다음을 통해 공유

Windows에서 Microsoft 연결된 캐시에 대한 HTTPS 구성 유효성 검사

이 문서에서는 WSL(Linux용 Windows 하위 시스템)을 사용하여 Windows에서 실행되는 엔터프라이즈 및 교육용 Microsoft 연결된 캐시 노드에서 HTTPS 지원의 유효성을 검사하는 방법에 대한 지침을 제공합니다.

HTTP 및 HTTPS 콘텐츠 다운로드 테스트

테스트하기 전에 클라이언트가 연결된 캐시 서버에 연결하는 방법을 식별해야 합니다. 이는 CSR을 생성하는 동안 인증서의 SAN(주체 대체 이름)에서 구성한 것과 동일한 연결 방법입니다.

중요

아래의 모든 명령에서 및 [test-url] 을 대체 [mcc-connection] 합니다.

[mcc-connection]확인하려면 :

  • CSR에서 사용한 -sanIp 경우: IP 주소 사용(예: 192.168.1.100)
  • CSR에서 사용한 -sanDns 경우: 호스트 이름 사용(예: mcc-server.contoso.com)

[test-url]는 Win32 애플리케이션에 Intune 테스트의 전체 경로입니다.ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin

그런 다음 Windows 호스트 컴퓨터(연결된 캐시 서버)에서 다음 curl 명령을 실행하여 HTTP 및 HTTPS 콘텐츠 검색을 모두 테스트합니다.

  • HTTPS 테스트

        curl.exe -v -o NUL "https://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"

    예상된 성공적인 출력:

    * Connected to [your-server] ([ip-address]) port 443 (#0)
* TLS 1.2 connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate: [your-certificate-subject]
< HTTP/1.1 200 OK
< Content-Length: [file-size]

  • HTTP 테스트

        curl.exe -v -o NUL "http://[mcc-connection]/[test-url]" --include -H "host:swda01-mscdn.manage.microsoft.com"

    예상된 성공적인 출력:

    * Connected to [your-server] ([ip-address]) port 80 (#0)
< HTTP/1.1 200 OK
< Content-Length: [file-size]

서비스 쪽 유효성 검사

Windows 호스트 컴퓨터에서 다음 테스트를 수행합니다.

  • PowerShell을 사용하여 연결 테스트:

        Invoke-WebRequest -Uri "https://[mcc-connection]/[test-url]" -Headers @{"host"="swda01-mscdn.manage.microsoft.com"} -Method Head

    예상 결과:StatusCode: 200 는 HTTPS 연결에 성공했음을 나타냅니다.

  • HTTPS 작업에 대한 배달 최적화 로그를 확인합니다.

      # Search for HTTPS connections in recent logs
  Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "https://" | Select-Object -First 5

  # Search for your specific Connected Cache server connections
  Select-String -Path "C:\Windows\Logs\DeliveryOptimization\*.log" -Pattern "[mcc-connection]" | Select-Object -First 5

    예상 결과: HTTPS URL 및 연결된 캐시 서버 주소를 보여 주는 로그 항목은 클라이언트가 HTTPS를 성공적으로 사용하고 있음을 나타냅니다.

클라이언트 쪽 유효성 검사

클라이언트 디바이스(Windows 호스트 컴퓨터가 아님)에서 다음 명령을 수행합니다.

필수 구성 요소: 호스트 컴퓨터가 정책을 통해 대상으로 지정되었는지 확인합니다. 연결된 캐시 IP 주소("DOCacheHost" 정책의 값)를 해당 환경과 관련된 항목으로 업데이트합니다.

   $parentKeyPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization"
   if (!(Test-Path $parentKeyPath))
     {
        New-Item -Path $parentKeyPath -ItemType RegistryKey -Force -ErrorAction Stop | Out-Null
     }
   Set-ItemProperty -Path $parentKeyPath -Name "DOCacheHost" -Value "[mcc-connection]" -ErrorAction Stop

  • HTTPS를 통해 연결된 캐시에서 Teams 앱 다운로드 요청:

          Add-AppxPackage "https://statics.teams.cdn.office.net/production-windows-x64/enterprise/webview2/lkg/MSTeams-x64.msix"

    또는

        Add-AppxPackage "https://installer.teams.static.microsoft/production-windows-x64/25177.2002.3761.5185/MSTeams-x64.msix"

    예상 결과: 다운로드는 오류 없이 완료되며 일반적인 인터넷 다운로드보다 빠릅니다.

  • 콘텐츠가 실제로 캐시되고 있는지 확인합니다(CDN으로 대체되는 것뿐만 아니라).

        Get-DeliveryOptimizationStatus | Select-Object DownloadMode, TotalBytesDownloaded, BytesFromCacheServer

    예상 결과:BytesFromCacheServer 는 캐싱 성공 여부를 나타내는 0보다 커야 합니다.

문제 해결

유효성 검사 중에 다음과 같은 일반적인 오류가 발생하는 경우 다음 문제 해결 방법을 사용합니다.

중요

아래의 모든 명령에서 및 [test-url] 을 대체 [mcc-connection] 합니다.

[mcc-connection]확인하려면 :

  • CSR에서 사용한 -sanIp 경우: IP 주소 사용(예: 192.168.1.100)
  • CSR에서 사용한 -sanDns 경우: 호스트 이름 사용(예: mcc-server.contoso.com)

[test-url]는 Win32 애플리케이션에 Intune 테스트의 전체 경로입니다.ee344de8-d177-4720-86c1-a076581766f9/070a8fd4-79a7-42c8-b7c8-9883253bb01a/c7b1b825-88b2-4e66-9b15-ff5fe0374bc6.appxbundle.bin

인증서 유효성 검사 오류

증상:SSL certificate problem, certificate subject name does not match

빠른 테스트:

   curl.exe -v -k -o NUL "https://[mcc-connection]/[test-url]"

테스트가 성공하면 다음을 수행합니다. 인증서에 유효성 검사 문제가 있습니다. 다음을 확인합니다.

  • SAN 구성이 연결 방법과 일치합니다.
  • CA 루트 인증서는 클라이언트의 신뢰할 수 있는 저장소에 설치됩니다.

테스트가 실패하는 경우: 아래 의 연결 오류를 참조하세요.

인증서 해지 오류

조짐: 느린 HTTPS 응답 또는 시간 제한

빠른 테스트:

   curl.exe -v --ssl-no-revoke -o NUL "https://[mcc-connection]/[test-url]"

테스트가 성공하면 다음을 수행합니다. CA의 CRL(인증서 해지 목록) 배포 지점에 연결할 수 없습니다. 회사 방화벽이 CRL URL에 대한 액세스를 허용하는지 확인합니다.

테스트가 실패하는 경우: 아래 의 연결 오류를 참조하세요.

연결 오류

증상:Connection refused, Could not resolve host

HTTPS 연결 오류의 경우:

  • 방화벽 규칙 및 포트 전달이 올바르게 구성되었는지 확인

  • 다른 서비스가 포트 443을 사용하고 있지 않은지 확인합니다.

        netstat -an | findstr :443

HTTP 연결 오류의 경우: 연결된 캐시 서비스가 실행 중이고 포트 80에 액세스할 수 있는지 확인합니다.

   netstat -an | findstr :80

DNS 확인 문제의 경우: 호스트 이름 확인 및 네트워크 연결 확인

   nslookup [mcc-connection]

회사 프록시 간섭

조짐: 올바른 구성에도 불구하고 인증서 유효성 검사가 실패합니다.

솔루션: 회사 프록시가 연결된 캐시 서버에 대한 HTTPS 트래픽을 가로채지 않는지 확인합니다. 내부 연결된 캐시 트래픽에 대한 TLS 검사를 사용하지 않도록 설정하는 것이 좋습니다.

리소스

  • Last updated on