Share via

Microsoft Intuneでの NDES ポリシー モジュールのトラブルシューティング

  • [アーティクル]

この記事では、Microsoft Intune Certificate Connector と共にインストールされるネットワーク デバイス登録サービス (NDES) ポリシー モジュールの操作の検証とトラブルシューティングに役立つガイダンスを提供します。 NDES は、証明書の要求を受信すると、要求をポリシー モジュールに転送し、デバイスに対して有効な要求を検証します。 検証後、NDES は証明機関 (CA) に連絡して、デバイスの代わりに証明書を要求します。

この記事は、 SCEP 通信ワークフローの手順 3 と手順 4 の両方に適用されます。

ポリシー モジュールへの NDES 通信

デバイスから証明書要求を受け取った後、NDES は、Microsoft Intune Certificate Connector と共にインストールするポリシー モジュールを介して、Intuneでその要求を検証します。 これらのエントリは、 証明書登録ポイントを参照します。

成功を示すログ エントリ:

検証要求がモジュールに送信されたことを確認するには、NDES サーバーのログで次の例のようなエントリを探します。

  • IIS ログ:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • NDESPlugin ログ:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    次の例は、デバイスチャレンジ要求の検証が成功し、NDES が CA に接続できることを示しています。

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

成功インジケーターが表示されない場合:

これらのエントリが見つからない場合は、まず 、デバイスから NDES サーバーへの通信に関するトラブルシューティング ガイダンスを確認します。

その記事の情報が問題の解決に役立たない場合は、問題を示す追加のエントリを次に示します。

エラー 12175 が含まれているNDESPlugin.log

ログに次のようなエラー 12175 が含まれている場合は、SSL 証明書に問題がある可能性があります。

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

モバイル デバイス上の最新のブラウザーとブラウザーは、サブジェクトの別名が存在する場合、SSL 証明書の共通名を無視します。

解決策: 共通名サブジェクトの別名に対して次の属性を持つ Web サーバー SSL 証明書を発行し、IIS のポート 443 にバインドします。

  • サブジェクト名
    CN = 外部サーバー名
  • サブジェクトの別名
    名前 = 外部サーバー名
    DNS 名 = 内部サーバー名

NDESPlugin.logにエラー 403 が含まれています – 禁止: アクセスが拒否されました"

次のログに次のようなエラー 403 が含まれている場合、クライアント証明書が信頼されていないか無効である可能性があります。

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

IIS ログ:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

この問題は、NDES サーバーの信頼されたルート証明機関の証明書ストアに中間 CA 証明書がある場合に発生します。

証明書の 発行 先と 発行 済みの値が同じ場合は、ルート証明書です。 それ以外の場合は、中間証明書です。

解決策: 問題を解決するには、信頼されたルート証明機関の証明書ストアから中間 CA 証明書を特定して削除します。

チャレンジが false を返すNDESPlugin.log

チャレンジの結果が false を返した場合は、エラーの CertificateRegistrationPoint.svclog をチェックします。 たとえば、次のエントリのような "署名証明書を取得できませんでした" というエラーが表示される場合があります。

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

解決策: コネクタがインストールされているサーバーで、レジストリ エディターを開き、レジストリ キーをHKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector見つけて、SigningCertificate 値が存在するかどうかをチェックします。

この値が存在しない場合は、services.msc で Intune コネクタ サービスを再起動し、値がレジストリに表示されるかどうかをチェックします。 値がまだ見つからない場合は、多くの場合、NDES と Intune サービスのサーバー間のネットワーク接続の問題が原因です。

NDES は、証明書を発行する要求を渡します

証明書登録ポイント (ポリシー モジュール) による検証が成功すると、NDES はデバイスに代わって証明書要求を CA に渡します。

成功を示すログ エントリ:

  • NDESPlugin ログ:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • IIS ログ:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

成功インジケーターが表示されない場合:

成功を示すエントリが表示されない場合は、次の手順を実行します。

  1. 証明書登録ポイントがチャレンジを検証するときに CertificateRegistrationPoint.svclog に記録されている問題を探します。 次の行間のエントリを探します。

    • VerifyRequest Started。
    • VerifyRequest 状態が False で完了しました

  2. CA で証明機関 MMC を開き、[ 失敗した要求 ] を選択して、問題の特定に役立つエラーを探します。 次の図に例を示します。

    失敗した要求の例のスクリーンショット。

  3. CA のアプリケーション イベント ログでエラーがないか確認します。 通常、前の手順の 失敗した要求 に一致するエラーが表示されます。 次の図に例を示します。

    アプリケーション ログの詳細を示すスクリーンショット。

次の手順

NDES ポリシー モジュールが要求を検証し、要求が証明機関に転送される場合、次の手順は 、デバイスへの証明書の配信を確認することです