の情報が問題の解決に役立たない場合は、問題を示す可能性のある追加のエントリを次に示します。
エラー 12175 が含まれるNDESPlugin.log
ログに次のようなエラー 12175 が含まれている場合は、SSL 証明書に問題がある可能性があります。
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
モバイル デバイス上の最新のブラウザーとブラウザーは、SSL 証明書に Common Name が存在する場合 Subject の別名 無視します。
解決策: Common Name と Subject Alternative Name の次の属性を使用して Web サーバー SSL 証明書を発行し、IIS のポート 443 にバインドします。
- サブジェクト名
CN = 外部サーバー名 - サブジェクトの別名
名前 = 外部サーバー名
DNS 名 = 内部サーバー名
NDESPlugin.logにエラー 403 - 許可されていません: アクセスが拒否されました"
次のログに次のようなエラー 403 が含まれている場合、クライアント証明書が信頼されていないか無効である可能性があります。
NDESPlugin.log:
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
IIS ログ:
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
この問題は、NDES サーバーの信頼されたルート証明機関の証明書ストアに中間 CA 証明書がある場合に発生します。
証明書のが同じで値によって場合はルート証明書です。 それ以外の場合は中間証明書です。
解決策: 問題を解決するには、信頼されたルート証明機関の証明書ストアから中間 CA 証明書を特定して削除します。
チャレンジが false を返したことを示すNDESPlugin.log
チャレンジの結果から false が返されたら、 CertificateRegistrationPoint.svclog でエラーを確認します。 たとえば、次のエントリのような "署名証明書を取得できませんでした" というエラーが表示される場合があります。
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
解決策: コネクタがインストールされているサーバーで、レジストリ エディターを開き、 HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector
レジストリ キーを見つけて、SigningCertificate 値が存在するかどうかを確認します。
この値が存在しない場合は、services.msc で Intune コネクタ サービスを再起動し、値がレジストリに表示されるかどうかを確認します。 値がまだ見つからない場合は、多くの場合、NDES と Intune サービスのサーバー間のネットワーク接続の問題が原因です。
NDES は証明書を発行する要求を渡します
証明書登録ポイント (ポリシー モジュール) による検証が成功すると、NDES はデバイスに代わって証明書要求を CA に渡します。
成功を示すログ エントリ:
NDESPlugin ログ:
Verify challenge returns true Exiting VerifyRequest with 0x0
IIS ログ:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296
CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
成功インジケーターが存在しない場合:
成功を示すエントリが表示されない場合は、次の手順を実行します。
証明書登録ポイントがチャレンジを検証するときに、 CertificateRegistrationPoint.svclog に記録されている問題を探します。 次の行の間のエントリを探します。
- VerifyRequest Started。
- VerifyRequest Finished with status False
CA で証明機関 MMC を開き、 [失敗した要求] を選択して、問題の特定に役立つエラーを探します。 画像の例を次に示します。
CA のアプリケーション イベント ログでエラーを確認します。 通常、前の手順の Failed Requests に表示されるエラーと一致するエラーが表示されます。 画像の例を次に示します。
次のステップ
NDES ポリシー モジュールが要求を検証し、要求が証明機関に転送される場合、次の手順は、デバイスへの 証明書の配信を確認することです。