Aracılığıyla paylaş

Configuration Manager istemcileri CMG ile iletişim kuramaz

Bu makalede, Configuration Manager istemcileri bir Bulut Yönetimi Ağ Geçidi (CMG) ile iletişim kuramadığında karşılaşılan yaygın sorunların çözümleri sağlanır.

Özgün ürün sürümü: Configuration Manager (geçerli dal)
Özgün KB numarası: 4503442, 4495265

Hata kodu 403 (CMGConnector_Clientcertificaterequired)

Aşağıdaki günlük dosyalarında, aşağıdaki girişlere benzer hata iletileri günlüğe kaydedilir:

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Clientcertificaterequired

SMS_Cloud_ProxyConnector.log

Forwarding proxy message \<message ID> to URL: `https://InternalMP.contoso.com/SMS_MP/.sms_aut?SITESIGNCERT`  
Web exception for message \<message ID>: System.Net.WebException: **The remote server returned an error: (403) Forbidden**.~~  at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)~~  at Microsoft.ConfigurationManager.CloudConnection.ProxyConnector.ConnectionBase.InternalResponseCallBack(IAsyncResult asynchronousResult)  
Received response `https://InternalMP.contoso.com/SMS_MP/.sms_aut?MPLIST2&CM1` for message \<message ID>: HTTP/1.1 403 CMGConnector_Clientcertificaterequired

Neden

CMG bağlantı noktası, istemci isteklerini güvenli bir şekilde bir HTTPS yönetim noktasına iletmek için bir sunucu kimlik doğrulama sertifikası gerektirir. Sunucu kimlik doğrulama sertifikası eksik, yanlış yapılandırılmış veya geçersizse, durum kodu 403 döndürülür. Yönetim Noktası'nın (MP) belirteç tabanlı kimlik doğrulamasıyla gelişmiş HTTP modunda çalıştığı senaryolarda sertifika gerekli değildir ancak her zaman önerilir.

Çözüm

Bu sorunu çözmek için CMG bağlantı noktası için bir sunucu kimlik doğrulama sertifikası oluşturun.

Not

Sertifikada, bilgisayarların Konu Adı veya Konu Alternatif Adı alanında benzersiz bir değeri olmalıdır.

CMG'nin sunucu sertifikasına sahip olduğunu doğrulama

Ayrıntılı günlüğü etkinleştirdikten sonra, SMS_Cloud_ProxyConnector.log dosyasında sunucudaki kullanılabilir sertifikaların listesi gösterilir. CMG bağlantı noktası ile yönetim noktası arasında iletişim kurmak için geçerli bir sunucu kimlik doğrulama sertifikasının mevcut olup olmadığını doğrulamak için, İstemci kimlik doğrulamasıyla filtrelenmiş sertifika sayısı: satırındaki sertifika sayısını denetleyin. Bir örnek için aşağıdaki günlüğe bakın:

SMS_Cloud_ProxyConnector.log

Filtered cert count with digital signature: 7
Not allowed cert: <certificate>
Not allowed cert: <certificate>
No private key cert: <certificate>
Not allowed cert: <certificate>
Filtered cert count with allowed root CA: 3
Filtered cert count with private key: 3
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Not client auth cert: <certificate>
Filtered cert count with client auth: 0
Maintaining connections...

Hata kodu 403 (CMGConnector_Forbidden)

Aşağıdaki günlük dosyasında, aşağıdaki girişlere benzer hata iletileri günlüğe kaydedilir:

LocationServices.log

[CCMHTTP] ERROR: URL=https://cmgsccm.contoso.com/CCM_PROXY_MUTUALAUTH/3456/SMS_MP/.sms_aut?SITESIGNCERT, Port=443, Options=31, Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE  \
[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText= CMGConnector_Forbidden

Neden

Internet Information Services (IIS) bağlamaları ile HTTP modundaki yönetim noktası arasında bir uyuşmazlık vardır. Yönetim noktası, bağlamaları temizlemeden HTTPS modundan gelişmiş HTTP moduna taşınırsa, Yapılandırma Yönetimi istemcisi gelişmiş HTTP modunda kullanılan bir SMS Rolü SSL sertifikası yapılandıramayabilir. Diğer durumlarda IIS bağlamalarında yanlış bir sertifika (süresi doldu veya iptal edildi) var ve temizlenmesi gerekiyor.

Çözüm

  1. IIS Yöneticisi'ne (inetmgr ) tıklayın.

  2. Bağlantılar bölmesinde makine adını genişletin, Siteler'i genişletin ve ardından Varsayılan Web Sitesi'ni seçin.

  3. Sağ bölmede Bağlamalar'ı seçin.

  4. Site Bağlamaları iletişim kutusunda 443 bağlantı noktası bağlamasını ve ardından Düzenle'yi seçin.

  5. Site Bağlamasını Düzenle iletişim kutusunda sertifikayı uygun şekilde seçin:

    • Gelişmiş HTTP: SMS Rolü SSL sertifikası

    • HTTPS: Geçerli bir ortak anahtar altyapısı (PKI) sunucusu kimlik doğrulama sertifikası

Hata kodu 0x2f8f (ERROR_WINHTTP_SECURE_FAILURE)

Aşağıdaki günlük dosyasında, aşağıdaki girdiye benzer bir hata iletisi günlüğe kaydedilir:

LocationServices.log

[CCMHTTP] ERROR: URL=https://CMG.CONTOSO.COM/CCM_Proxy_ServerAuth/72057594037928017/CCM_STS, Port=443, Options=63, Code=12175, Text=ERROR_WINHTTP_SECURE_FAILURE

Hata iletisinden önce, diğer olaylar da günlüğe kaydedilebilir:

[CCMHTTP] AsyncCallback():

[CCMHTTP] AsyncCallback(): WINHTTP_CALLBACK_STATUS_SECURE_FAILURE Encountered
[CCMHTTP] : dwStatusInformationLength is 4
[CCMHTTP] : lpvStatusInformation is 0x9
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA is set
[CCMHTTP] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID is set

Not

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED komutunda parametresinin /NoCRLCheck eksik CCMSetup olduğunu ve sertifika iptal listesinin (CRL) İnternet'te yayımlanmadığını gösterir.

  • WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA bir CMG için sunucu kimlik doğrulama sertifikasını doğrulamak için gereken kök sertifika yetkilisi (CA) sertifikasının eksik olduğunu gösterir.

  • WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID sertifika ortak adındaki ana bilgisayar adının yanlış olduğunu gösterir.

Neden

Bu sorun, aşağıdaki koşullardan biri veya daha fazlası doğruysa oluşur:

  • İstemcinin sunucu kimlik doğrulama sertifikasını doğrulamak için gerekli PKI Kök CA'sı yok.
  • İstemciye sunulan sertifika yanlış.
  • Sertifikayı içeren CRL İnternet'te yayımlanmaz ve istemci CRL'yi doğrulamaya zorlanır.

Çözüm

PKI sunucusu kimlik doğrulama sertifikası kullanıyorsanız şu adımları izleyin:

  1. İstemciye sunulan sertifikanın beklenen CMG adına sahip olduğundan emin olun. Sertifika sabitleme kullanan ve sunulan sertifikayı değiştiren Microsoft hizmetleri olmayan bir sertifika kullanıyorsanız, istemciler sunucu sertifikasını doğrulayamaz.

    Hangi sertifikanın sunulduğunu doğrulamak için web tarayıcısında aşağıdaki URL'yi açın:

    https://<CMGFQDN>/CCM_Proxy_MutualAuth/ServiceMetadata

    Yer tutucuyu <CMGFQDN> CMG genel tam etki alanı adınızla (FQDN) değiştirin.

  2. İstemcinin sertifikayı yerel Güvenilen Kök Sertifika Yetkilileri sertifika deposunda olduğundan emin olun. Aksi takdirde istemci, Microsoft Entra veya belirteç tabanlı kimlik doğrulaması kullanırken bile CMG'ye güvenmez. Bu modern kimlik doğrulama yöntemi yalnızca CMG'nin sunucu kimlik doğrulamasını doğrulaması için kullanılabilir, ancak CMG'den istemciye gönderilen yanıtlar için kullanılamaz. Kimlik doğrulaması için Microsoft dışı bir sertifika kullandığınızda istemci genellikle genel Kök CA'yı İnternet üzerinden doğrulayabilir.

  3. CRL İnternet'te yayımlanmadıysa, sitenin istemcileri CRL'yi doğrulamaya zorlamadığından ve istemciler için CRL denetimini devre dışı bırakmadığından emin olun:

    1. Configuration Manager konsolunda Yönetim çalışma alanına gidin.

    2. Site Yapılandırması'nı genişletin ve siteler düğümünü seçin.

    3. Yapılandıracak birincil siteyi seçin.

    4. Şeritte Özellikler'i seçin.

    5. İletişim Güvenliği sekmesinde, İstemciler site sistemleri için sertifika iptal listesini (CRL) onay kutusunu temizleyin.

    Not

    İstemcileri İnternet'ten yüklerken parametresinin /NoCRLCheck komuta eklendiğinden CCMSetup emin olun.

Hata kodu 401 (CMGService_Invalid_Token)

İstemci 30 günden uzun süredir siteyle (CMG veya MP aracılığıyla) iletişim kurmadı veya CCMSetup komut parametresiyle /regtoken süresi dolmuş bir belirteç kullanmaya çalışır. Aşağıdaki günlük dosyalarında, aşağıdaki girişlere benzer hata iletileri günlüğe kaydedilir:

Ccmsetup.log

[CCMHTTP] ERROR: URL=https://CMGSERVER.CLOUDAPP.NET/CCM_Proxy_ServerAuth/ServiceMetadata , Port=443, Options=224, >Code=0, Text=CCM_E_BAD_HTTP_STATUS_CODE
[CCMHTTP] ERROR INFO: StatusCode=401 StatusText=CMGService_Invalid_Token

CCM_STS.log

Return code: 401, Description: PreAuth token validation failed, System.IdentityModel.Tokens.SecurityTokenExpiredException:
IDX10223: Lifetime validation failed. The token is expired.
ValidTo: '10/01/2020 22:03:24'
Current time: '10/28/2020 13:05:05'.
   at System.IdentityModel.Tokens.Validators.ValidateLifetime....

Neden

Belirtecin süresi dolduğundan veya düzgün eklenemediğinden bu sorun oluşur.

Çözüm

Süresi dolan belirteci yenilemek için istemciyi doğrudan iç MP'ye bağlayın veya yeni bir Toplu kayıt belirteci kullanarak istemciyi yeniden yükleyin.

Daha Fazla Bilgi

Daha fazla sorun giderme işlemi için aşağıdaki eylemleri gerçekleştirin:

  • Yönetim noktasındaKI IIS günlüklerini denetleyin.

    Aşağıdaki örnek günlükte 403 7 yanıt, sunucu sertifikasının bulunamadığını gösterir:

    <Tarih><Saat><IP_address_of_MP> GET /SMS_MP/.sms_aut SITESIGNCERT 443 - <IP_address_of_CMG_connectionpoint> SMS+CCM+5.0 - 403 7 0 5573 11

  • Kayıt defteri giriş değerini 1 aşağıdaki kayıt defteri anahtarı altında olarak ayarlayarak VerboseLogging SMS_Cloud_ProxyConnector.log dosyası için ayrıntılı günlük kaydını etkinleştirin ve ardından SMS_EXECUTIVE hizmetini yeniden başlatın.

    HKLM\SOFTWARE\MICROSOFT\SMS\SMS_CLOUD_PROXYCONNECTOR