Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden Fehler behoben, wenn Sie ein SCEP-Zertifikatprofil (Simple Certificate Enrollment Protocol) in Microsoft Intune konfigurieren und zuweisen.
Symptome
Nachdem Sie ein SCEP-Zertifikatprofil in Intune konfiguriert und zugewiesen haben, treten die folgenden Probleme auf:
Zielgeräte erhalten kein Zertifikat.
Das Zertifikatprofil zeigt den Status " Fehlgeschlagen " im Microsoft Intune Admin Center an.
Eingehende SCEP-Anforderungen generieren HTTP 500-Fehlereinträge in den IIS-Protokollen auf dem Computer, auf dem der Microsoft Intune NDES-Connector ausgeführt wird. Diese Einträge ähneln den folgenden Einträgen:
DateTime IPAddress GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 -IPAddress profiled/1.0+CFNetwork/975.0.3+Darwin/18.2.0 - 200 0 0 0
DateTime IPAddress GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=SCEP%20Authority 443 -IPAddressprofiled /1.0+CFNetwork/975.0.3+Darwin/18.2.0 - 200 0 0 15
DateTime IPAddress POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -IPAddressNDES_Plugin - 500 0 0 359
DateTime IPAddress GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 -IPAddressprofiled/1.0+CFNetwork/975.0.3+Darwin/18.2.0 - 200 0 0 189
DateTime IPAddress GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=SCEP%20Authority 443 -IPAddressprofiled /1.0+CFNetwork/975.0.3+Darwin/18.2.0 - 200 0 0 15
DateTime IPAddress POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -IPAddressNDES_Plugin - 500 0 0 375Notiz
Standardmäßig befinden sich die IIS-Protokolle unter
\inetpub\logs\LogFiles\W3SVC1\.Das Systemereignisprotokoll auf dem Computer, auf dem der Microsoft Intune NDES-Connector ausgeführt wird, enthält eine Ereignis-ID 5009-Warnung, die Folgendes enthält:
Ein Prozess, der den Anwendungspool "SCEP" bedient, wurde unerwartet beendet. Die Prozess-ID lautete "<ProcessID>". Der Prozessausgangscode lautete "0x0000374".
Das Anwendungsereignisprotokoll auf dem Computer, auf dem der Microsoft Intune NDES-Connector ausgeführt wird, enthält eine Ereignis-ID 1310-Warnung, die Den Fehlercode 3007 und Folgendes enthält:
Es ist ein Kompilierungsfehler aufgetreten.
Ursache
Dieses Problem kann auftreten, wenn die Schreibberechtigung für das Konto fehlt, das zum Ausführen des CertificateRegistrationSvc Anwendungspools (z. B. des Netzwerkdienstkontos) im C:\Windows\Temp Ordner verwendet wird.
Notiz
Da die Überprüfungsanforderungen vom Intune-Clouddienst verarbeitet werden, kann dieses Problem nur auftreten, wenn sie den Legacyzertifikatsconnector anstelle des neuen Connectors verwenden.
Lösung
Um dieses Problem zu beheben, fügen Sie das Netzwerkdienstkonto hinzu, das über die Schreibberechtigung für den C:\Windows\Temp Ordner verfügt.
Stellen Sie außerdem sicher, dass nach dem Hinzufügen keine anderen Richtlinien vorhanden sind, die die Berechtigung "Schreiben " entfernen. Andernfalls tritt das Problem erneut auf.