Compartir a través de

Los clientes de Configuration Manager no se comunican con CMG

En este artículo se proporcionan soluciones a problemas comunes cuando los clientes de Configuration Manager no se comunican con cloud Management Gateway (CMG).

Versión original del producto: Configuration Manager (rama actual)
Número de KB original: 4503442, 4495265

Código de error 403 (CMGConnector_Clientcertificaterequired)

En los siguientes archivos de registro, se registran los mensajes de error similares a las siguientes entradas:

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Clientcertificaterequired

SMS_Cloud_ProxyConnector.log

Forwarding proxy message \<message ID> to URL: `https://InternalMP.contoso.com/SMS_MP/.sms_aut?SITESIGNCERT`  
Web exception for message \<message ID>: System.Net.WebException: **The remote server returned an error: (403) Forbidden**.~~  at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)~~  at Microsoft.ConfigurationManager.CloudConnection.ProxyConnector.ConnectionBase.InternalResponseCallBack(IAsyncResult asynchronousResult)  
Received response `https://InternalMP.contoso.com/SMS_MP/.sms_aut?MPLIST2&CM1` for message \<message ID>: HTTP/1.1 403 CMGConnector_Clientcertificaterequired

Causa

El punto de conexión de CMG requiere un certificado de autenticación de servidor para reenviar de forma segura las solicitudes de cliente a un punto de administración HTTPS. Si falta el certificado de autenticación del servidor, no está configurado o no es válido, se devuelve el código de estado 403. En escenarios en los que el punto de administración (MP) funciona en modo HTTP mejorado con autenticación basada en tokens, el certificado no es necesario, pero siempre se recomienda.

Solución

Para resolver este problema, genere un certificado de autenticación de servidor para el punto de conexión de CMG.

Nota:

En el certificado, los equipos deben tener un valor único en el campo Nombre del firmante o Nombre alternativo del firmante.

Comprobación de que CMG tiene un certificado de servidor

Después de habilitar el registro detallado, el archivo SMS_Cloud_ProxyConnector.log mostrará la lista de certificados disponibles en el servidor. Para comprobar si existe un certificado de autenticación de servidor válido para establecer la comunicación entre el punto de conexión de CMG y el punto de administración, compruebe el número de certificados en el recuento de certificados filtrados con la línea autenticación del cliente. Consulte el registro siguiente para obtener un ejemplo:

SMS_Cloud_ProxyConnector.log

Filtered cert count with digital signature: 7
Not allowed cert: <certificate>
Not allowed cert: <certificate>
No private key cert: <certificate>
Not allowed cert: <certificate>
Filtered cert count with allowed root CA: 3
Filtered cert count with private key: 3
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Filtered cert count with client auth: 0
Maintaining connections...

Código de error 403 (CMGConnector_Forbidden)

En el siguiente archivo de registro, se registran los mensajes de error similares a las siguientes entradas:

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  \
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Forbidden

Causa

Hay una discrepancia entre los enlaces de Internet Information Services (IIS) y el punto de administración en modo HTTP. Si el punto de administración se mueve del modo HTTPS al modo HTTP mejorado sin limpiar los enlaces, es posible que el cliente de Configuration Management no pueda configurar un certificado SSL de rol sms usado en modo HTTP mejorado. En otras situaciones, existe un certificado incorrecto (expirado o revocado) en los enlaces de IIS y debe limpiarse.

Solución

  1. Abra el Administrador de IIS (inetmgr).

  2. En el panel Conexiones , expanda el nombre del equipo, expanda Sitios y, a continuación, seleccione Sitio web predeterminado.

  3. En el panel derecho, seleccione Enlaces.

  4. En el cuadro de diálogo Enlaces de sitio, seleccione el enlace de puerto 443 y, a continuación, seleccione Editar.

  5. En el cuadro de diálogo Editar enlace de sitio , seleccione el certificado en consecuencia:

    • HTTP mejorado: certificado SSL de rol sms

    • HTTPS: un certificado de autenticación de servidor de infraestructura de clave pública (PKI) válido

0x2f8f de código de error (ERROR_WINHTTP_SECURE_FAILURE)

En el siguiente archivo de registro, se registra un mensaje de error similar a la siguiente entrada:

LocationServices.log

[CCMHTTP] ERROR: URL=https://CMG.CONTOSO.COM/CCM_Proxy_ServerAuth/72057594037928017/CCM_STS, Port=443, Options=63, Code=12175, Text=ERROR_WINHTTP_SECURE_FAILURE

Antes del mensaje de error, también se podrían registrar otros eventos:

[CCMHTTP] AsyncCallback():

[CCMHTTP] AsyncCallback(): WINHTTP_CALLBACK_STATUS_SECURE_FAILURE Encountered
[CCMHTTP] : dwStatusInformationLength is 4
[CCMHTTP] : lpvStatusInformation is 0x9
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID is set

Nota:

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED indica que falta el /NoCRLCheck parámetro en el CCMSetup comando y que la lista de revocación de certificados (CRL) no se publica en Internet.

  • WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA indica que falta el certificado de entidad de certificación raíz (CA) necesario para validar el certificado de autenticación del servidor para una instancia de CMG.

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID indica que el nombre de host del nombre común del certificado es incorrecto.

Causa

Este problema se produce si se cumplen una o varias de las condiciones siguientes:

  • El cliente no tiene la CA raíz de PKI necesaria para validar el certificado de autenticación del servidor.
  • El certificado presentado al cliente es incorrecto.
  • La CRL que contiene el certificado no se publica en Internet y el cliente se ve obligado a validar la CRL.

Solución

Si usa un certificado de autenticación de servidor PKI, siga estos pasos:

  1. Asegúrese de que el certificado presentado al cliente tiene el nombre de CMG esperado. Si usa no servicios Microsoft que use el anclaje de certificados y modifique el certificado presentado, los clientes no podrán validar el certificado de servidor.

    Para comprobar qué certificado se presenta, abra la siguiente dirección URL en un explorador web:

    https://<CMGFQDN>/CCM_Proxy_MutualAuth/ServiceMetadata

    Reemplace el marcador de posición por el <CMGFQDN> nombre de dominio completo (FQDN) público de CMG.

  2. Asegúrese de que el cliente tiene el certificado en el almacén de certificados local de entidades de certificación raíz de confianza. De lo contrario, el cliente no confía en la instancia de CMG, incluso cuando se usa la autenticación basada en tokens o Entra de Microsoft. Este método de autenticación moderno solo está disponible para que CMG valide la autenticación del servidor, pero no para las respuestas enviadas desde CMG al cliente. Cuando se usa un certificado que no es de Microsoft para la autenticación, el cliente normalmente puede validar la ENTIDAD de certificación raíz pública a través de Internet.

  3. Si la CRL no está publicada en Internet, asegúrese de que el sitio no obliga a los clientes a validar la CRL y deshabilitar la comprobación de CRL para los clientes:

    1. En la consola de Configuration Manager, vaya al área de trabajo Administración .

    2. Expanda Configuración del sitio y, a continuación, seleccione el nodo Sitios .

    3. Seleccione el sitio primario que desea configurar.

    4. En la cinta de opciones, seleccione Propiedades.

    5. En la pestaña Seguridad de la comunicación, desactive la casilla Clientes de la lista de revocación de certificados (CRL) para sistemas de sitio.

    Nota:

    Al instalar clientes desde Internet, asegúrese de que el /NoCRLCheck parámetro está incluido en el CCMSetup comando .

Código de error 401 (CMGService_Invalid_Token)

El cliente no se ha comunicado con el sitio (a través de CMG o MP) durante más de 30 días, o el CCMSetup comando intenta usar un token expirado con el /regtoken parámetro . En los siguientes archivos de registro, se registran los mensajes de error similares a las siguientes entradas:

Ccmsetup.log

[CCMHTTP] ERROR: URL=https://CMGSERVER.CLOUDAPP.NET/CCM_Proxy_ServerAuth/ServiceMetadata , Port=443, Options=224, >Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE
[CCMHTTP] ERROR INFO: StatusCode=401 StatusText=CMGService_Invalid_Token

CCM_STS.log

Return code: 401, Description: PreAuth token validation failed, System.IdentityModel.Tokens.SecurityTokenExpiredException:
IDX10223: Lifetime validation failed. The token is expired.
ValidTo: '10/01/2020 22:03:24'
Current time: '10/28/2020 13:05:05'.
   at System.IdentityModel.Tokens.Validators.ValidateLifetime....

Causa

Este problema se produce porque el token ha expirado o no se ha agregado correctamente.

Solución

Para renovar el token expirado, conecte el cliente al mp interno directamente o vuelva a instalarlo mediante un nuevo token de registro masivo.

Más información

Para solucionar problemas adicionales, realice las siguientes acciones:

  • Compruebe los registros de IIS en el punto de administración.

    En el registro de ejemplo siguiente, la 403 7 respuesta indica que no se encuentra el certificado de servidor:

    <Fecha><y hora<>IP_address_of_MP> GET /SMS_MP/.sms_aut SITESIGNCERT 443: <IP_address_of_CMG_connectionpoint> SMS+CCM+5.0 - 403 7 0 5573 11

  • Habilite el registro detallado para el archivo SMS_Cloud_ProxyConnector.log estableciendo el valor 1 de entrada del VerboseLogging Registro en en la siguiente clave del Registro y, a continuación, reinicie el servicio SMS_EXECUTIVE.

    HKLM\SOFTWARE\MICROSOFT\SMS\SMS_CLOUD_PROXYCONNECTOR