徵兆
您在Microsoft Endpoint Configuration Manager 服務連接點角色上遇到連線問題。 發生這些問題時,您會遇到下列任一徵兆:
在上傳或同步至 Configuration Manager 雲端服務期間,您會收到下列狀態消息標識符,指出通訊失敗:
- 9605:DMP_UPLOADER_UPLOAD_FAILED
- 9607:DMP_UPLOADER_UPLOAD_EXCEPTION
Configuration Manager 記錄檔中會記錄下列錯誤專案:
- 無法檢查和載入服務簽署憑證。 System.ArgumentException:無法建置鏈結
原因
如果下列任一條件成立,就可能發生此問題:
- 自動跟證書機制已停用。
- 未安裝 DigiCert 全域根 G2 跟證書。
- 中繼憑證不會安裝在 中繼證書頒發機構單位 存放區中。
- 您的環境只允許輸出呼叫特定的 證書吊銷清單 (CRL) 下載或 在線憑證狀態通訊協定 (OCSP) 驗證位置。
解決方法
安裝最新的跟證書。 如果您執行中斷連線的環境,或已封鎖必要的因特網端點,則跟證書可能無法自動安裝。
已中斷連線的環境
更新受信任跟證書,並在已中斷連線的環境中不允許的憑證信任清單 (CCL)。
在中斷連線的環境中,系統管理員必須設定檔案共用或網頁伺服器,才能在內部裝載檔案。 組策略設定也會更新,讓用戶端和伺服器使用內部檔案共用或網頁伺服器,而不是因特網位置。
在中斷連線的環境中執行的系統,必須將新的根新增至 受信任的跟證書授權單位 存放區,並將中繼新增至 中繼證書頒發機構單位 存放區。
如果下列任一條件成立,您可以將環境視為中斷連線:
- 已封鎖直接存取 Windows Update。
- 已停用受信任和不受信任 CTL 的自動更新機制。
如需如何協助散發中斷連線環境受信任或未受信任憑證的相關信息,請參閱 在 Windows 中設定受信任的根和不允許的憑證。
因特網端點
如果您有一個將規則設定為只 允許特定證書吊銷清單 (CRL) 下載或 在線憑證狀態通訊協定 (OCSP) 驗證位置的輸出呼叫的環境,您必須允許下列 CRL 和 OCSP URL:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://ctldl.windowsupdate.comhttps://mscrl.microsoft.comhttps://crl.microsoft.comhttps://oneocsp.microsoft.comhttp://ocsp.msocsp.com
相關資訊
Microsoft會維護程式網站上 Windows 跟證書計劃所散發的跟證書清單。
如需 Windows 跟證書計畫 及成員證書頒發機構單位清單的詳細資訊,請參閱 版本資訊 - Microsoft受信任的跟證書計劃。
不同的 Windows 版本提供跟證書更新機制。 這包括自動根更新機制。
如需如何在不同 Windows 版本中更新跟證書清單的詳細資訊,請參閱 在 Windows 中設定受信任的根和不允許的憑證。
根據預設,自動根更新機制會在不同版本的 Windows 中啟用。 不過,如果停用此機制,且服務連接點伺服器未安裝 DigiCert 全域根 G2 跟證書,則 Configuration Manager 雲端服務的連線問題可能會發生。 Configuration Manager 內部部署階層可能無法再存取 Microsoft Configuration Manager 雲端服務和其他這類資源。
如需詳細資訊,請參閱 Azure TLS 憑證變更 和 Azure IoT TLS:即將推出變更。
下一步
如需 Configuration Manager 連線需求和疑難解答的其他資訊,請參閱下列專案: