Устранение неполадок с подключением устройства к серверу NDES для профилей сертификатов SCEP в Microsoft Intune

Используйте приведенные ниже сведения, чтобы определить, успешно ли устройство, которое получило и обработало профиль сертификата Протокола регистрации сертификатов Intune (SCEP), может успешно связаться со службой регистрации сетевых устройств (NDES), чтобы представить проблему. На устройстве создается закрытый ключ, а запрос на подпись сертификата (CSR) и вызов передаются с устройства на сервер NDES. Чтобы связаться с сервером NDES, устройство использует URI из профиля сертификата SCEP.

В этой статье приводятся ссылки на шаг 2 в обзоре потока обмена данными SCEP.

Просмотр журналов IIS для подключения с устройства

файлы журнала службы IIS (IIS) включают один и тот же тип записей для всех платформ.

1. На сервере NDES откройте последний файл журнала IIS, найденный в следующей папке: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Выполните поиск в журнале записей, аналогичных приведенным ниже примерам. Оба примера содержат состояние 200, которое отображается в конце:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   And

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. Когда устройство обращается к СЛУЖБАм IIS, регистрируется HTTP-запрос GET для mscep.dll.

   Просмотрите код состояния в конце этого запроса:

   • Код состояния 200: это состояние указывает, что подключение к серверу NDES успешно выполнено.

   • Код состояния 500: группа IIS_IUSRS может не использовать правильные разрешения. См . код состояния 500 далее в этой статье.

   • Если код состояния не является 200 или 500:

     • Дополнительные сведения о проверке конфигурации см. в статье " Тестирование и устранение неполадок с URL-адресом сервера SCEP".

     • Дополнительные сведения о менее распространенных кодах ошибок см . в коде состояния HTTP в IIS 7 и более поздних версиях .

   Если запрос на подключение не регистрируется вообще, контакт с устройства может быть заблокирован в сети между устройством и сервером NDES.

Проверка журналов устройств для подключений к NDES

Устройства Android

Просмотрите журнал устройств OMADM. Найдите записи, похожие на следующие примеры, которые регистрируются при подключении устройства к NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Ключевые записи включают следующие примеры текстовых строк:

• Есть 1 запросов
• Получено "200 ОК" при отправке GetCACaps(ca) в https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Подписывание pkiMessage с помощью ключа, относящегося к [dn=CN=<username>; serial=1]

Подключение также регистрируется службами IIS в папке %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ сервера NDES. Ниже приведен пример:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

Устройства iOS/iPadOS

Просмотрите журнал отладки устройств. Найдите записи, похожие на следующие примеры, которые регистрируются при подключении устройства к NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Ключевые записи включают следующие примеры текстовых строк:

• operation=GetCACert
• Попытка получить выданный сертификат
• Отправка CSR через GET
• operation=PKIOperation

Устройства Windows

На устройстве Windows, которое делает подключение к NDES, можно просмотреть устройства Windows Просмотр событий и найти признаки успешного подключения. Подключения регистрируются как идентификатор события 36 в журнале администрирования DeviceManagement-Enterprise-Diagnostics-Provide>Admin .

Чтобы открыть журнал, выполните следующие действия.

1. На устройстве запустите eventvwr.msc, чтобы открыть Windows Просмотр событий.

2. Разверните журналы>приложений и служб Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

3. Найдите событие 36, похожее на следующий пример, с ключевой строкой SCEP: запрос сертификата успешно создан:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Устранение неполадок с кодом состояния 500

Подключения, похожие на следующий пример, с кодом состояния 500, указывают на олицетворения клиента после того, как пользователь проверки подлинности не назначается группе IIS_IUSRS на сервере NDES. Значение состояния 500 отображается в конце:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Выполните следующие действия, чтобы устранить эту проблему:

1. На сервере NDES запустите secpol.msc , чтобы открыть локальную политику безопасности.
2. Разверните локальные политики и выберите назначение прав пользователя.
3. Дважды щелкните олицетворение клиента после проверки подлинности в правой области.
4. Выберите "Добавить пользователя или группу", введите IIS_IUSRS в поле "Ввод имен объектов" и нажмите кнопку "ОК".
5. Нажмите кнопку ОК.
6. Перезапустите компьютер и повторите попытку подключения с устройства.

Тестирование и устранение неполадок с URL-адресом сервера SCEP

Чтобы проверить URL-адрес, указанный в профиле сертификата SCEP, выполните следующие действия.

1. В Intune измените профиль сертификата SCEP и скопируйте URL-адрес сервера. URL-адрес должен выглядеть примерно https://contoso.com/certsrv/mscep/mscep.dllтак.

2. Откройте веб-браузер и перейдите по URL-адресу сервера SCEP. Результат должен быть: ошибка HTTP 403.0 — запрещено. Этот результат указывает, что URL-адрес работает правильно.

   Если вы не получите эту ошибку, выберите ссылку, похожую на ошибку, которую вы увидите, чтобы просмотреть рекомендации для конкретной проблемы:

   • Я получаю общее сообщение службы регистрации сетевых устройств
   • Я получаю сообщение "Ошибка HTTP 503. Служба недоступна"
   • Я получаю ошибку GatewayTimeout
   • Я получаю сообщение "HTTP 414 Request-URI слишком длинный"
   • Я получаю сообщение "Не удается отобразить эту страницу"
   • Я получаю сообщение "500 — внутренняя ошибка сервера"

Общее сообщение NDES

При переходе по URL-адресу сервера SCEP вы получите следующее сообщение службы регистрации сетевых устройств:

• Причина. Эта проблема обычно возникает при установке соединителя Microsoft Intune.

  Mscep.dll — это расширение ISAPI, которое перехватывает входящие запросы и отображает ошибку HTTP 403, если она установлена правильно.

  Решение. Проверьте файл SetupMsi.log , чтобы определить, успешно ли установлен соединитель Microsoft Intune. В следующем примере установка успешно завершена и состояние успешной установки или состояния ошибки: 0 указывает на успешную установку:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Если установка завершается ошибкой, удалите соединитель Microsoft Intune и переустановите его. Если установка прошла успешно, и вы продолжаете получать сообщение "Общие NDES", выполните команду iisreset , чтобы перезапустить СЛУЖБЫ IIS.

Ошибка HTTP 503

При переходе по URL-адресу сервера SCEP вы получите следующую ошибку:

Эта проблема обычно связана с тем, что пул приложений SCEP в IIS не запущен. На сервере NDES откройте диспетчер IIS и перейдите в пулы приложений. Найдите пул приложений SCEP и убедитесь, что он запущен.

Если пул приложений SCEP не запущен, проверьте журнал событий приложения на сервере:

1. На устройстве запустите eventvwr.msc, чтобы открыть Просмотр событий и перейти в приложение журналов>Windows.

2. Найдите событие, аналогичное следующему примеру, что означает, что пул приложений завершает работу при получении запроса:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Распространенные причины сбоя пула приложений

• Причина 1. Существуют промежуточные сертификаты ЦС (не самозаверяющийся) в хранилище сертификатов доверенных корневых центров сертификации сервера NDES.

  Решение. Удалите промежуточные сертификаты из хранилища сертификатов доверенных корневых центров сертификации, а затем перезапустите сервер NDES.

  Чтобы определить все промежуточные сертификаты в хранилище сертификатов доверенных корневых центров сертификации, выполните следующий командлет PowerShell: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Сертификат, имеющий те же выданные и выданные значениями, является корневым сертификатом. В противном случае это промежуточный сертификат.

  После удаления сертификатов и перезапуска сервера снова запустите командлет PowerShell, чтобы подтвердить отсутствие промежуточных сертификатов. Если есть, проверьте, отправляет ли групповая политика промежуточные сертификаты на сервер NDES. Если это так, исключите сервер NDES из групповой политики и удалите промежуточные сертификаты еще раз.

• Причина 2. URL-адреса в списке отзыва сертификатов (CRL) блокируются или недоступны для сертификатов, используемых соединителем сертификатов Intune.

  Решение. Включение дополнительного ведения журнала для сбора дополнительных сведений:

  1. Откройте Просмотр событий, выберите "Вид", убедитесь, что установлен флажок "Показать журналы аналитики и отладки".
  2. Перейдите в журналы>приложений и служб Microsoft>Windows>CAPI2>Operational, щелкните правой кнопкой мыши "Операционный" и выберите "Включить журнал".
  3. После включения ведения журнала CAPI2 воспроизводит проблему и просмотрите журнал событий, чтобы устранить проблему.

• Причина 3. Разрешение IIS на certificateRegistrationSvc включает проверку подлинности Windows.

  Решение. Включите анонимную проверку подлинности и отключите проверку подлинности Windows, а затем перезапустите сервер NDES.

  

• Причина 4. Срок действия сертификата модуля NDESPolicy истек.

  В журнале CAPI2 (см. решение причины 2) будут отображаться ошибки, связанные с сертификатом, на который ссылается сертификат, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint за пределами срока действия сертификата.

  Решение. Продление сертификата и переустановка соединителя.

  1. Используется certlm.msc для открытия хранилища сертификатов локального компьютера, разверните узел "Персональный" и выберите "Сертификаты".

  2. В списке сертификатов найдите истекший срок действия сертификата, удовлетворяющий следующим условиям:

     • Значением предполагаемых целей является проверка подлинности клиента.
     • Значение выданного имени или общего имени соответствует имени сервера NDES.

     Примечание.

     Требуется расширенное использование ключа проверки подлинности клиента (EKU). Без этого EKU СертификатRegistrationSvc вернет ответ HTTP 403 на запросы NDESPlugin. Этот ответ будет зарегистрирован в журналах IIS.

  3. Дважды щелкните сертификат. В диалоговом окне "Сертификат" выберите вкладку "Сведения", найдите поле "Отпечаток", а затем убедитесь, что значение соответствует значению подраздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint реестра.

  4. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Сертификат ".

  5. Щелкните правой кнопкой мыши сертификат, выберите "Все задачи", а затем выберите "Запросить сертификат с новым ключом " или "Обновить сертификат" с помощью нового ключа.

  6. На странице регистрации сертификатов нажмите кнопку "Далее", выберите правильный шаблон SSL, а затем нажмите кнопку "Дополнительные сведения" для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.

  7. В диалоговом окне "Свойства сертификата" выберите вкладку "Тема" и выполните следующие действия:

     1. В раскрывающемся списке "Тип" в разделе "Имя субъекта" выберите "Общее имя". В поле "Значение" введите полное доменное имя сервера NDES. Нажмите кнопку Добавить.
     2. В раскрывающемся списке "Тип" в раскрывающемся списке "Альтернативный" выберите DNS. В поле "Значение" введите полное доменное имя сервера NDES. Нажмите кнопку Добавить.
     3. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства сертификата".

  8. Нажмите кнопку "Регистрация", подождите, пока регистрация завершится успешно, а затем нажмите кнопку "Готово".

  9. Переустановите соединитель сертификатов Intune, чтобы связать его с вновь созданным сертификатом. Дополнительные сведения см. в разделе Установка соединителя сертификатов для Microsoft Intune.

  10. После закрытия пользовательского интерфейса соединителя сертификатов перезапустите службу соединителя Intune и службу веб-публикации.

GatewayTimeout

При переходе по URL-адресу сервера SCEP вы получите следующую ошибку:

• Причина. Служба соединителя прокси приложения Microsoft Entra не запущена.

  Решение. Запустите services.msc, а затем убедитесь, что служба прокси-соединителя прокси приложения Microsoft Entra запущена, а тип запуска имеет значение "Автоматический".

Http 414 Request-URI слишком длинный

При переходе по URL-адресу сервера SCEP вы получите следующую ошибку: HTTP 414 Request-URI Too Long

• Причина: фильтрация запросов IIS не настроена для поддержки длинных URL-адресов (запросов), получаемых службой NDES. Эта поддержка настраивается при настройке службы NDES для использования с инфраструктурой scEP.

• Решение. Настройка поддержки длинных URL-адресов.

  1. На сервере NDES откройте диспетчер IIS, выберите параметр параметра фильтра фильтра веб-сайта>>по умолчанию, чтобы открыть страницу параметров фильтрации запросов.

  2. Настройте следующие параметры:

     • Максимальная длина URL-адреса (байт) = 65534
     • Максимальная строка запроса (байт) = 65534

  3. Нажмите кнопку "ОК" , чтобы сохранить эту конфигурацию и закрыть диспетчер IIS.

  4. Проверьте эту конфигурацию, найдя следующий раздел реестра, чтобы убедиться, что он имеет указанные значения:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Следующие значения задаются как записи DWORD:

     • Имя: MaxFieldLength с десятичным значением 65534
     • Имя: MaxRequestBytes с десятичным значением 65534

  5. Перезагрузите сервер NDES.

Не удается отобразить эту страницу

Вы настроили прокси приложения Microsoft Entra. При переходе по URL-адресу сервера SCEP вы получите следующую ошибку:

This page can't be displayed

• Причина. Эта проблема возникает, когда внешний URL-адрес SCEP неверный в конфигурации прокси приложения. Пример URL-адреса: https://contoso.com/certsrv/mscep/mscep.dll.

  Решение. Используйте домен по умолчанию yourtenant.msappproxy.net для внешнего URL-адреса SCEP в конфигурации прокси приложения.

500 — внутренняя ошибка сервера

При переходе по URL-адресу сервера SCEP вы получите следующую ошибку:

• Причина 1. Учетная запись службы NDES заблокирована или срок действия пароля истек.

  Решение. Разблокируйте учетную запись или сбросьте пароль.

• Причина 2. Срок действия сертификатов MSCEP-RA истек.

  Решение. Если срок действия сертификатов MSCEP-RA истек, переустановите роль NDES или запросите новые сертификаты шифрования CEP и агента регистрации Exchange (автономный запрос).

  Чтобы запросить новые сертификаты, выполните следующие действия.

  1. В центре сертификации (ЦС) или выдающем ЦС откройте MMC шаблонов сертификатов. Убедитесь, что вошедший в систему пользователь и сервер NDES имеют разрешения на чтение и регистрацию для шаблонов сертификатов шифрования CEP и агента регистрации Exchange (автономный запрос).

  2. Проверьте срок действия сертификатов на сервере NDES, скопируйте сведения субъекта из сертификата.

  3. Откройте учетную запись MMC сертификатов для компьютера.

  4. Разверните личный, щелкните правой кнопкой мыши сертификаты, а затем выберите "Все задачи>запросить новый сертификат".

  5. На странице "Запрос сертификата" выберите "Шифрование CEP", а затем выберите "Дополнительные сведения" для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.

     

  6. На вкладке "Свойства сертификата" выберите вкладку "Тема", введите имя субъекта, собранные на шаге 2, нажмите кнопку "Добавить", а затем нажмите кнопку "ОК".

  7. Завершите регистрацию сертификата.

  8. Откройте MMC сертификатов для учетной записи "Мой пользователь".

     При регистрации сертификата агента регистрации Exchange (автономный запрос) его необходимо выполнить в контексте пользователя. Так как для типа субъекта этого шаблона сертификата задано значение User.

  9. Разверните личный, щелкните правой кнопкой мыши сертификаты, а затем выберите "Все задачи>запросить новый сертификат".

  10. На странице "Сертификат запроса" выберите агент регистрации Exchange (автономный запрос), а затем выберите дополнительные сведения для регистрации этого сертификата. Щелкните здесь, чтобы настроить параметры.

      

  11. На вкладке "Свойства сертификата" выберите вкладку "Тема", заполните имя субъекта сведениями, собранными на шаге 2, нажмите кнопку "Добавить".

      

      Выберите вкладку "Закрытый ключ", выберите "Сделать экспортируемым закрытым ключом", а затем нажмите кнопку "ОК".

      

  12. Завершите регистрацию сертификата.

  13. Экспортируйте сертификат агента регистрации Exchange (автономный запрос) из текущего хранилища сертификатов пользователя. В мастере экспорта сертификатов выберите "Да", экспортируйте закрытый ключ.

  14. Импортируйте сертификат в хранилище сертификатов локального компьютера.

  15. В MMC сертификатов выполните следующее действие для каждого из новых сертификатов:

      Щелкните правой кнопкой мыши сертификат, выберите "Все задачи>управления закрытыми ключами", добавьте разрешение на чтение в учетную запись службы NDES.

  16. Выполните команду iisreset, чтобы перезапустить IIS.

Следующие шаги

Если устройство успешно достигает сервера NDES, чтобы представить запрос на сертификат, следующим шагом является проверка модуля политики соединителей сертификатов Intune.