Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Symptômes
Vous rencontrez des problèmes de connectivité sur un rôle de point de connexion de service Microsoft Endpoint Configuration Manager. Lorsque ces problèmes se produisent, vous rencontrez l’un des symptômes suivants :
Pendant les chargements ou les synchronisations avec les services cloud Configuration Manager, vous recevez les ID de message d’état suivants qui indiquent un échec de communication :
- 9605 : DMP_UPLOADER_UPLOAD_FAILED
- 9607 : DMP_UPLOADER_UPLOAD_EXCEPTION
L’entrée d’erreur suivante est consignée dans les journaux Configuration Manager :
- Échec de la vérification et chargement du certificat de signature de service. System.ArgumentException : Échec de la chaîne de génération
Cause
Ce problème peut se produire si l’une des conditions suivantes est remplie :
- Le mécanisme de certificat racine automatique est désactivé.
- Le certificat racine Global G2 DigiCert n’est pas installé.
- Les certificats intermédiaires ne sont pas installés dans le magasin autorités de certification intermédiaires.
- Votre environnement autorise les appels sortants uniquement aux téléchargements de liste de révocation de certificats (CRL) spécifiques ou aux emplacements de vérification OCSP (Online Certificate Status Protocol).
Résolution
Installez les derniers certificats racines. Les certificats racines peuvent ne pas être installés automatiquement si vous exécutez un environnement déconnecté ou si les points de terminaison Internet nécessaires sont bloqués.
Environnements déconnectés
Mettez à jour les certificats racines approuvés et les listes de confiance de certificats non autorisées (CTL) dans les environnements déconnectés.
Dans les environnements déconnectés, les administrateurs doivent configurer un partage de fichiers ou un serveur web pour héberger les fichiers en interne. Les paramètres de stratégie de groupe sont également mis à jour afin que les clients et les serveurs utilisent le partage de fichiers interne ou le serveur web au lieu de l’emplacement Internet.
Les systèmes qui s’exécutent dans des environnements déconnectés doivent avoir les nouvelles racines ajoutées au magasin autorités de certification racines approuvées et les intermédiaires ajoutés au magasin autorités de certification intermédiaires.
Vous pouvez considérer que votre environnement est déconnecté si l’une des conditions suivantes est remplie :
- L’accès direct à Windows Update est bloqué.
- Le mécanisme de mise à jour automatique pour les listes CTL approuvées et non approuvées est désactivé.
Pour plus d’informations sur la façon de faciliter la distribution de certificats approuvés ou non approuvés pour les environnements déconnectés, consultez Configurer des racines approuvées et des certificats non autorisés dans Windows.
Points de terminaison Internet
Si vous disposez d’un environnement dans lequel les règles sont définies pour autoriser les appels sortants à des téléchargements de liste de révocation de certificats (CRL) spécifiques ou à des emplacements de vérification OCSP (Online Certificate Status Protocol), vous devez autoriser les URL CRL et OCSP suivantes :
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://ctldl.windowsupdate.comhttps://mscrl.microsoft.comhttps://crl.microsoft.comhttps://oneocsp.microsoft.comhttp://ocsp.msocsp.com
Informations supplémentaires
Microsoft gère la liste des certificats racines distribués par le programme de certificats racines Windows, sur le site web du programme.
Pour plus d’informations sur le programme de certificat racine Windows et la liste des autorités de certification qui sont membres, consultez les notes de publication - Programme de certificat racine approuvé Microsoft.
Les mécanismes de mise à jour de certificat racine sont disponibles dans différentes versions de Windows. Cela inclut les mécanismes de mise à jour racine automatique.
Pour plus d’informations sur la mise à jour de la liste des certificats racines dans différentes versions de Windows, consultez Configurer des racines approuvées et des certificats non autorisés dans Windows.
Par défaut, le mécanisme de mise à jour racine automatique est activé dans différentes versions de Windows. Toutefois, si ce mécanisme est désactivé et que le serveur de point de connexion de service n’a pas installé le certificat racine Racine global DigiCert G2 , les problèmes de connectivité avec les services cloud Configuration Manager peuvent se produire. La hiérarchie locale de Configuration Manager peut ne plus être en mesure d’accéder aux services cloud Microsoft Configuration Manager et à d’autres ressources de ce type.
Pour plus d’informations, consultez les modifications de certificat Azure TLS et Azure IoT TLS : les modifications sont à venir.
Prochaines étapes
Pour plus d’informations sur les exigences de connectivité et la résolution des problèmes pour Configuration Manager, consultez les éléments suivants :