Felsöka enhet till NDES-serverkommunikation för SCEP-certifikatprofiler i Microsoft Intune
Använd följande information för att avgöra om en enhet som har tagit emot och bearbetat en Intune SCEP-certifikatprofil (Simple Certificate Enrollment Protocol) kan kontakta registreringstjänsten för nätverksenheter (NDES) för att presentera en utmaning. På enheten genereras en privat nyckel och certifikatsigneringsbegäran (CSR) och utmaningen skickas från enheten till NDES-servern. Om du vill kontakta NDES-servern använder enheten URI:n från SCEP-certifikatprofilen.
Den här artikeln refererar till steg 2 i översikten över SCEP-kommunikationsflödet.
Granska IIS-loggar för en anslutning från enheten
IIS-loggfiler (Internet Information Services) innehåller samma typ av poster för alla plattformar.
Öppna den senaste IIS-loggfilen som finns i följande mapp på NDES-servern: %SystemDrive%\inetpub\logs\logfiles\w3svc1
Sök i loggen efter poster som liknar följande exempel. Båda exemplen innehåller statusen 200, som visas nära slutet:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.
Och
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0
När enheten kontaktar IIS loggas en HTTP GET-begäran för mscep.dll.
Granska statuskoden i slutet av den här begäran:
Statuskod 200: Den här statusen anger att anslutningen till NDES-servern lyckades.
Statuskod 500: Den IIS_IUSRS gruppen kanske saknar rätt behörigheter. Se Felsöka statuskod 500 senare i den här artikeln.
Om statuskoden inte är 200 eller 500:
Se Testa och felsöka SCEP-serverns URL senare i den här artikeln för att verifiera konfigurationen.
Mer information om mindre vanliga felkoder finns i HTTP-statuskoden i IIS 7 och senare versioner .
Om anslutningsbegäran inte loggas alls kan kontakten från enheten blockeras i nätverket mellan enheten och NDES-servern.
Granska enhetsloggar för anslutningar till NDES
Android-enheter
Granska omadm-loggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 There are 1 requests
2018-02-27T05:16:08.2500000 VERB Event com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager 18327 10 Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000 VERB Event org.jscep.transport.UrlConnectionGetTransport 18327 10 Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000 VERB Event org.jscep.message.PkiMessageEncoder 18327 10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000 VERB Event org.jscep.message.PkiMessageEncoder 18327 10 Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000 VERB Event org.jscep.transaction.EnrollmentTransaction 18327 10 Sending org.<server>.cms.CMSSignedData@ad57775
Nyckelposter inkluderar följande exempeltextsträngar:
- Det finns 1 begäranden
- Fick "200 OK" när getCACaps(ca) skickades till
https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
- Signera pkiMessage med nyckeln som tillhör [dn=CN=<username>; serial=1]
Anslutningen loggas också av IIS i mappen %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ på NDES-servern. Nedan visas ett exempel:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 -
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 -
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421
iOS/iPadOS-enheter
Granska felsökningsloggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:
debug 18:30:53.691033 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\
debug 18:30:54.640644 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\
default 18:30:55.483977 -0500 profiled Attempting to retrieve issued certificate...\
debug 18:30:55.487798 -0500 profiled Sending CSR via GET.\
debug 18:30:55.487908 -0500 profiled Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQGZwmPoqFMbX3g85CJT8khPaqFW05yGDTPSX9YpuEE0Bmtht9EwOpOZe6O7sd77IhfFZVmHmwy5mIYN7K6mpx/4Cb5zcNmY3wmTBlKEkDQpZDRf5PpVQ3bmQ3we9XxeK1S4UsAXHVdYGD+bg/bCafMIAGCSqGSIb3DQEHATAUBggqhkiG9w0DBwQI5D5J2lwZS5OggASCF6jSG9iZA/EJ93fEvZYLV0v7GVo3JAsR11O7DlmkIqvkAg5iC6DQvXO1j88T/MS3wV+rqUbEhktr8Xyf4sAAPI4M6HMfVENCJTStJw1PzaGwUJHEasq39793nw4k268UV5XHXvzZoF3Os2OxUHSfHECOj
Nyckelposter inkluderar följande exempeltextsträngar:
- operation=GetCACert
- Försöker hämta utfärdat certifikat
- Skicka CSR via GET
- operation=PKIOperation
Windows-enheter
På en Windows-enhet som upprättar en anslutning till NDES kan du visa enheterna windows Loggboken och söka efter indikationer på en lyckad anslutning. Connections loggas som händelse-ID 36 i enhetsloggen DeviceManagement-Enterprise-Diagnostics-Provide>Admin.
Så här öppnar du loggen:
Öppna Windows Loggboken genom att köra eventvwr.msc på enheten.
Expandera Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.
Leta efter händelse 36, som liknar följande exempel, med nyckelraden i SCEP: Certifikatbegäran har genererats:
Event ID: 36 Task Category: None Level: Information Keywords: User: <UserSid> Computer: <Computer Name> Description: SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
Felsöka statuskod 500
Connections som liknar följande exempel, med statuskoden 500, anger att behörigheten Personifiera en klient efter autentisering inte har tilldelats till den IIS_IUSRS gruppen på NDES-servern. Statusvärdet 500 visas i slutet:
2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31
Åtgärda problemet genom att utföra följande steg:
- På NDES-servern kör du secpol.msc för att öppna den lokala säkerhetsprincipen.
- Expandera Lokala principer och välj sedan Tilldelning av användarrättigheter.
- Dubbelklicka på Personifiera en klient efter autentisering i den högra rutan.
- Välj Lägg till användare eller grupp..., ange IIS_IUSRS i rutan Ange de objektnamn som ska väljas och välj sedan OK.
- Välj OK.
- Starta om datorn och försök sedan ansluta från enheten igen.
Testa och felsöka SCEP-serverns URL
Använd följande steg för att testa url:en som anges i SCEP-certifikatprofilen.
I Intune redigerar du scep-certifikatprofilen och kopierar server-URL:en. URL:en bör likna
https://contoso.com/certsrv/mscep/mscep.dll
.Öppna en webbläsare och bläddra sedan till SCEP-serverns URL. Resultatet bör vara: HTTP-fel 403.0 – Förbjudet. Det här resultatet anger att URL:en fungerar korrekt.
Om du inte får det felet väljer du länken som liknar det fel som visas för att visa problemspecifik vägledning:
Allmänt NDES-meddelande
När du bläddrar till SCEP-serverns URL får du följande meddelande om registreringstjänsten för nätverksenheter:
Orsak: Det här problemet är vanligtvis ett problem med installationen av Microsoft Intune Connector.
Mscep.dll är ett ISAPI-tillägg som fångar upp inkommande begäranden och visar HTTP 403-felet om det är korrekt installerat.
Lösning: Granska SetupMsi.log-filen för att avgöra om Microsoft Intune Connector har installerats. I följande exempel har installationen slutförts och statusen För installationen lyckades eller fel: 0 anger en lyckad installation:
MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully. MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
Om installationen misslyckas tar du bort Microsoft Intune Connector och installerar sedan om den. Om installationen lyckades och du fortsätter att få meddelandet Allmänt NDES kör du kommandot iisreset för att starta om IIS.
HTTP-fel 503
När du bläddrar till SCEP-serverns URL får du följande fel:
Det här problemet beror vanligtvis på att SCEP-programpoolen i IIS inte har startats. Öppna IIS-hanteraren på NDES-servern och gå till Programpooler. Leta upp SCEP-programpoolen och bekräfta att den har startats.
Om SCEP-programpoolen inte har startats kontrollerar du programhändelseloggen på servern:
På enheten kör du eventvwr.msc för att öppna Loggboken och gå till Windows Logs>Application.
Leta efter en händelse som liknar följande exempel, vilket innebär att programpoolen kraschar när en begäran tas emot:
Log Name: Application Source: Application Error Event ID: 1000 Task Category: Application Crashing Events Level: Error Keywords: Classic Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96 Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db Exception code: 0xc0000005
Vanliga orsaker till att en programpool kraschar
Orsak 1: Det finns mellanliggande CA-certifikat (inte självsignerade) i NDES-serverns certifikatarkiv betrodda rotcertifikatutfärdare.
Lösning: Ta bort mellanliggande certifikat från certifikatarkivet betrodda rotcertifikatutfärdare och starta sedan om NDES-servern.
Om du vill identifiera alla mellanliggande certifikat i certifikatarkivet betrodda rotcertifikatutfärdare kör du följande PowerShell-cmdlet:
Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}
Ett certifikat som har samma värden för Utfärdat till och Utfärdat av är ett rotcertifikat. Annars är det ett mellanliggande certifikat.
När du har tagit bort certifikat och startat om servern kör du PowerShell-cmdleten igen för att bekräfta att det inte finns några mellanliggande certifikat. Om det finns det kontrollerar du om en grupprincip skickar mellanliggande certifikat till NDES-servern. I så fall undantar du NDES-servern från grupprincip och tar bort de mellanliggande certifikaten igen.
Orsak 2: URL:erna i listan över återkallade certifikat (CRL) blockeras eller kan inte nås för de certifikat som används av Intune Certificate Connector.
Lösning: Aktivera ytterligare loggning för att samla in mer information:
- Öppna Loggboken, välj Visa och kontrollera att alternativet Visa analys- och felsökningsloggar är markerat.
- Gå till Program- och tjänstloggar>Microsoft>Windows>CAPI2>Operational, högerklicka på Drift och välj sedan Aktivera logg.
- När CAPI2-loggning har aktiverats återskapar du problemet och undersöker händelseloggen för att felsöka problemet.
Orsak 3: IIS-behörighet på CertificateRegistrationSvc har Windows-autentisering aktiverat.
Lösning: Aktivera anonym autentisering och inaktivera Windows-autentisering och starta sedan om NDES-servern.
Orsak 4: NDESPolicy-modulcertifikatet har upphört att gälla.
CAPI2-loggen (se orsak 2:s lösning) visar fel relaterade till certifikatet som refereras till genom
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint
att ligga utanför certifikatets giltighetsperiod.Lösning: Förnya certifikatet och installera om anslutningsappen.
Använd
certlm.msc
för att öppna certifikatarkivet på den lokala datorn, expandera Personligt och välj sedan Certifikat.I listan över certifikat hittar du ett utgånget certifikat som uppfyller följande villkor:
- Värdet för Avsedda syften är klientautentisering.
- Värdet för Utfärdat till eller Eget namn matchar NDES-servernamnet.
Obs!
Den utökade nyckelanvändningen (EKU) för klientautentisering krävs. Utan denna EKU returnerar CertificateRegistrationSvc ett HTTP 403-svar på NDESPlugin-begäranden. Det här svaret loggas i IIS-loggarna.
Dubbelklicka på certifikatet. I dialogrutan Certifikat väljer du fliken Information , letar upp fältet Tumavtryck och kontrollerar sedan att värdet matchar värdet för registerundernyckeln
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint
.Välj OK för att stänga dialogrutan Certifikat .
Högerklicka på certifikatet, välj Alla aktiviteter och välj sedan Begär certifikat med ny nyckel eller Förnya certifikat med ny nyckel.
På sidan Certifikatregistrering väljer du Nästa, väljer rätt SSL-mall och väljer sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.
I dialogrutan Certifikategenskaper väljer du fliken Ämne och utför sedan följande steg:
- Under Ämnesnamn går du till listrutan Typ och väljer Eget namn. I rutan Värde anger du det fullständigt kvalificerade domännamnet (FQDN) för NDES-servern. Välj sedan Lägg till.
- Under Alternativt namn går du till listrutan Typ och väljer DNS. I rutan Värde anger du FQDN för NDES-servern. Välj sedan Lägg till.
- Välj OK för att stänga dialogrutan Certifikategenskaper .
Välj Registrera, vänta tills registreringen har slutförts och välj sedan Slutför.
Installera om Intune Certificate Connector för att länka den till det nyligen skapade certifikatet. Mer information finns i Installera certifikatanslutningsappen för Microsoft Intune.
När du har stängt gränssnittet för certifikatanslutningsappen startar du om Intune Connector Service och World Wide Web Publishing Service.
GatewayTimeout
När du bläddrar till SCEP-serverns URL får du följande fel:
Orsak: Den Microsoft Entra anslutningstjänsten för programproxy har inte startats.
Lösning: Kör services.msc och kontrollera sedan att den Microsoft Entra anslutningstjänsten för programproxy körs och att starttypen är inställd på Automatisk.
HTTP 414 Begärande-URI för lång
När du bläddrar till SCEP-serverns URL får du följande fel: HTTP 414 Request-URI Too Long
Orsak: Filtrering av IIS-begäranden har inte konfigurerats för att stödja de långa URL:er (frågor) som NDES-tjänsten tar emot. Det här stödet konfigureras när du konfigurerar NDES-tjänsten för användning med din infrastruktur för SCEP.
Lösning: Konfigurera stöd för långa URL:er.
På NDES-servern öppnar du IIS-hanteraren, väljer Standardinställning> för filtrering > avwebbplatsbegäranRedigera funktion för att öppna sidan Redigera inställningar för filtrering av begäranden.
Konfigurera följande inställningar:
- Maximal URL-längd (byte) = 65534
- Maximal frågesträng (byte) = 65534
Välj OK för att spara den här konfigurationen och stänga IIS-hanteraren.
Verifiera den här konfigurationen genom att hitta följande registernyckel för att bekräfta att den har angivna värden:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
Följande värden anges som DWORD-poster:
- Namn: MaxFieldLength, med ett decimalvärde på 65534
- Namn: MaxRequestBytes, med decimalvärdet 65534
Starta om NDES-servern.
Det går inte att visa den här sidan
Du har konfigurerat Microsoft Entra programproxy. När du bläddrar till SCEP-serverns URL får du följande fel:
This page can't be displayed
Orsak: Det här problemet uppstår när den externa SCEP-URL:en är felaktig i Programproxy konfigurationen. Ett exempel på den här URL:en är
https://contoso.com/certsrv/mscep/mscep.dll
.Lösning: Använd standarddomänen för yourtenant.msappproxy.net för den externa SCEP-URL:en i Programproxy-konfigurationen.
500 – internt serverfel
När du bläddrar till SCEP-serverns URL får du följande fel:
Orsak 1: NDES-tjänstkontot är låst eller så har lösenordet upphört att gälla.
Lösning: Lås upp kontot eller återställ lösenordet.
Orsak 2: MSCEP-RA-certifikaten har upphört att gälla.
Lösning: Om MSCEP-RA-certifikaten har upphört att gälla installerar du om NDES-rollen eller begär nya CERTIFIKAT för CEP-kryptering och Exchange-registreringsagent (offlinebegäran).
Följ dessa steg för att begära nya certifikat:
Öppna certifikatmallarna MMC på certifikatutfärdare (CA) eller utfärdande certifikatutfärdare. Kontrollera att den inloggade användaren och NDES-servern har läs - och registreringsbehörighet till certifikatmallarna CEP Encryption and Exchange Enrollment Agent (offlinebegäran).
Kontrollera de utgångna certifikaten på NDES-servern och kopiera ämnesinformationen från certifikatet.
Öppna MMC-certifikat för datorkontot.
Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.
På sidan Begär certifikat väljer du CEP-kryptering och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.
I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2, väljer Lägg till och väljer sedan OK.
Slutför certifikatregistreringen.
Öppna CERTIFIKAT MMC för Mitt användarkonto.
När du registrerar dig för certifikatet för Exchange Enrollment Agent (offlinebegäran) måste det göras i användarkontexten. Eftersom certifikatmallens ämnestyp är inställd på Användare.
Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.
På sidan Begär certifikat väljer du Exchange-registreringsagent (offlinebegäran) och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.
I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2 och väljer Lägg till.
Välj fliken Privat nyckel , välj Gör privat nyckel exporterbar och välj sedan OK.
Slutför certifikatregistreringen.
Exportera certifikatet för Exchange-registreringsagenten (offlinebegäran) från det aktuella användarcertifikatarkivet. I guiden Exportera certifikat väljer du Ja, exportera den privata nyckeln.
Importera certifikatet till den lokala datorns certifikatarkiv.
I MMC-certifikaten utför du följande åtgärd för vart och ett av de nya certifikaten:
Högerklicka på certifikatet, välj Alla uppgifter>Hantera privata nycklar, lägg till läsbehörighet till NDES-tjänstkontot.
Kör kommandot iisreset för att starta om IIS.
Nästa steg
Om enheten når NDES-servern för att presentera certifikatbegäran är nästa steg att granska principmodulen Intune Certificate Connectors.