Rozwiązywanie problemów z profilami certyfikatów protokołu SCEP przy użyciu Intune
Te artykuły zawierają wskazówki ułatwiające rozwiązywanie problemów z profilami certyfikatów protokołu SCEP (Simple Certificate Enrollment Protocol) w Microsoft Intune. Poniższe sekcje obejmują następujące pojęcia:
- Architektura i przepływ komunikacji procesu SCEP
- Zawężenie miejsca, w którym występuje problem w tym przepływie komunikacji
- Identyfikowanie plików dziennika kluczy, do których odwołuje się w kolejnych artykułach, w celu rozwiązywania problemów z profilami certyfikatów
Informacje zawarte w tym artykule i powiązane artykuły dotyczące rozwiązywania problemów z certyfikatami SCEP dotyczą korzystania z profilów certyfikatów SCEP na urządzeniach z systemem Android, iOS/iPad i Windows. Podobne informacje dotyczące systemu macOS nie są obecnie dostępne. Aby rozwiązać problemy z usługą rejestracji urządzeń sieciowych (NDES), zobacz następujące artykuły:
- Weryfikowanie lokalnej konfiguracji usługi NDES dla certyfikatów SCEP w Intune
- Konfigurowanie infrastruktury do obsługi protokołu SCEP za pomocą Intune
Przed kontynuowaniem upewnij się, że spełniono wymagania wstępne dotyczące korzystania z profilów certyfikatów SCEP, w tym wdrożenia certyfikatu głównego za pośrednictwem profilu zaufanego certyfikatu.
Omówienie przepływu komunikacji protokołu SCEP
Na poniższej ilustracji przedstawiono podstawowe omówienie procesu komunikacji SCEP w Intune. Każdy krok zawiera link do artykułu z bardziej nakazowymi wskazówkami.
Wdrażanie profilu certyfikatu SCEP. Intune generuje ciąg wyzwania, który wymaga określonego użytkownika, przeznaczenia certyfikatu i typu certyfikatu.
Komunikacja urządzenia z serwerem usługi NDES. Urządzenie używa identyfikatora URI dla usługi NDES z profilu, aby skontaktować się z serwerem usługi NDES, co może stanowić wyzwanie.
Komunikacja modułu usługi NDES z modułem zasad. Usługa NDES przekazuje wyzwanie do modułu zasad łącznika certyfikatów Intune na serwerze, który weryfikuje żądanie.
NDES do urzędu certyfikacji. Usługa NDES przekazuje prawidłowe żądania wystawienia certyfikatu do urzędu certyfikacji.
Dostarczanie certyfikatu do urządzenia. Certyfikat jest dostarczany do urządzenia.
Raportowanie wdrożenia w Intune. Łącznik certyfikatów Intune zgłasza zdarzenie wystawiania certyfikatu do Intune.
Pliki dziennika
Aby zidentyfikować problemy dotyczące przepływu pracy aprowizacji komunikacji i certyfikatów, przejrzyj pliki dziennika zarówno z infrastruktury serwera, jak i z urządzeń. Późniejsze sekcje dotyczące rozwiązywania problemów z profilami certyfikatów protokołu SCEP dotyczą plików dziennika, do których odwołuje się ta sekcja.
Dzienniki urządzeń zależą od platformy urządzenia:
Dzienniki dla infrastruktury lokalnej
Infrastruktura lokalna, która obsługuje korzystanie z profilów certyfikatów protokołu SCEP na potrzeby wdrożeń certyfikatów, obejmuje łącznik certyfikatów Microsoft Intune, usługę NDES działającą w systemie Windows Server oraz urząd certyfikacji.
Pliki dziennika dla tych ról obejmują Podgląd zdarzeń systemu Windows, konsole certyfikatów i różne pliki dziennika specyficzne dla łącznika certyfikatów Intune, usługi NDES lub innych ról i operacji, które są częścią infrastruktury lokalnej.
Poniższa lista zawiera dzienniki lub konsole, do których odwołuje się w kolejnych artykułach dotyczących rozwiązywania problemów z protokołem SCEP.
NDESConnector_date_time.svclog:
Ten dziennik przedstawia komunikację z łącznika certyfikatów Microsoft Intune do usługi w chmurze Intune. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia Przeglądarka śledzenia usługi .
Powiązany klucz rejestru: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus
Lokalizacja: na serwerze hostującym usługę NDES w lokalizacji %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog:
Ten dziennik przedstawia moduł zasad usługi NDES odbierający i weryfikowający żądania certyfikatów. Aby wyświetlić ten plik dziennika, możesz użyć narzędzia Przeglądarka śledzenia usługi .
Lokalizacja: na serwerze hostującym usługę NDES w lokalizacji %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
NDESPlugin.log:
Ten dziennik przedstawia przekazywanie żądań certyfikatów do punktu rejestracji certyfikatu oraz wynikowej weryfikacji tych żądań.
Lokalizacja: na serwerze hostującym usługę NDES w folderze %program_files%\Microsoft Intune\NDESPolicyModule\logs
Dzienniki usług IIS:
Dzienniki usług IIS pokazują żądania certyfikatów z urządzeń przenośnych wprowadzających usługę NDES.
Lokalizacja: na serwerze hostującym usługę NDES pod adresem c:\inetpub\logs\LogFiles\W3SVC1
Dziennik aplikacji systemu Windows:
Ten dziennik jest przydatny podczas badania problemów z usługami IIS, takich jak pula aplikacji SCEP.
Lokalizacja: na serwerze hostującym usługę NDES: uruchom plik eventvwr.msc, aby otworzyć system Windows Podgląd zdarzeń
Dzienniki dla urządzeń z systemem Android
W przypadku urządzeń z systemem Android użyj pliku dziennika aplikacji systemu Android Portal firmy, OMADM.log. Przed zebraniem i przejrzeniem dzienników upewnij się, że włączono pełne rejestrowanie , a następnie odtwórz problem.
Aby zebrać pliki OMADM.logs z urządzenia, zobacz Przekazywanie i wysyłanie dzienników pocztą e-mail przy użyciu kabla USB.
Możesz również przekazać dzienniki i wysłać je pocztą e-mail do pomocy technicznej.
Dzienniki dla urządzeń z systemami iOS i iPadOS
W przypadku urządzeń z systemem iOS/iPadOS używasz dzienników debugowania i kodu Xcode uruchamianych na komputerze Mac:
Połącz urządzenie z systemem iOS/iPadOS z komputerem Mac, a następnie przejdź do pozycji Narzędzia aplikacji>, aby otworzyć aplikację konsolową.
W obszarze Akcja wybierz pozycję Dołącz komunikaty informacji i Dołącz komunikaty debugowania.
Odtwórz problem, a następnie zapisz dzienniki w pliku tekstowym:
- Wybierz pozycję Edytuj>Wybierz wszystko , aby wybrać wszystkie komunikaty na bieżącym ekranie, a następnie wybierz pozycję Edytuj>kopię , aby skopiować komunikaty do schowka.
- Otwórz aplikację TextEdit, wklej skopiowane dzienniki do nowego pliku tekstowego, a następnie zapisz plik.
Dziennik Portal firmy dla urządzeń z systemem iOS i iPadOS nie zawiera informacji o profilach certyfikatów protokołu SCEP.
Dzienniki dla urządzeń z systemem Windows
W przypadku urządzeń z systemem Windows użyj dzienników zdarzeń systemu Windows, aby zdiagnozować problemy z rejestracją lub zarządzaniem urządzeniami dla urządzeń zarządzanych za pomocą Intune.
Na urządzeniu otwórz Podgląd zdarzeń>Aplikacje i dzienniki> usługMicrosoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla