Partager via

Les clients Configuration Manager ne parviennent pas à communiquer avec la passerelle de gestion cloud

Cet article fournit des solutions aux problèmes courants lorsque les clients Configuration Manager ne parviennent pas à communiquer avec une passerelle de gestion cloud (CMG).

Version du produit d’origine : Configuration Manager (Current Branch)
Numéro de base de connaissances d’origine : 4503442, 4495265

Code d’erreur 403 (CMGConnector_Clientcertificaterequired)

Dans les fichiers journaux suivants, les messages d’erreur qui ressemblent aux entrées suivantes sont enregistrés :

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Clientcertificaterequired

SMS_Cloud_ProxyConnector.log

Forwarding proxy message \<message ID> to URL: `https://InternalMP.contoso.com/SMS_MP/.sms_aut?SITESIGNCERT`  
Web exception for message \<message ID>: System.Net.WebException: **The remote server returned an error: (403) Forbidden**.~~  at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)~~  at Microsoft.ConfigurationManager.CloudConnection.ProxyConnector.ConnectionBase.InternalResponseCallBack(IAsyncResult asynchronousResult)  
Received response `https://InternalMP.contoso.com/SMS_MP/.sms_aut?MPLIST2&CM1` for message \<message ID>: HTTP/1.1 403 CMGConnector_Clientcertificaterequired

Cause

Le point de connexion de passerelle de gestion cloud nécessite un certificat d’authentification serveur pour transférer en toute sécurité les demandes du client vers un point de gestion HTTPS. Si le certificat d’authentification du serveur est manquant, mal configuré ou non valide, le code d’état 403 est retourné. Dans les scénarios où le point de gestion (MP) fonctionne en mode HTTP amélioré avec l’authentification basée sur jeton, le certificat n’est pas obligatoire, mais est toujours recommandé.

Solution

Pour résoudre ce problème, générez un certificat d’authentification serveur pour le point de connexion de passerelle de gestion cloud.

Remarque

Dans le certificat, les ordinateurs doivent avoir une valeur unique dans le champ Nom de l’objet ou Autre nom de l’objet.

Comment vérifier que la passerelle de gestion cloud a un certificat de serveur

Après avoir activé la journalisation détaillée, le fichier SMS_Cloud_ProxyConnector.log affiche la liste des certificats disponibles sur le serveur. Pour vérifier si un certificat d’authentification serveur valide pour établir la communication entre le point de connexion de la passerelle de gestion cloud et le point de gestion existe, vérifiez le nombre de certificats dans le nombre de certificats filtrés avec l’authentification du client : ligne. Consultez le journal suivant pour obtenir un exemple :

SMS_Cloud_ProxyConnector.log

Filtered cert count with digital signature: 7
Not allowed cert: <certificate>
Not allowed cert: <certificate>
No private key cert: <certificate>
Not allowed cert: <certificate>
Filtered cert count with allowed root CA: 3
Filtered cert count with private key: 3
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Filtered cert count with client auth: 0
Maintaining connections...

Code d’erreur 403 (CMGConnector_Forbidden)

Dans le fichier journal suivant, les messages d’erreur qui ressemblent aux entrées suivantes sont enregistrés :

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  \
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Forbidden

Cause

Il existe une incompatibilité entre les liaisons IIS (Internet Information Services) et le point de gestion en mode HTTP. Si le point de gestion est déplacé du mode HTTPS au mode HTTP amélioré sans nettoyer les liaisons, le client Configuration Management peut ne pas pouvoir configurer un certificat SSL de rôle SMS utilisé en mode HTTP amélioré. Dans d’autres cas, un certificat incorrect (expiré ou révoqué) existe dans les liaisons IIS et doit être nettoyé.

Solution

  1. Ouvrez le Gestionnaire IIS (inetmgr).

  2. Dans le volet Connexions, développez le nom de l’ordinateur, développez Sites, puis sélectionnez Site web par défaut.

  3. Dans le volet droit, sélectionnez Liaisons.

  4. Dans la boîte de dialogue Liaisons de site, sélectionnez la liaison de port 443, puis sélectionnez Modifier.

  5. Dans la boîte de dialogue Modifier la liaison de site, sélectionnez le certificat en conséquence :

    • HTTP amélioré : certificat SSL de rôle SMS

    • HTTPS : certificat d’authentification de serveur PKI (Public Key Infrastructure) valide

Code d’erreur 0x2f8f (ERROR_WINHTTP_SECURE_FAILURE)

Dans le fichier journal suivant, un message d’erreur semblable à l’entrée suivante est enregistré :

LocationServices.log

[CCMHTTP] ERROR: URL=https://CMG.CONTOSO.COM/CCM_Proxy_ServerAuth/72057594037928017/CCM_STS, Port=443, Options=63, Code=12175, Text=ERROR_WINHTTP_SECURE_FAILURE

Avant le message d’erreur, d’autres événements peuvent également être enregistrés :

[CCMHTTP] AsyncCallback():

[CCMHTTP] AsyncCallback(): WINHTTP_CALLBACK_STATUS_SECURE_FAILURE Encountered
[CCMHTTP] : dwStatusInformationLength is 4
[CCMHTTP] : lpvStatusInformation is 0x9
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID is set

Remarque

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED indique que le /NoCRLCheck paramètre est manquant dans la CCMSetup commande et que la liste de révocation de certificats (CRL) n’est pas publiée sur Internet.

  • WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA indique que le certificat d’autorité de certification racine requis pour valider le certificat d’authentification du serveur pour une passerelle de gestion cloud est manquant.

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID indique que le nom d’hôte dans le nom commun du certificat est incorrect.

Cause

Ce problème se produit si une ou plusieurs des conditions suivantes sont remplies :

  • Le client n’a pas l’autorité de certification racine PKI nécessaire pour valider le certificat d’authentification du serveur.
  • Le certificat présenté au client est incorrect.
  • La liste de révocation de certificats qui contient le certificat n’est pas publiée sur Internet et le client est forcé de valider la liste de révocation de certificats.

Solution

Si vous utilisez un certificat d’authentification de serveur PKI, procédez comme suit :

  1. Assurez-vous que le certificat présenté au client a le nom de passerelle de gestion cloud attendu. Si vous utilisez des services Microsoft qui utilisent l’épinglage de certificat et modifiez le certificat présenté, les clients ne peuvent pas valider le certificat de serveur.

    Pour vérifier le certificat présenté, ouvrez l’URL suivante dans un navigateur web :

    https://<CMGFQDN>/CCM_Proxy_MutualAuth/ServiceMetadata

    Remplacez l’espace <CMGFQDN> réservé par le nom de domaine complet complet (FQDN) de votre passerelle de gestion cloud.

  2. Assurez-vous que le client dispose du certificat dans le magasin de certificats autorités de certification racines approuvées local. Sinon, le client n’approuve pas la passerelle de gestion cloud, même lors de l’utilisation de l’authentification basée sur les jetons ou Microsoft Entra. Cette méthode d’authentification moderne est disponible uniquement pour la passerelle de gestion cloud afin de valider l’authentification du serveur, mais pas pour les réponses envoyées de la passerelle de gestion cloud au client. Lorsque vous utilisez un certificat non-Microsoft pour l’authentification, le client peut généralement valider l’autorité de certification racine publique sur Internet.

  3. Si la liste de révocation de certificats n’est pas publiée sur Internet, assurez-vous que le site ne force pas les clients à valider la liste de révocation de certificats et à désactiver la vérification de la liste de révocation de certificats pour les clients :

    1. Dans la console Configuration Manager, accédez à l’espace de travail Administration .

    2. Développez Configuration du site, puis sélectionnez le nœud Sites .

    3. Sélectionnez le site principal à configurer.

    4. Dans le ruban, sélectionnez Propriétés.

    5. Sous l’onglet Sécurité des communications, décochez la case Clients pour la liste de révocation de certificats (CRL) pour les systèmes de site.

    Remarque

    Lors de l’installation de clients à partir d’Internet, vérifiez que le /NoCRLCheck paramètre est inclus dans la CCMSetup commande.

Code d’erreur 401 (CMGService_Invalid_Token)

Le client n’a pas communiqué avec le site (via la passerelle de gestion cloud ou mp) pendant plus de 30 jours, ou la CCMSetup commande tente d’utiliser un jeton expiré avec le /regtoken paramètre. Dans les fichiers journaux suivants, les messages d’erreur qui ressemblent aux entrées suivantes sont enregistrés :

Ccmsetup.log

[CCMHTTP] ERROR: URL=https://CMGSERVER.CLOUDAPP.NET/CCM_Proxy_ServerAuth/ServiceMetadata , Port=443, Options=224, >Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE
[CCMHTTP] ERROR INFO: StatusCode=401 StatusText=CMGService_Invalid_Token

CCM_STS.log

Return code: 401, Description: PreAuth token validation failed, System.IdentityModel.Tokens.SecurityTokenExpiredException:
IDX10223: Lifetime validation failed. The token is expired.
ValidTo: '10/01/2020 22:03:24'
Current time: '10/28/2020 13:05:05'.
   at System.IdentityModel.Tokens.Validators.ValidateLifetime....

Cause

Ce problème se produit parce que le jeton a expiré ou n’a pas été correctement ajouté.

Solution

Pour renouveler le jeton expiré, connectez le client au mp interne directement ou réinstallez le client à l’aide d’un nouveau jeton d’inscription en bloc.

Plus d’informations

Pour plus d’informations sur la résolution des problèmes, effectuez les actions suivantes :

  • Vérifiez les journaux IIS sur le point de gestion.

    Dans l’exemple de journal suivant, la 403 7 réponse indique que le certificat de serveur est introuvable :

    <Heure><de date<>IP_address_of_MP> GET /SMS_MP/.sms_aut SITESIGNCERT 443 - <IP_address_of_CMG_connectionpoint> SMS+CCM+5.0 - 403 7 0 5573 11

  • Activez la journalisation détaillée du fichier SMS_Cloud_ProxyConnector.log en définissant la VerboseLogging valeur 1 d’entrée du Registre sous la clé de Registre suivante, puis redémarrez le service SMS_EXECUTIVE.

    HKLM\SOFTWARE\MICROSOFT\SMS\SMS_CLOUD_PROXYCONNECTOR