Problembehandlung für SCEP-Zertifikatprofile mit Intune

Dieser Artikel enthält Anleitungen zur Problembehandlung und Behebung von Problemen mit SCEP-Zertifikatprofilen (Simple Certificate Enrollment Protocol) in Microsoft Intune. In den folgenden Abschnitten werden diese Konzepte behandelt:

• Die Architektur und der Kommunikationsfluss des SCEP-Prozesses
• Eingrenzen, wo ein Problem in diesem Kommunikationsfluss vorhanden ist
• Identifizieren der Schlüsselprotokolldateien, auf die in nachfolgenden Artikeln zur Problembehandlung von Zertifikatprofilen verwiesen wird

Die Informationen in diesem Artikel und den zugehörigen Artikeln zur Problembehandlung von SCEP-Zertifikaten gelten für die Verwendung von SCEP-Zertifikatprofilen mit Android-, iOS-/iPad- und Windows-Geräten. Ähnliche Informationen für macOS sind derzeit nicht verfügbar. Informationen zur Problembehandlung des Registrierungsdiensts für Netzwerkgeräte (Network Device Enrollment Service, NDES) finden Sie in den folgenden Artikeln:

• Überprüfen der lokalen NDES-Konfiguration für SCEP-Zertifikate in Intune
• Konfigurieren der Infrastruktur, sodass SCEP mit Intune unterstützt wird

Bevor Sie fortfahren, stellen Sie sicher, dass Sie die Voraussetzungen für die Verwendung von SCEP-Zertifikatprofilen erfüllt haben, einschließlich der Bereitstellung eines Stammzertifikats über ein vertrauenswürdiges Zertifikatprofil.

Übersicht über den SCEP-Kommunikationsfluss

Die folgende Abbildung zeigt eine grundlegende Übersicht über den SCEP-Kommunikationsprozess in Intune. Jeder Schritt enthält einen Link zu einem Artikel mit ausführlicheren Anleitungen.

1. Stellen Sie ein SCEP-Zertifikatprofil bereit. Intune generiert eine Abfragezeichenfolge, für die ein bestimmter Benutzer, Ein bestimmter Zertifikatzweck und Zertifikattyp erforderlich ist.

2. Kommunikation zwischen Gerät und NDES-Server. Das Gerät verwendet den URI für NDES aus dem Profil, um den NDES-Server zu kontaktieren, damit er eine Herausforderung darstellen kann.

3. Kommunikation zwischen NDES und Richtlinienmodulen. NDES leitet die Abfrage an das richtlinienmodul Intune Certificate Connector auf dem Server weiter, das die Anforderung überprüft.

4. NDES an Zertifizierungsstelle. NDES übergibt gültige Anforderungen zum Ausstellen eines Zertifikats an die Zertifizierungsstelle (ZS).

5. Zertifikatübermittlung an das Gerät. Das Zertifikat wird an das Gerät übermittelt.

6. Berichterstellung der Bereitstellung an Intune. Der Intune Certificate Connector meldet das Zertifikatausstellungsereignis an Intune.

Protokolldateien

Um Probleme mit dem Kommunikations- und Zertifikatbereitstellungsworkflow zu identifizieren, überprüfen Sie Protokolldateien sowohl von der Serverinfrastruktur als auch von Geräten. In späteren Abschnitten zur Problembehandlung von SCEP-Zertifikatprofilen wird auf Protokolldateien verwiesen, auf die in diesem Abschnitt verwiesen wird.

• Infrastruktur- und Serverprotokolle

Geräteprotokolle hängen von der Geräteplattform ab:

• iOS und iPadOS
• Android
• Windows

Protokolle für die lokale Infrastruktur

Die lokale Infrastruktur, die die Verwendung von SCEP-Zertifikatprofilen für Zertifikatbereitstellungen unterstützt, umfasst den Microsoft Intune Certificate Connector, NDES, das auf einem Windows Server ausgeführt wird, und die Zertifizierungsstelle.

Protokolldateien für diese Rollen umfassen Windows Ereignisanzeige, Zertifikatkonsolen und verschiedene Protokolldateien speziell für den Intune Certificate Connector, NDES oder andere Rollen und Vorgänge, die Teil der lokalen Infrastruktur sind.

Die folgende Liste enthält Protokolle oder Konsolen, auf die in den nachfolgenden Artikeln zur Problembehandlung von SCEP verwiesen wird.

• NDESConnector_date_time.svclog:

  Dieses Protokoll zeigt die Kommunikation zwischen dem Microsoft Intune Certificate Connector und dem Intune Clouddienst. Sie können das Service Trace Viewer-Tool verwenden, um diese Protokolldatei anzuzeigen.

  Zugehöriger Registrierungsschlüssel: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

  Speicherort: Auf dem Server, der NDES unter %program_files%\Microsoft intune hostet,\ndesconnectorsvc\logs\logs

• CertificateRegistrationPoint_date_time.svclog:

  Dieses Protokoll zeigt das NDES-Richtlinienmodul, das Zertifikatanforderungen empfängt und überprüft. Sie können das Service Trace Viewer-Tool verwenden, um diese Protokolldatei anzuzeigen.

  Speicherort: Auf dem Server, der NDES unter %program_files%\Microsoft intune hostet,\ndesconnectorsvc\logs\logs

• NDESPlugin.log:

  Dieses Protokoll zeigt die Übergabe von Zertifikatanforderungen an den Zertifikatregistrierungspunkt und die daraus resultierende Überprüfung dieser Anforderungen.

  Speicherort: Auf dem Server, der NDES unter %program_files%\Microsoft Intune\NDESPolicyModule\logs hostet

• IIS-Protokolle:

  IIS-Protokolle zeigen die Zertifikatanforderungen von mobilen Geräten an, die in NDES eingegeben werden.

  Speicherort: Auf dem Server, der NDES unter c:\inetpub\logs\LogFiles\W3SVC1 hostet

• Windows-Anwendungsprotokoll:

  Dieses Protokoll ist nützlich, wenn IIS-Probleme wie der SCEP-Anwendungspool untersucht werden.

  Speicherort: Auf dem Server, der NDES hostet: Führen Sie eventvwr.msc aus, um Windows Ereignisanzeige

Protokolle für Android-Geräte

Verwenden Sie für Geräte, auf denen Android ausgeführt wird, die Protokolldatei android Unternehmensportal App OMADM.log. Bevor Sie Protokolle sammeln und überprüfen, stellen Sie sicher, dass die ausführliche Protokollierung aktiviert ist, und reproduzieren Sie dann das Problem.

Informationen zum Sammeln von OMADM.logs von einem Gerät finden Sie unter Hochladen und Senden von Protokollen per USB-Kabel.

Zur Unterstützung können Sie auch Protokolle hochladen und per E-Mail senden .

Protokolle für iOS- und iPadOS-Geräte

Für Geräte mit iOS/iPadOS verwenden Sie Debugprotokolle und Xcode , die auf einem Mac-Computer ausgeführt werden:

1. Verbinden Sie das iOS/iPadOS-Gerät mit dem Mac, und wechseln Sie dann zuAnwendungshilfsprogramme>, um die Konsolen-App zu öffnen.

2. Wählen Sie unter Aktiondie Option Infomeldungen einschließen und Debugnachrichten einschließen aus.

   

3. Reproduzieren Sie das Problem, und speichern Sie die Protokolle dann in einer Textdatei:

   1. Wählen Sie Bearbeiten>Alle auswählen aus, um alle Nachrichten auf dem aktuellen Bildschirm auszuwählen, und wählen Sie dannKopierenbearbeiten> aus, um die Nachrichten in die Zwischenablage zu kopieren.
   2. Öffnen Sie die Anwendung TextEdit, fügen Sie die kopierten Protokolle in eine neue Textdatei ein, und speichern Sie die Datei.

Das Unternehmensportal-Protokoll für iOS- und iPadOS-Geräte enthält keine Informationen zu SCEP-Zertifikatprofilen.

Protokolle für Windows-Geräte

Verwenden Sie für Geräte, auf denen Windows ausgeführt wird, die Windows-Ereignisprotokolle, um Registrierungs- oder Geräteverwaltungsprobleme für Geräte zu diagnostizieren, die Sie mit Intune verwalten.

Öffnen Sie auf dem Gerät Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Nächste Schritte

Problembehandlung bei der Bereitstellung eines SCEP-Zertifikatprofils auf Geräten in Microsoft Intune