Dela via

Felsöka NDES-principmodulen i Microsoft Intune

  • Artikel

Den här artikeln innehåller vägledning som hjälper dig att verifiera och felsöka driften av principmodulen för registreringstjänsten för nätverksenheter (NDES) som installeras med Microsoft Intune Certificate Connector. När NDES tar emot en begäran om ett certifikat vidarebefordras begäran till principmodulen, som validerar begäran som giltig för enheten. Efter valideringen kontaktar NDES certifikatutfärdare (CA) för att begära certifikatet för enhetens räkning.

Den här artikeln gäller både steg 3 och steg 4 i SCEP-kommunikationsarbetsflödet.

NDES-kommunikation till principmodulen

När du har tagit emot certifikatbegäran från en enhet verifierar NDES begäran med Intune via principmodulen som installeras med Microsoft Intune Certificate Connector. Dessa poster refererar till certifikatregistreringsplatsen.

Loggposter som indikerar att det lyckades:

Kontrollera att verifieringsbegäran har skickats till modulen genom att leta efter en post som liknar följande exempel i loggar på NDES-servern:

  • IIS-loggar:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • NDESPlugin-logg:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    I följande exempel visas en lyckad validering av begäran om enhetsutmaning och att NDES nu kan kontakta certifikatutfärdare:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

När framgångsindikatorer inte finns:

Om du inte hittar de här posterna börjar du med att läsa felsökningsvägledningen för kommunikation mellan enheter och NDES-servrar.

Om informationen i den artikeln inte hjälper dig att lösa problemet är följande ytterligare poster som kan tyda på problem.

NDESPlugin.log innehåller ett fel 12175

När loggen innehåller ett fel 12175 som liknar följande kan det finnas ett problem med SSL-certifikatet:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

Moderna webbläsare och webbläsare på mobila enheter ignorerar det gemensamma namnet på ett SSL-certifikat om det finns alternativa ämnesnamn .

Lösning: Utfärda SSL-certifikatet för webbservern med följande attribut för Eget namn och Alternativt namn för certifikatmottagare och bind det sedan till port 443 i IIS:

  • Ämnesnamn
    CN = externt servernamn
  • Alternativt ämnesnamn
    Namn = externt servernamn
    DNS-namn = internt servernamn

NDESPlugin.log innehåller felet 403 – Förbjudet: Åtkomst nekas"

När följande loggar innehåller fel 403 som liknar följande kan klientcertifikatet vara obetrott eller ogiltigt:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

IIS-logg:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Det här problemet uppstår om det finns mellanliggande CA-certifikat i NDES-serverns certifikatarkiv betrodda rotcertifikatutfärdare.

Om ett certifikat har samma värden som Utfärdat till och Utfärdat av är det ett rotcertifikat. Annars är det ett mellanliggande certifikat.

Lösning: Åtgärda problemet genom att identifiera och ta bort mellanliggande CA-certifikat från certifikatarkivet betrodda rotcertifikatutfärdare.

NDESPlugin.log anger att utmaningen returnerar falskt

När resultatet av utmaningen returnerar falskt kontrollerar du certificateregistrationPoint.svclog efter fel. Du kan till exempel se felet "Det gick inte att hämta signeringscertifikatet" som liknar följande post:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Lösning: På den server där anslutningsappen är installerad öppnar du registry-Editor, letar upp registernyckeln HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector och kontrollerar sedan om värdet SigningCertificate finns.

Om det här värdet inte finns startar du om Intune Connector Service i services.msc och kontrollerar sedan om värdet visas i registret. Om värdet fortfarande saknas beror det ofta på problem med nätverksanslutningen mellan servern som NDES och Intune-tjänsten.

NDES skickar begäran om att utfärda certifikatet

Efter en lyckad validering av certifikatregistreringsplatsen (principmodulen) skickar NDES certifikatbegäran till certifikatutfärdaren för enhetens räkning.

Loggposter som indikerar att det lyckades:

  • NDESPlugin-logg:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • IIS-loggar:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

När framgångsindikatorer inte finns:

Om du inte ser de poster som indikerar att det lyckades utför du följande steg:

  1. Leta efter problem som loggas i CertificateRegistrationPoint.svclog när certifikatregistreringsplatsen verifierar utmaningen. Leta efter posterna mellan följande rader:

    • VerifyRequest startade.
    • VerifyRequest har slutförts med statusen False

  2. Öppna MMC för certifikatutfärdare på certifikatutfärdare och välj Misslyckade begäranden för att söka efter fel som hjälper dig att identifiera ett problem. Följande bild är ett exempel:

    Skärmbild av ett exempel på en misslyckad begäran.

  3. Granska programhändelseloggen på ca:en för att se om det finns fel. Vanligtvis kan du se fel som matchar det du ser i misslyckade begäranden från föregående steg. Följande bild är ett exempel:

    Skärmbild som visar information om programloggen.

Nästa steg

Om NDES-principmodulen validerar begäran och begäran vidarebefordras till certifikatutfärdaren är nästa steg att granska certifikatleveransen till enheten.