Delen via

Problemen met de NDES-beleidsmodule in Microsoft Intune oplossen

  • Artikel

Dit artikel bevat richtlijnen voor het valideren en oplossen van problemen met de beleidsmodule Network Device Enrollment Service (NDES) die wordt geïnstalleerd met de Microsoft Intune Certificate Connector. Wanneer NDES een aanvraag voor een certificaat ontvangt, wordt de aanvraag doorgestuurd naar de beleidsmodule, waarmee de aanvraag wordt gevalideerd als geldig voor het apparaat. Na de validatie neemt NDES contact op met de certificeringsinstantie (CA) om het certificaat namens het apparaat aan te vragen.

Dit artikel is van toepassing op zowel stap 3 als stap 4 van de SCEP-communicatiewerkstroom.

NDES-communicatie met de beleidsmodule

Na ontvangst van de certificaataanvraag van een apparaat valideert NDES die aanvraag met Intune via de beleidsmodule die wordt geïnstalleerd met de Microsoft Intune Certificate Connector. Deze vermeldingen verwijzen naar het certificaatregistratiepunt.

Logboekvermeldingen die aangeven dat ze zijn geslaagd:

Als u wilt controleren of de validatieaanvraag naar de module is verzonden, zoekt u een vermelding die lijkt op de volgende voorbeelden in logboeken op de NDES-server:

  • IIS-logboeken:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • NDESPlugin-logboek:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    In het volgende voorbeeld ziet u een geslaagde validatie van de vraagaanvraag voor apparaten en dat NDES nu contact kan opnemen met de CA:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Wanneer succesindicatoren niet aanwezig zijn:

Als u deze vermeldingen niet vindt, bekijkt u eerst de richtlijnen voor probleemoplossing voor communicatie tussen apparaten en NDES-servers.

Als de informatie in dat artikel u niet helpt het probleem op te lossen, zijn de volgende aanvullende vermeldingen die kunnen duiden op problemen.

NDESPlugin.log bevat een fout 12175

Wanneer het logboek een fout 12175 bevat die vergelijkbaar is met het volgende, is er mogelijk een probleem met het SSL-certificaat:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Moderne browsers en browsers op mobiele apparaten negeren de algemene naam op een SSL-certificaat als er alternatieve onderwerpnamen aanwezig zijn.

Oplossing: Geef het SSL-certificaat van de webserver uit met de volgende kenmerken voor Algemene naam en Alternatieve naam voor onderwerp en bind het aan poort 443 in IIS:

  • Onderwerpnaam
    CN = externe servernaam
  • Alternatieve onderwerpnaam
    Naam = externe servernaam
    DNS-naam = interne servernaam

NDESPlugin.log bevat een fout 403 – Verboden: Toegang wordt geweigerd"

Wanneer de volgende logboeken een fout 403 bevatten die vergelijkbaar is met het volgende, is het clientcertificaat mogelijk niet vertrouwd of ongeldig:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

IIS-logboek:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Dit probleem treedt op als er tussenliggende CA-certificaten aanwezig zijn in het certificaatarchief van de vertrouwde basiscertificeringsinstanties van de NDES-server.

Als een certificaat hetzelfde is uitgegeven aan en uitgegeven door waarden, is het een basiscertificaat. Anders is het een tussenliggend certificaat.

Oplossing: Als u het probleem wilt oplossen, identificeert en verwijdert u de tussenliggende CA-certificaten uit het certificaatarchief vertrouwde basiscertificeringsinstanties.

NDESPlugin.log geeft aan dat de uitdaging onwaar retourneert

Wanneer het resultaat van de uitdaging onwaar retourneert, controleert u het CertificateRegistrationPoint.svclog op fouten. U ziet bijvoorbeeld de foutmelding 'Handtekeningcertificaat kan niet worden opgehaald' die lijkt op de volgende vermelding:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Oplossing: Open de Register-editor op de server waarop de connector is geïnstalleerd, zoek de HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector registersleutel en controleer of de waarde SigningCertificate bestaat.

Als deze waarde niet bestaat, start u de Intune Connector-service opnieuw op in services.msc en controleert u of de waarde wordt weergegeven in het register. Als de waarde nog steeds ontbreekt, is dit vaak het gevolg van netwerkverbindingsproblemen tussen de server die NDES en de Intune-service.

NDES geeft de aanvraag door om het certificaat uit te geven

Na een geslaagde validatie door het certificaatregistratiepunt (de beleidsmodule) geeft NDES de certificaataanvraag namens het apparaat door aan de CA.

Logboekvermeldingen die aangeven dat ze zijn geslaagd:

  • NDESPlugin-logboek:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • IIS-logboeken:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Wanneer succesindicatoren niet aanwezig zijn:

Als u de vermeldingen die aangeven dat deze zijn geslaagd niet ziet, voert u de volgende stappen uit:

  1. Zoek naar problemen die zijn vastgelegd in CertificateRegistrationPoint.svclog wanneer het certificaatregistratiepunt de uitdaging verifieert . Zoek naar de vermeldingen tussen de volgende regels:

    • VerifyRequest is gestart.
    • VerifyRequest Finished with status False

  2. Open de MMC van de certificeringsinstantie op de CA en selecteer Mislukte aanvragen om te zoeken naar fouten die helpen bij het identificeren van een probleem. De volgende afbeelding is een voorbeeld:

    Schermopname van een voorbeeld van een mislukte aanvraag.

  3. Controleer het gebeurtenislogboek van de toepassing op de CA op fouten. Meestal ziet u fouten die overeenkomen met wat u ziet in de mislukte aanvragen uit de vorige stap. De volgende afbeelding is een voorbeeld:

    Schermopname met details van het toepassingslogboek.

Volgende stappen

Als de NDES-beleidsmodule de aanvraag valideert en de aanvraag wordt doorgestuurd naar de certificeringsinstantie, is de volgende stap het controleren van de certificaatlevering op het apparaat.