Felsöka SCEP-certifikatprofiler med Intune

Artikel
12/05/2023

Den här artikeln innehåller vägledning som hjälper dig att felsöka och lösa problem med SCEP-certifikatprofiler (Simple Certificate Enrollment Protocol) i Microsoft Intune. Följande avsnitt beskriver dessa begrepp:

Arkitekturen och kommunikationsflödet i SCEP-processen
Begränsa var det finns ett problem i kommunikationsflödet
Identifiera de nyckelloggfiler som refereras i efterföljande artiklar för felsökning av certifikatprofiler

Informationen i den här artikeln och relaterade felsökningsartiklar för SCEP-certifikat gäller för användning av SCEP-certifikatprofiler med Android-, iOS/iPad- och Windows-enheter. Liknande information för macOS är inte tillgänglig just nu. Information om hur du felsöker registreringstjänsten för nätverksenheter (NDES) finns i följande artiklar:

Innan du fortsätter kontrollerar du att du uppfyller kraven för att använda SCEP-certifikatprofiler, inklusive distribution av ett rotcertifikat via en betrodd certifikatprofil.

Översikt över SCEP-kommunikationsflöde

Följande bild visar en grundläggande översikt över SCEP-kommunikationsprocessen i Intune. Varje steg innehåller en länk till en artikel med mer normativ vägledning.

Distribuera en SCEP-certifikatprofil. Intune genererar en utmaningssträng som kräver en specifik användare, certifikatsyfte och certifikattyp.
Enhet till NDES-serverkommunikation. Enheten använder URI:n för NDES från profilen för att kontakta NDES-servern så att den kan utgöra en utmaning.
NDES till principmodulkommunikation. NDES vidarebefordrar utmaningen till principmodulen Intune Certificate Connector på servern, som validerar begäran.
NDES till certifikatutfärdare. NDES skickar giltiga begäranden om att utfärda ett certifikat till certifikatutfärdare (CA).
Certifikatleverans till enheten. Certifikatet levereras till enheten.
Rapportering av distribution till Intune. Intune Certificate Connector rapporterar certifikatutfärdarhändelsen till Intune.

Loggfiler

Om du vill identifiera problem med arbetsflödet för kommunikation och certifikatetablering granskar du loggfiler från både serverinfrastrukturen och från enheter. Senare avsnitt för felsökning av SCEP-certifikatprofiler finns i loggfiler som refereras i det här avsnittet.

Infrastruktur- och serverloggar

Enhetsloggar är beroende av enhetsplattformen:

iOS och iPadOS
Android
Windows

Loggar för lokal infrastruktur

Lokal infrastruktur som stöder användning av SCEP-certifikatprofiler för certifikatdistributioner omfattar Microsoft Intune Certificate Connector, NDES som körs på en Windows Server och certifikatutfärdare.

Loggfiler för de här rollerna omfattar Windows Loggboken, certifikatkonsoler och olika loggfiler som är specifika för Intune Certificate Connector, NDES eller andra roller och åtgärder som ingår i den lokala infrastrukturen.

Följande lista innehåller loggar eller konsoler som refereras till i efterföljande SCEP-felsökningsartiklar.

NDESConnector_date_time.svclog:

Den här loggen visar kommunikation från Microsoft Intune Certificate Connector till Intune-molntjänsten. Du kan använda visningsverktyget för tjänstspårning för att visa den här loggfilen.

Relaterad registernyckel: HKLM\Software\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus

Plats: På den server som är värd för NDES på %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
CertificateRegistrationPoint_date_time.svclog:

Den här loggen visar NDES-principmodulen som tar emot och verifierar certifikatbegäranden. Du kan använda visningsverktyget för tjänstspårning för att visa den här loggfilen.

Plats: På den server som är värd för NDES på %program_files%\Microsoft intune\ndesconnectorsvc\logs\logs
NDESPlugin.log:

Den här loggen visar överföring av certifikatbegäranden till certifikatregistreringsplatsen och den resulterande verifieringen av dessa begäranden.

Plats: På den server som är värd för NDES på %program_files%\Microsoft Intune\NDESPolicyModule\logs
IIS-loggar:

IIS-loggar visar certifikatbegäranden från mobila enheter som anger NDES.

Plats: På den server som är värd för NDES på c:\inetpub\logs\LogFiles\W3SVC1
Windows-programlogg:

Den här loggen är användbar när du undersöker IIS-problem, till exempel SCEP-programpoolen.

Plats: På servern som är värd för NDES: Kör eventvwr.msc för att öppna Windows Loggboken

Loggar för Android-enheter

För enheter som kör Android använder du android-Företagsportal-apploggfilenOMADM.log. Innan du samlar in och granskar loggar kontrollerar du att Utförlig loggning är aktiverat och återskapar sedan problemet.

Information om hur du samlar in OMADM.logs från en enhet finns i Ladda upp och skicka loggar via en USB-kabel.

Du kan också ladda upp och skicka e-postloggar till support.

Loggar för iOS- och iPadOS-enheter

För enheter som kör iOS/iPadOS använder du felsökningsloggar och Xcode som körs på en Mac-dator:

Anslut iOS/iPadOS-enheten till Mac och gå sedan till Programverktyg> för att öppna konsolappen.
Under Åtgärd väljer du Inkludera informationsmeddelanden och Inkludera felsökningsmeddelanden.
Återskapa problemet och spara sedan loggarna i en textfil:
1. Välj Redigera>Välj alla för att markera alla meddelanden på den aktuella skärmen och välj sedan Redigera>kopia för att kopiera meddelandena till Urklipp.
2. Öppna programmet TextEdit, klistra in de kopierade loggarna i en ny textfil och spara sedan filen.

Den Företagsportal loggen för iOS- och iPadOS-enheter innehåller inte information om SCEP-certifikatprofiler.

Loggar för Windows-enheter

För enheter som kör Windows använder du Windows-händelseloggarna för att diagnostisera problem med registrering eller enhetshantering för enheter som du hanterar med Intune.

På enheten öppnar du Loggboken>Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostics-Provider.

Skärmbild av Windows-händelseloggarna i Loggboken.

Nästa steg

Felsöka distribution av en SCEP-certifikatprofil till enheter i Microsoft Intune

Dela via