Поделиться через

Устранение неполадок с модулем политики NDES в Microsoft Intune

  • Статья

В этой статье содержатся рекомендации по проверке и устранению неполадок модуля политики службы регистрации сетевых устройств (NDES), устанавливаемого с помощью соединителя сертификатов Microsoft Intune. Когда служба NDES получает запрос на сертификат, он перенаправляет запрос в модуль политики, который проверяет его как действительный для устройства. После проверки NDES связывается с центром сертификации (ЦС), чтобы запросить сертификат от имени устройства.

Эта статья относится как к шагу 3, так и к шагу 4 рабочего процесса связи SCEP.

Взаимодействие NDES с модулем политики

Получив запрос на сертификат от устройства, NDES проверяет этот запрос с помощью Intune с помощью модуля политики, устанавливаемого с помощью соединителя сертификатов Microsoft Intune. Эти записи относятся к точке регистрации сертификата.

Записи журнала, указывающие на успешное выполнение:

Чтобы убедиться, что запрос на проверку отправлен в модуль, найдите запись, похожую на следующие примеры в журналах на сервере NDES:

  • Журналы IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Журнал NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    В следующем примере показана успешная проверка запроса на запрос устройств, и теперь NDES может связаться с ЦС:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Если индикаторы успеха отсутствуют:

Если вы не нашли эти записи, начните с изучения руководства по устранению неполадок при взаимодействии устройства с сервером NDES.

Если сведения, приведенные в этой статье, не помогают устранить проблему, ниже приведены дополнительные записи, которые могут указывать на проблемы.

NDESPlugin.log содержит ошибку 12175

Если журнал содержит ошибку 12175, аналогичную приведенной ниже, может возникнуть проблема с SSL-сертификатом:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Современные браузеры и браузеры на мобильных устройствах игнорируют общее имя в SSL-сертификате, если существуют альтернативные имена субъектов .

Решение. Выведите SSL-сертификат веб-сервера со следующими атрибутами для общего имени и альтернативного имени субъекта, а затем привяжите его к порту 443 в IIS:

  • Имя субъекта
    CN = имя внешнего сервера
  • Альтернативное имя субъекта
    Name = имя внешнего сервера
    DNS-имя = имя внутреннего сервера

NDESPlugin.log содержит ошибку 403 — запрещено: доступ запрещен»

Если в следующих журналах содержится ошибка 403, похожая на следующую, сертификат клиента может быть недоверенным или недопустимым:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Журнал IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Эта проблема возникает, если в хранилище сертификатов доверенных корневых центров сертификации сервера NDES есть промежуточные сертификаты ЦС.

Если сертификат имеет одинаковые значения Выдано и Выдано по значениям , это корневой сертификат. В противном случае это промежуточный сертификат.

Решение. Чтобы устранить проблему, определите и удалите промежуточные сертификаты ЦС из хранилища сертификатов доверенных корневых центров сертификации.

NDESPlugin.log указывает, что запрос возвращает значение false

Когда результат запроса возвращает значение false, проверка certificateRegistrationPoint.svclog на наличие ошибок. Например, может появиться сообщение об ошибке "Не удалось получить сертификат подписи", похожее на следующую запись:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Решение. На сервере, где установлен соединитель, откройте Редактор реестра, найдите HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector раздел реестра и проверка, существует ли значение SigningCertificate.

Если это значение не существует, перезапустите службу соединителя Intune в services.msc, а затем проверка, отображается ли значение в реестре. Если значение по-прежнему отсутствует, это часто происходит из-за проблем с сетевым подключением между сервером, который NDES, и службой Intune.

NDES передает запрос на выдачу сертификата

После успешной проверки точкой регистрации сертификата (модулем политики) NDES передает запрос сертификата в ЦС от имени устройства.

Записи журнала, указывающие на успешное выполнение:

  • Журнал NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Журналы IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Если индикаторы успеха отсутствуют:

Если записи, указывающие на успешное выполнение, не отображаются, выполните следующие действия.

  1. Найдите проблемы, которые регистрируются в CertificateRegistrationPoint.svclog , когда точка регистрации сертификата проверяет проблему. Найдите записи между следующими строками:

    • VerifyRequest Started.
    • VerifyRequest Завершено с состоянием False

  2. Откройте MMC центра сертификации в ЦС и выберите Неудачные запросы , чтобы найти ошибки, которые помогут выявить проблему. Указанное ниже изображение является примером.

    Снимок экрана: пример неудачного запроса.

  3. Проверьте журнал событий приложения в ЦС на наличие ошибок. Обычно можно увидеть ошибки, соответствующие тому, что вы видите в разделе Неудачные запросы на предыдущем шаге. Указанное ниже изображение является примером.

    Снимок экрана: подробные сведения о журнале приложений.

Дальнейшие действия

Если модуль политики NDES проверяет запрос и запрос перенаправляется в центр сертификации, следующим шагом является проверка доставки сертификата на устройство.