Поделиться через

Устранение неполадок с модулем политики NDES в Microsoft Intune

  • Статья

В этой статье приводятся рекомендации по проверке и устранению неполадок с модулем политики регистрации сетевых устройств (NDES), который устанавливается с помощью соединителя сертификатов Microsoft Intune. Когда NDES получает запрос на сертификат, он перенаправляет запрос в модуль политики, который проверяет запрос как действительный для устройства. После проверки NDES обращается к центру сертификации (ЦС), чтобы запросить сертификат от имени устройства.

Эта статья относится как к шагу 3, так и к шагу 4 рабочего процесса обмена данными SCEP.

Обмен данными NDES с модулем политики

Получив запрос на сертификат с устройства, NDES проверяет этот запрос с помощью Intune с помощью модуля политики, который устанавливается с помощью соединителя сертификатов Microsoft Intune. Эти записи относятся к точке регистрации сертификатов.

Записи журнала, указывающие на успех:

Чтобы подтвердить отправку запроса проверки в модуль, найдите запись, похожую на следующие примеры в журналах на сервере NDES:

  • Журналы IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Журнал NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    В следующем примере показана успешная проверка запроса на вызов устройств, и теперь NDES может связаться с ЦС:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Если индикаторы успеха отсутствуют:

Если эти записи не находятся, сначала ознакомьтесь с рекомендациями по устранению неполадок для взаимодействия с сервером NDES.

Если сведения в этой статье не помогают устранить проблему, ниже приведены дополнительные записи, которые могут указывать на проблемы.

NDESPlugin.log содержит ошибку 12175

Если журнал содержит ошибку 12175, аналогичную следующей, может возникнуть проблема с SSL-сертификатом:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Современные браузеры и браузеры на мобильных устройствах игнорируют общее имя ssl-сертификата, если существуют альтернативные имена субъектов.

Решение. Оставьте SSL-сертификат веб-сервера следующими атрибутами для общего имени и альтернативного имени субъекта, а затем привязать его к порту 443 в IIS:

  • Имя субъекта
    CN = имя внешнего сервера
  • Альтернативное имя субъекта
    Name = имя внешнего сервера
    DNS-имя = внутреннее имя сервера

NDESPlugin.log содержит ошибку 403 — запрещено: доступ запрещен"

Если следующие журналы содержат ошибку 403, аналогичную следующей, сертификат клиента может быть недоверен или недопустим:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Журнал IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Эта проблема возникает, если в хранилище сертификатов доверенных корневых центров сертификации сервера NDES есть промежуточные сертификаты ЦС.

Если сертификат имеет одинаковый выданный и выданный значениями, это корневой сертификат. В противном случае это промежуточный сертификат.

Решение. Чтобы устранить проблему, определите и удалите промежуточные сертификаты ЦС из хранилища сертификатов доверенных корневых центров сертификации.

NDESPlugin.log указывает, что задача возвращает значение false

Когда результат вызова возвращает значение false, проверьте сертификат CertificateRegistrationPoint.svclog для ошибок. Например, может появиться ошибка "Не удалось получить сертификат подписи", которая похожа на следующую запись:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Решение. На сервере, на котором установлен соединитель, откройте редактор реестра, найдите HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector раздел реестра, а затем проверьте, существует ли значение SigningCertificate.

Если это значение не существует, перезапустите службу соединителя Intune в services.msc, а затем проверьте, отображается ли значение в реестре. Если значение по-прежнему отсутствует, это часто связано с проблемами сетевого подключения между сервером, который NDES и служба Intune.

NDES передает запрос на выдачу сертификата

После успешной проверки точкой регистрации сертификатов (модулем политики) NDES передает запрос сертификата цС от имени устройства.

Записи журнала, указывающие на успех:

  • Журнал NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Журналы IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Если индикаторы успеха отсутствуют:

Если записи, указывающие на успешность, не отображаются, выполните следующие действия:

  1. Найдите проблемы, зарегистрированные в CertificateRegistrationPoint.svclog , когда точка регистрации сертификата проверяет проблему. Найдите записи между следующими строками:

    • Убедитесь, что запущеноrequest.
    • VerifyRequest Finished с состоянием False

  2. Откройте MMC центра сертификации в ЦС и выберите "Неудачные запросы ", чтобы найти ошибки, которые помогут определить проблему. На следующем изображении приведен пример:

    Снимок экрана: пример неудачного запроса.

  3. Просмотрите журнал событий приложения в ЦС для ошибок. Как правило, ошибки, которые соответствуют отображаемым в неудачных запросах на предыдущем шаге. На следующем изображении приведен пример:

    Снимок экрана: сведения о журнале приложения.

Следующие шаги

Если модуль политики NDES проверяет запрос и запрос перенаправляется в центр сертификации, следующим шагом является проверка доставки сертификата на устройство.