Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Symptome
Es treten Konnektivitätsprobleme in einer Microsoft Endpoint Configuration Manager-Dienstverbindungspunktrolle auf. Wenn diese Probleme auftreten, treten eines der folgenden Symptome auf:
Während der Uploads oder Synchronisierungen mit Configuration Manager-Clouddiensten erhalten Sie die folgenden Statusmeldungs-IDs, die auf einen Kommunikationsfehler hinweisen:
- 9605: DMP_UPLOADER_UPLOAD_FAILED
- 9607: DMP_UPLOADER_UPLOAD_EXCEPTION
Der folgende Fehlereintrag wird in den Configuration Manager-Protokollen protokolliert:
- Fehler beim Überprüfen und Laden des Dienstsignaturzertifikats. System.ArgumentException: Fehler beim Erstellen der Kette
Ursache
Dieses Problem kann auftreten, wenn eine der folgenden Bedingungen zutrifft:
- Der automatische Stammzertifikatmechanismus ist deaktiviert.
- Das DigiCert Global Root G2-Stammzertifikat ist nicht installiert.
- Die Zwischenzertifikate werden nicht im Speicher für Zwischenzertifizierungsstellen installiert.
- In Ihrer Umgebung können ausgehende Anrufe nur an bestimmte CRL-Downloads (Certificate Revocation List) oder OCSP-Überprüfungsspeicherorte (Online Certificate Status Protocol) gesendet werden.
Lösung
Installieren Sie die neuesten Stammzertifikate. Die Stammzertifikate werden möglicherweise nicht automatisch installiert, wenn Sie eine getrennte Umgebung ausführen oder die erforderlichen Internetendpunkte blockiert werden.
Getrennte Umgebungen
Aktualisieren Sie vertrauenswürdige Stammzertifikate und unzulässige Zertifikatvertrauenslisten (CERTIFICATE Trust Lists, CTLs) in getrennten Umgebungen.
Innerhalb getrennter Umgebungen müssen Administratoren entweder eine Dateifreigabe oder einen Webserver einrichten, um die Dateien intern zu hosten. Gruppenrichtlinieneinstellungen werden ebenfalls aktualisiert, sodass die Clients und Server anstelle des Internetspeicherorts die interne Dateifreigabe oder den Webserver verwenden.
Systeme, die in getrennten Umgebungen ausgeführt werden, müssen die neuen Wurzeln dem Speicher für vertrauenswürdige Stammzertifizierungsstellen hinzugefügt haben und die Zwischenstufen zum Speicher für Zwischenzertifizierungsstellen hinzugefügt haben.
Sie können berücksichtigen, dass Ihre Umgebung getrennt wird, wenn eine der folgenden Bedingungen zutrifft:
- Der direkte Zugriff auf Windows Update ist blockiert.
- Der Mechanismus für die automatische Aktualisierung sowohl für vertrauenswürdige als auch für nicht vertrauenswürdige CTLs ist deaktiviert.
Informationen zum Vereinfachen der Verteilung von vertrauenswürdigen oder nicht vertrauenswürdigen Zertifikaten für getrennte Umgebungen finden Sie unter Konfigurieren vertrauenswürdiger Wurzeln und unzulässiger Zertifikate in Windows.
Internetendpunkte
Wenn Sie über eine Umgebung verfügen, in der Regeln so festgelegt sind, dass ausgehende Anrufe nur für bestimmte CRL-Downloads (Certificate Revocation List) oder OCSP-Überprüfungsspeicherorte (Online Certificate Status Protocol) zugelassen werden, müssen Sie die folgenden CRL- und OCSP-URLs zulassen:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://ctldl.windowsupdate.com
https://mscrl.microsoft.com
https://crl.microsoft.com
https://oneocsp.microsoft.com
http://ocsp.msocsp.com
Weitere Informationen:
Microsoft verwaltet die Liste der Stammzertifikate, die vom Windows-Stammzertifikatprogramm auf der Programmwebsite verteilt werden.
Weitere Informationen zum Windows-Stammzertifikatsprogramm und zur Liste der Zertifizierungsstellen (CAs), die Mitglied sind, finden Sie in den Versionshinweisen – Microsoft Trusted Root Certificate Program.
Stammzertifikataktualisierungsmechanismen sind in verschiedenen Versionen von Windows verfügbar. Dies schließt die mechanismen für die automatische Stammaktualisierung ein.
Weitere Informationen zum Aktualisieren der Stammzertifikatliste in verschiedenen Versionen von Windows finden Sie unter Konfigurieren von vertrauenswürdigen Wurzeln und unzulässigen Zertifikaten in Windows.
Standardmäßig ist der Mechanismus für automatische Stammupdates in verschiedenen Versionen von Windows aktiviert. Wenn dieser Mechanismus jedoch deaktiviert ist und der Dienstverbindungspunktserver nicht das DigiCert Global Root G2-Stammzertifikat installiert hat, können Konnektivitätsprobleme mit Configuration Manager-Clouddiensten auftreten. Die lokale Configuration Manager-Hierarchie kann möglicherweise nicht mehr auf die Microsoft Configuration Manager-Clouddienste und andere solche Ressourcen zugreifen.
Weitere Informationen finden Sie unter Azure TLS-Zertifikatänderungen und Azure IoT TLS: Änderungen kommen.
Nächste Schritte
Weitere Informationen zu Konnektivitätsanforderungen und zur Problembehandlung für Configuration Manager finden Sie in den folgenden Elementen: