Udostępnij za pośrednictwem

Rozwiązywanie problemów z modułem zasad usługi NDES w usłudze Microsoft Intune

  • Artykuł

Ten artykuł zawiera wskazówki ułatwiające weryfikowanie i rozwiązywanie problemów z działaniem modułu zasad usługi rejestracji urządzeń sieciowych (NDES), który jest instalowany za pomocą łącznika certyfikatów usługi Microsoft Intune. Gdy usługa NDES odbiera żądanie certyfikatu, przekazuje żądanie do modułu zasad, który weryfikuje żądanie jako prawidłowe dla urządzenia. Po weryfikacji usługa NDES kontaktuje się z urzędem certyfikacji w celu zażądania certyfikatu w imieniu urządzenia.

Ten artykuł dotyczy zarówno kroku 3, jak i kroku 4 przepływu pracy komunikacji protokołu SCEP.

Komunikacja usługi NDES z modułem zasad

Po otrzymaniu żądania certyfikatu z urządzenia usługa NDES weryfikuje to żądanie w usłudze Intune za pośrednictwem modułu zasad instalowanego za pomocą łącznika certyfikatów usługi Microsoft Intune. Te wpisy odnoszą się do punktu rejestracji certyfikatu.

Wpisy dziennika wskazujące powodzenie:

Aby potwierdzić, że żądanie weryfikacji zostało przesłane do modułu, poszukaj wpisu przypominającego następujące przykłady w dziennikach na serwerze usługi NDES:

  • Dzienniki usług IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Dziennik NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    Poniższy przykład wskazuje pomyślną weryfikację żądania żądania żądania urządzenia i że usługa NDES może teraz skontaktować się z urzędem certyfikacji:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Gdy wskaźniki sukcesu nie są obecne:

Jeśli nie znajdziesz tych wpisów, zacznij od zapoznania się ze wskazówkami dotyczącymi rozwiązywania problemów dotyczącymi komunikacji urządzenia z serwerem usługi NDES.

Jeśli informacje zawarte w tym artykule nie pomogą Ci rozwiązać problemu, poniżej znajdują się dodatkowe wpisy, które mogą wskazywać problemy.

NDESPlugin.log zawiera błąd 12175

Jeśli dziennik zawiera błąd 12175 podobny do poniższego, może wystąpić problem z certyfikatem SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Nowoczesne przeglądarki i przeglądarki na urządzeniach przenośnych ignorują nazwę pospolitą certyfikatu SSL, jeśli istnieją alternatywne nazwy podmiotów .

Rozwiązanie: Wydaj certyfikat SSL serwera sieci Web z następującymi atrybutami dla nazwy pospolitej i alternatywnej nazwy podmiotu, a następnie powiąż go z portem 443 w usługach IIS:

  • Nazwa podmiotu
    CN = nazwa serwera zewnętrznego
  • Alternatywna nazwa podmiotu
    Nazwa = nazwa serwera zewnętrznego
    Nazwa DNS = wewnętrzna nazwa serwera

NDESPlugin.log zawiera błąd 403 — Zabronione: odmowa dostępu"

Jeśli następujące dzienniki zawierają błąd 403 podobny do poniższego, certyfikat klienta może być niezaufany lub nieprawidłowy:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Dziennik usług IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Ten problem występuje, jeśli w magazynie certyfikatów zaufanych głównych urzędów certyfikacji serwera usługi NDES istnieją certyfikaty pośredniego urzędu certyfikacji.

Jeśli certyfikat ma ten sam certyfikat wystawiony dla wartości i wystawiony przez , jest to certyfikat główny. W przeciwnym razie jest to certyfikat pośredni.

Rozwiązanie: Aby rozwiązać ten problem, zidentyfikuj i usuń certyfikaty pośredniego urzędu certyfikacji z magazynu certyfikatów zaufanych głównych urzędów certyfikacji.

NDESPlugin.log wskazuje, że wyzwanie zwraca wartość false

Gdy wynik wyzwania zwraca wartość false, sprawdź plik CertificateRegistrationPoint.svclog pod kątem błędów. Na przykład może zostać wyświetlony błąd "Nie można pobrać certyfikatu podpisywania", który przypomina następujący wpis:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Rozwiązanie: Na serwerze, na którym jest zainstalowany łącznik, otwórz Edytor rejestru, znajdź HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector klucz rejestru, a następnie sprawdź, czy istnieje wartość SigningCertificate.

Jeśli ta wartość nie istnieje, uruchom ponownie usługę łącznika usługi Intune w pliku services.msc, a następnie sprawdź, czy wartość jest wyświetlana w rejestrze. Jeśli nadal brakuje tej wartości, często wynika to z problemów z łącznością sieciową między serwerem usługi NDES i usługą Intune.

Usługa NDES przekazuje żądanie wystawiania certyfikatu

Po pomyślnej weryfikacji przez punkt rejestracji certyfikatu (moduł zasad) usługa NDES przekazuje żądanie certyfikatu do urzędu certyfikacji w imieniu urządzenia.

Wpisy dziennika wskazujące powodzenie:

  • Dziennik NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Dzienniki usług IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Gdy wskaźniki sukcesu nie są obecne:

Jeśli nie widzisz wpisów wskazujących powodzenie, wykonaj następujące kroki:

  1. Poszukaj problemów, które są rejestrowane w dzienniku CertificateRegistrationPoint.svclog , gdy punkt rejestracji certyfikatu weryfikuje wyzwanie. Wyszukaj wpisy między następującymi wierszami:

    • VerifyRequest Started (Rozpoczęto polecenie VerifyRequest).
    • VerifyRequest Finished ze stanem False

  2. Otwórz program MMC urzędu certyfikacji w urzędzie certyfikacji i wybierz pozycję Nieudane żądania , aby wyszukać błędy, które pomagają zidentyfikować problem. Poniżej przedstawiono przykład:

    Zrzut ekranu przedstawiający przykładowe żądanie nie powiodło się.

  3. Przejrzyj dziennik zdarzeń aplikacji w urzędzie certyfikacji pod kątem błędów. Zazwyczaj błędy pasujące do tego, co widzisz w żądaniach, które wystąpiły w poprzednim kroku. Poniżej przedstawiono przykład:

    Zrzut ekranu przedstawia szczegóły dziennika aplikacji.

Następne kroki

Jeśli moduł zasad usługi NDES weryfikuje żądanie, a żądanie jest przekazywane do urzędu certyfikacji, następnym krokiem jest przejrzenie dostarczenia certyfikatu do urządzenia.