Felsöka enhet till NDES-serverkommunikation för SCEP-certifikatprofiler i Microsoft Intune

Använd följande information för att avgöra om en enhet som tagit emot och bearbetat en SCEP-certifikatprofil (Simple Certificate Enrollment Protocol) i Intune kan kontakta NDES (Network Device Enrollment Service) för att presentera en utmaning. På enheten genereras en privat nyckel och certifikatsigneringsbegäran (CSR) och utmaningen skickas från enheten till NDES-servern. Om du vill kontakta NDES-servern använder enheten URI:n från SCEP-certifikatprofilen.

Den här artikeln refererar till steg 2 i översikten över SCEP-kommunikationsflödet.

Granska IIS-loggar för en anslutning från enheten

IIS-loggfiler (Internet Information Services) innehåller samma typ av poster för alla plattformar.

1. På NDES-servern öppnar du den senaste IIS-loggfilen som finns i följande mapp: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Sök i loggen efter poster som liknar följande exempel. Båda exemplen innehåller status 200, som visas nära slutet:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   och

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. När enheten kontaktar IIS loggas en HTTP GET-begäran för mscep.dll.

   Granska statuskoden i slutet av den här begäran:

   • Statuskod 200: Den här statusen anger att anslutningen till NDES-servern lyckades.

   • Statuskod 500: Gruppen IIS_IUSRS kanske saknar rätt behörigheter. Se Felsöka statuskod 500 senare i den här artikeln.

   • Om statuskoden inte är 200 eller 500:

     • Se Testa och felsöka SCEP-serverns URL senare i den här artikeln för att verifiera konfigurationen.

     • Mer information om mindre vanliga felkoder finns i HTTP-statuskoden i IIS 7 och senare versioner .

   Om anslutningsbegäran inte loggas alls kan kontakten från enheten blockeras i nätverket mellan enheten och NDES-servern.

Granska enhetsloggar för anslutningar till NDES

Android enheter

Granska omadm-loggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Viktiga poster innehåller följande exempeltextsträngar:

• Det finns 1 begäranden
• Fick "200 OK" när getCACaps(ca) skickades till https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Signera pkiMessage med hjälp av nyckeln som tillhör [dn=CN=<username>; serial=1]

Anslutningen loggas också av IIS i mappen %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ på NDES-servern. Nedan visas ett exempel:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS/iPadOS-enheter

Granska felsökningsloggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Viktiga poster innehåller följande exempeltextsträngar:

• operation=GetCACert
• Försöker hämta utfärdat certifikat
• Skicka CSR via GET
• operation=PKIOperation

Windows-enheter

På en Windows-enhet som upprättar en anslutning till NDES kan du visa enheterna windows Loggboken och leta efter indikationer på en lyckad anslutning. Anslutningar loggas som ett händelse-ID 36 i enhetsloggen DeviceManagement-Enterprise-Diagnostics-Provide>.

Så här öppnar du loggen:

1. På enheten kör du eventvwr.msc för att öppna Windows Loggboken.

2. Expandera Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

3. Leta efter händelse 36, som liknar följande exempel, med nyckelraden i SCEP: Certifikatbegäran har genererats:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Felsöka statuskod 500

Anslutningar som liknar följande exempel, med statuskoden 500, anger att personifiera en klient efter autentiseringsanvändaren inte har tilldelats till den IIS_IUSRS gruppen på NDES-servern. Statusvärdet 500 visas i slutet:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Åtgärda problemet genom att utföra följande steg:

1. På NDES-servern kör du secpol.msc för att öppna den lokala säkerhetsprincipen.
2. Expandera Lokala principer och välj sedan Tilldelning av användarrättigheter.
3. Dubbelklicka på Personifiera en klient efter autentisering i den högra rutan.
4. Välj Lägg till användare eller grupp..., ange IIS_IUSRS i rutan Ange de objektnamn som ska väljas och välj sedan OK.
5. Välj OK.
6. Starta om datorn och försök sedan ansluta från enheten igen.

Testa och felsöka SCEP-serverns URL

Använd följande steg för att testa URL:en som anges i SCEP-certifikatprofilen.

1. I Intune redigerar du din SCEP-certifikatprofil och kopierar server-URL:en. URL:en bör likna https://contoso.com/certsrv/mscep/mscep.dll.

2. Öppna en webbläsare och bläddra sedan till SCEP-serverns URL. Resultatet bör vara: HTTP-fel 403.0 – Förbjudet. Det här resultatet anger att URL:en fungerar korrekt.

   Om du inte får det felet väljer du länken som liknar felet du ser för att visa problemspecifik vägledning:

   • Jag får ett allmänt meddelande om registreringstjänsten för nätverksenheter
   • Jag får "HTTP-fel 503. Tjänsten är inte tillgänglig"
   • Jag får felet "GatewayTimeout"
   • Jag får "HTTP 414 Request-URI Too Long"
   • Jag får "Den här sidan kan inte visas"
   • Jag får "500 – internt serverfel"

Allmänt NDES-meddelande

När du bläddrar till SCEP-serverns URL får du följande meddelande om registreringstjänsten för nätverksenheter:

• Orsak: Det här problemet är vanligtvis ett problem med installationen av Microsoft Intune Connector.

  Mscep.dll är ett ISAPI-tillägg som fångar upp inkommande begäran och visar HTTP 403-felet om det är korrekt installerat.

  Lösning: Granska filen SetupMsi.log för att avgöra om Microsoft Intune Connector har installerats. I följande exempel har installationen slutförts och statusen För installationen lyckades eller fel: 0 anger en lyckad installation:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Om installationen misslyckas tar du bort Microsoft Intune Connector och installerar sedan om den. Om installationen lyckades och du fortsätter att ta emot meddelandet Allmänt NDES kör du kommandot iisreset för att starta om IIS.

HTTP-fel 503

När du bläddrar till SCEP-serverns URL får du följande fel:

Det här problemet beror vanligtvis på att SCEP-programpoolen i IIS inte har startats. Öppna IIS-hanteraren på NDES-servern och gå till Programpooler. Leta upp SCEP-programpoolen och bekräfta att den har startats.

Om SCEP-programpoolen inte har startats kontrollerar du programhändelseloggen på servern:

1. På enheten kör du eventvwr.msc för att öppna Loggboken och gå till Windows-loggprogrammet>.

2. Leta efter en händelse som liknar följande exempel, vilket innebär att programpoolen kraschar när en begäran tas emot:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Vanliga orsaker till en programpoolkrasch

• Orsak 1: Det finns mellanliggande CA-certifikat (inte självsignerade) i NDES-serverns certifikatarkiv för betrodda rotcertifikatutfärdare.

  Lösning: Ta bort mellanliggande certifikat från certifikatarkivet betrodda rotcertifikatutfärdare och starta sedan om NDES-servern.

  Om du vill identifiera alla mellanliggande certifikat i certifikatarkivet betrodda rotcertifikatutfärdare kör du följande PowerShell-cmdlet: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Ett certifikat som har samma värden utfärdat till och utfärdat av är ett rotcertifikat. Annars är det ett mellanliggande certifikat.

  När du har tagit bort certifikat och startat om servern kör du PowerShell-cmdleten igen för att bekräfta att det inte finns några mellanliggande certifikat. Om det finns det kontrollerar du om en grupprincip skickar mellanliggande certifikat till NDES-servern. I så fall undantar du NDES-servern från grupprincip och tar bort mellanliggande certifikat igen.

• Orsak 2: URL:erna i listan över återkallade certifikat (CRL) blockeras eller kan inte nås för de certifikat som används av Intune Certificate Connector.

  Lösning: Aktivera ytterligare loggning för att samla in mer information:

  1. Öppna Loggboken, välj Visa, kontrollera att alternativet Visa analys- och felsökningsloggar är markerat.
  2. Gå till Program- och tjänstloggar>Microsoft>Windows>CAPI2>Drift, högerklicka på Drift och välj sedan Aktivera logg.
  3. När CAPI2-loggning har aktiverats återskapar du problemet och undersöker händelseloggen för att felsöka problemet.

• Orsak 3: IIS-behörighet på CertificateRegistrationSvc har Windows-autentisering aktiverat.

  Lösning: Aktivera anonym autentisering och inaktivera Windows-autentisering och starta sedan om NDES-servern.

  

• Orsak 4: NDESPolicy-modulcertifikatet har upphört att gälla.

  CAPI2-loggen (se Orsak 2:s lösning) visar fel som rör certifikatet som refereras till genom HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint att ligga utanför certifikatets giltighetsperiod.

  Lösning: Förnya certifikatet och installera om anslutningsappen.

  1. Använd certlm.msc för att öppna certifikatarkivet för den lokala datorn, expandera Personligt och välj sedan Certifikat.

  2. I listan över certifikat hittar du ett utgånget certifikat som uppfyller följande villkor:

     • Värdet för Avsedda syften är klientautentisering.
     • Värdet för Utfärdat till eller Gemensamt namn matchar NDES-servernamnet.

     Kommentar

     Den utökade nyckelanvändningen (EKU) för klientautentisering krävs. Utan denna EKU returnerar CertificateRegistrationSvc ett HTTP 403-svar på NDESPlugin-begäranden. Det här svaret loggas i IIS-loggarna.

  3. Dubbelklicka på certifikatet. I dialogrutan Certifikat väljer du fliken Information, letar upp fältet Tumavtryck och kontrollerar sedan att värdet matchar värdet för registerundernyckelnHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint.

  4. Välj OK för att stänga dialogrutan Certifikat .

  5. Högerklicka på certifikatet, välj Alla aktiviteter och välj sedan Begär certifikat med ny nyckel eller Förnya certifikat med ny nyckel.

  6. På sidan Certifikatregistrering väljer du Nästa, väljer rätt SSL-mall och väljer sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

  7. I dialogrutan Certifikategenskaper väljer du fliken Ämne och utför sedan följande steg:

     1. Under Ämnesnamn går du till listrutan Typ och väljer Gemensamt namn. I rutan Värde anger du det fullständigt kvalificerade domännamnet (FQDN) för NDES-servern. Välj Lägg till.
     2. Under Alternativt namn går du till listrutan Typ och väljer DNS. I rutan Värde anger du FQDN för NDES-servern. Välj Lägg till.
     3. Välj OK för att stänga dialogrutan Certifikategenskaper .

  8. Välj Registrera, vänta tills registreringen har slutförts och välj sedan Slutför.

  9. Installera om Intune Certificate Connector för att länka den till det nyligen skapade certifikatet. För mer information, se Installera certifikatanslutaren för Microsoft Intune.

  10. När du har stängt gränssnittet för certifikatanslutningsappen startar du om Intune Connector Service och World Wide Web Publishing Service.

GatewayTimeout

När du bläddrar till SCEP-serverns URL får du följande fel:

• Orsak: Tjänsten Microsoft Entra-programproxyanslutningsappen har inte startats.

  Lösning: Kör services.msc och kontrollera sedan att Microsoft Entra-tjänsten för programproxyanslutning körs och att starttypen är inställd på Automatisk.

HTTP 414 Request-URI för lång

När du bläddrar till SCEP-serverns URL får du följande fel: HTTP 414 Request-URI Too Long

• Orsak: Filtrering av IIS-begäranden har inte konfigurerats för att stödja de långa URL:er (frågor) som NDES-tjänsten tar emot. Det här stödet konfigureras när du konfigurerar NDES-tjänsten för användning med infrastrukturen för SCEP.

• Lösning: Konfigurera stöd för långa URL:er.

  1. På NDES-servern öppnar du IIS-hanteraren, väljer Standardinställning>för webbplatsbegäransfiltrering>Redigera funktionsinställning för att öppna sidan Redigera inställningar för filtrering av begäranden.

  2. Konfigurera följande inställningar:

     • Maximal URL-längd (byte) = 65534
     • Maximal frågesträng (byte) = 65534

  3. Välj OK för att spara den här konfigurationen och stänga IIS-hanteraren.

  4. Verifiera den här konfigurationen genom att hitta följande registernyckel för att bekräfta att den har de angivna värdena:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Följande värden anges som DWORD-poster:

     • Namn: MaxFieldLength, med ett decimalvärde på 65534
     • Namn: MaxRequestBytes, med decimalvärdet 65534

  5. Starta om NDES-servern.

Det går inte att visa den här sidan

Du har konfigurerat Microsoft Entra-programproxyn. När du bläddrar till SCEP-serverns URL får du följande fel:

This page can't be displayed

• Orsak: Det här problemet uppstår när den externa SCEP-URL:en är felaktig i Programproxy konfigurationen. Ett exempel på den här URL:en är https://contoso.com/certsrv/mscep/mscep.dll.

  Lösning: Använd standarddomänen för yourtenant.msappproxy.net för den externa SCEP-URL:en i Programproxy konfigurationen.

500 – internt serverfel

När du bläddrar till SCEP-serverns URL får du följande fel:

• Orsak 1: NDES-tjänstkontot är låst eller så har lösenordet upphört att gälla.

  Lösning: Lås upp kontot eller återställ lösenordet.

• Orsak 2: MSCEP-RA-certifikaten har upphört att gälla.

  Lösning: Om MSCEP-RA-certifikaten har upphört att gälla installerar du om NDES-rollen eller begär nya CEP-krypterings- och Exchange-registreringsagentcertifikat (offlinebegäran).

  Följ dessa steg för att begära nya certifikat:

  1. Öppna MMC för certifikatmallar på certifikatutfärdare (CA) eller utfärdande certifikatutfärdare. Kontrollera att den inloggade användaren och NDES-servern har läs - och registreringsbehörighet till certifikatmallarna CEP Encryption och Exchange Enrollment Agent (offlinebegäran).

  2. Kontrollera de utgångna certifikaten på NDES-servern och kopiera ämnesinformationen från certifikatet.

  3. Öppna MMC-certifikatet för datorkontot.

  4. Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.

  5. På sidan Begär certifikat väljer du CEP-kryptering och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

     

  6. I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2, väljer Lägg till och väljer sedan OK.

  7. Slutför certifikatregistreringen.

  8. Öppna MMC-certifikatet för Mitt användarkonto.

     När du registrerar dig för Exchange Enrollment Agent-certifikatet (offlinebegäran) måste det göras i användarkontexten. Eftersom certifikatmallens ämnestyp är inställd på Användare.

  9. Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.

  10. På sidan Begär certifikat väljer du Exchange Enrollment Agent (offlinebegäran) och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

      

  11. I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2 och väljer Lägg till.

      

      Välj fliken Privat nyckel , välj Gör privat nyckel exporterbar och välj sedan OK.

      

  12. Slutför certifikatregistreringen.

  13. Exportera certifikatet för Exchange-registreringsagenten (offlinebegäran) från det aktuella användarcertifikatarkivet. I guiden Certifikatexport väljer du Ja, exportera den privata nyckeln.

  14. Importera certifikatet till certifikatarkivet för den lokala datorn.

  15. I MMC-certifikaten utför du följande åtgärd för vart och ett av de nya certifikaten:

      Högerklicka på certifikatet, välj Alla uppgifter>Hantera privata nycklar, lägg till läsbehörighet till NDES-tjänstkontot.

  16. Kör kommandot iisreset för att starta om IIS.

Nästa steg

Om enheten når NDES-servern för att presentera certifikatbegäran är nästa steg att granska principmodulen för Intune Certificate Connectors.