Share via

Rozwiązywanie problemów z profilami certyfikatów protokołu SCEP przy użyciu Intune

  • Artykuł

Te artykuły zawierają wskazówki ułatwiające rozwiązywanie problemów z profilami certyfikatów protokołu SCEP (Simple Certificate Enrollment Protocol) w Microsoft Intune. Poniższe sekcje obejmują następujące pojęcia:

  • Architektura i przepływ komunikacji procesu SCEP
  • Zawężenie miejsca, w którym występuje problem w tym przepływie komunikacji
  • Identyfikowanie plików dziennika kluczy, do których odwołuje się w kolejnych artykułach, w celu rozwiązywania problemów z profilami certyfikatów

Informacje zawarte w tym artykule i powiązane artykuły dotyczące rozwiązywania problemów z certyfikatami SCEP dotyczą korzystania z profilów certyfikatów SCEP na urządzeniach z systemem Android, iOS/iPad i Windows. Podobne informacje dotyczące systemu macOS nie są obecnie dostępne. Aby rozwiązać problemy z usługą rejestracji urządzeń sieciowych (NDES), zobacz następujące artykuły:

Przed kontynuowaniem upewnij się, że spełniono wymagania wstępne dotyczące korzystania z profilów certyfikatów SCEP, w tym wdrożenia certyfikatu głównego za pośrednictwem profilu zaufanego certyfikatu.

Omówienie przepływu komunikacji protokołu SCEP

Na poniższej ilustracji przedstawiono podstawowe omówienie procesu komunikacji SCEP w Intune. Każdy krok zawiera link do artykułu z bardziej nakazowymi wskazówkami.

Zrzut ekranu przedstawiający przepływ profilu certyfikatu protokołu SCEP.

  1. Wdrażanie profilu certyfikatu SCEP. Intune generuje ciąg wyzwania, który wymaga określonego użytkownika, przeznaczenia certyfikatu i typu certyfikatu.

  2. Komunikacja urządzenia z serwerem usługi NDES. Urządzenie używa identyfikatora URI dla usługi NDES z profilu, aby skontaktować się z serwerem usługi NDES, co może stanowić wyzwanie.

  3. Komunikacja modułu usługi NDES z modułem zasad. Usługa NDES przekazuje wyzwanie do modułu zasad łącznika certyfikatów Intune na serwerze, który weryfikuje żądanie.

  4. NDES do urzędu certyfikacji. Usługa NDES przekazuje prawidłowe żądania wystawienia certyfikatu do urzędu certyfikacji.

  5. Dostarczanie certyfikatu do urządzenia. Certyfikat jest dostarczany do urządzenia.

  6. Raportowanie wdrożenia w Intune. Łącznik certyfikatów Intune zgłasza zdarzenie wystawiania certyfikatu do Intune.

Pliki dziennika

Aby zidentyfikować problemy dotyczące przepływu pracy aprowizacji komunikacji i certyfikatów, przejrzyj pliki dziennika zarówno z infrastruktury serwera, jak i z urządzeń. Późniejsze sekcje dotyczące rozwiązywania problemów z profilami certyfikatów protokołu SCEP dotyczą plików dziennika, do których odwołuje się ta sekcja.

Dzienniki urządzeń zależą od platformy urządzenia:

Dzienniki dla infrastruktury lokalnej

Infrastruktura lokalna, która obsługuje korzystanie z profilów certyfikatów protokołu SCEP na potrzeby wdrożeń certyfikatów, obejmuje łącznik certyfikatów Microsoft Intune, usługę NDES działającą w systemie Windows Server oraz urząd certyfikacji.

Pliki dziennika dla tych ról obejmują Podgląd zdarzeń systemu Windows, konsole certyfikatów i różne pliki dziennika specyficzne dla łącznika certyfikatów Intune, usługi NDES lub innych ról i operacji, które są częścią infrastruktury lokalnej.

Poniższa lista zawiera dzienniki lub konsole, do których odwołuje się w kolejnych artykułach dotyczących rozwiązywania problemów z protokołem SCEP.

  • NDESConnector_date_time.svclog:

    Ten dziennik przedstawia komunikację z łącznika certyfikatów Microsoft Intune do usługi w chmurze Intune. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia Przeglądarka śledzenia usługi .

    Powiązany klucz rejestru: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

    Lokalizacja: na serwerze hostującym usługę NDES w lokalizacji %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • CertificateRegistrationPoint_date_time.svclog:

    Ten dziennik przedstawia moduł zasad usługi NDES odbierający i weryfikowający żądania certyfikatów. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia Przeglądarka śledzenia usługi .

    Lokalizacja: na serwerze hostującym usługę NDES w lokalizacji %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs

  • NDESPlugin.log:

    Ten dziennik przedstawia przekazywanie żądań certyfikatów do punktu rejestracji certyfikatu oraz wynikowej weryfikacji tych żądań.

    Lokalizacja: na serwerze hostującym usługę NDES w folderze %program_files%\Microsoft Intune\NDESPolicyModule\logs

  • Dzienniki usług IIS:

    Dzienniki usług IIS pokazują żądania certyfikatów z urządzeń przenośnych wprowadzających usługę NDES.

    Lokalizacja: na serwerze hostującym usługę NDES pod adresem c:\inetpub\logs\LogFiles\W3SVC1

  • Dziennik aplikacji systemu Windows:

    Ten dziennik jest przydatny podczas badania problemów z usługami IIS, takich jak pula aplikacji SCEP.

    Lokalizacja: na serwerze hostującym usługę NDES: uruchom plik eventvwr.msc, aby otworzyć system Windows Podgląd zdarzeń

Dzienniki dla urządzeń z systemem Android

W przypadku urządzeń z systemem Android użyj pliku dziennika aplikacji systemu Android Portal firmy, OMADM.log. Przed zebraniem i przejrzeniem dzienników upewnij się, że włączono pełne rejestrowanie , a następnie odtwórz problem.

Aby zebrać pliki OMADM.logs z urządzenia, zobacz Przekazywanie i wysyłanie dzienników pocztą e-mail przy użyciu kabla USB.

Możesz również przekazać dzienniki i wysłać je pocztą e-mail do pomocy technicznej.

Dzienniki dla urządzeń z systemami iOS i iPadOS

W przypadku urządzeń z systemem iOS/iPadOS używasz dzienników debugowania i kodu Xcode uruchamianych na komputerze Mac:

  1. Połącz urządzenie z systemem iOS/iPadOS z komputerem Mac, a następnie przejdź do pozycji Narzędzia aplikacji>, aby otworzyć aplikację konsolową.

  2. W obszarze Akcja wybierz pozycję Dołącz komunikaty informacji i Dołącz komunikaty debugowania.

    Zrzut ekranu przedstawia opcje Dołączanie komunikatów informacji i Dołączanie komunikatów debugowania.

  3. Odtwórz problem, a następnie zapisz dzienniki w pliku tekstowym:

    1. Wybierz pozycję Edytuj>Wybierz wszystko , aby wybrać wszystkie komunikaty na bieżącym ekranie, a następnie wybierz pozycję Edytuj>kopię , aby skopiować komunikaty do schowka.
    2. Otwórz aplikację TextEdit, wklej skopiowane dzienniki do nowego pliku tekstowego, a następnie zapisz plik.

Dziennik Portal firmy dla urządzeń z systemem iOS i iPadOS nie zawiera informacji o profilach certyfikatów protokołu SCEP.

Dzienniki dla urządzeń z systemem Windows

W przypadku urządzeń z systemem Windows użyj dzienników zdarzeń systemu Windows, aby zdiagnozować problemy z rejestracją lub zarządzaniem urządzeniami dla urządzeń zarządzanych za pomocą Intune.

Na urządzeniu otwórz Podgląd zdarzeń>Aplikacje i dzienniki> usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Zrzut ekranu przedstawiający dzienniki zdarzeń systemu Windows w Podgląd zdarzeń.

Następne kroki

Rozwiązywanie problemów z wdrażaniem profilu certyfikatu protokołu SCEP na urządzeniach w Microsoft Intune