Problembehandlung bei der Kommunikation zwischen Geräten und NDES-Servern für SCEP-Zertifikatprofile in Microsoft Intune

Verwenden Sie die folgenden Informationen, um zu ermitteln, ob ein Gerät, das ein Intune SCEP-Zertifikatprofil (Simple Certificate Enrollment Protocol) empfangen und verarbeitet hat, erfolgreich den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) kontaktieren kann, um eine Herausforderung zu präsentieren. Auf dem Gerät wird ein privater Schlüssel generiert, und die Zertifikatsignieranforderung (Certificate Signing Request, CSR) und die Anforderung werden vom Gerät an den NDES-Server übergeben. Um den NDES-Server zu kontaktieren, verwendet das Gerät den URI aus dem SCEP-Zertifikatprofil.

In diesem Artikel wird auf Schritt 2 der Übersicht über den SCEP-Kommunikationsfluss verwiesen.

Überprüfen von IIS-Protokollen auf eine Verbindung vom Gerät

IIS-Protokolldateien (Internet Information Services) enthalten denselben Typ von Einträgen für alle Plattformen.

1. Öffnen Sie auf dem NDES-Server die neueste IIS-Protokolldatei im folgenden Ordner: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Durchsuchen Sie das Protokoll nach Einträgen, die den folgenden Beispielen ähneln. Beide Beispiele enthalten eine status 200, die am Ende angezeigt wird:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   Und

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. Wenn das Gerät IIS kontaktiert, wird eine HTTP GET-Anforderung für mscep.dll protokolliert.

   Überprüfen Sie den status Code am Ende dieser Anforderung:

   • Statuscode 200: Dieser status gibt an, dass die Verbindung mit dem NDES-Server erfolgreich hergestellt wurde.

   • Statuscode 500: Der IIS_IUSRS Gruppe fehlen möglicherweise die richtigen Berechtigungen. Weitere Informationen finden Sie unter Problembehandlung für status Code 500 weiter unten in diesem Artikel.

   • Wenn der status Code nicht 200 oder 500 ist:

     • Informationen zur Überprüfung der Konfiguration finden Sie weiter unten in diesem Artikel unter Testen und Problembehandlung für die SCEP-Server-URL .

     • Informationen zu weniger häufigen Fehlercodes finden Sie unter HTTP-status Code in IIS 7 und höheren Versionen.

   Wenn die Verbindungsanforderung überhaupt nicht protokolliert wird, wird der Kontakt vom Gerät möglicherweise im Netzwerk zwischen dem Gerät und dem NDES-Server blockiert.

Überprüfen von Geräteprotokollen auf Verbindungen mit NDES

Android-Geräte

Überprüfen Sie das OMADM-Protokoll der Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät eine Verbindung mit NDES herstellt:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Schlüsseleinträge enthalten die folgenden Beispieltextzeichenfolgen:

• Es gibt 1 Anforderungen.
• "200 OK" beim Senden von GetCACaps(ca) an https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Signieren von pkiMessage mithilfe des Schlüssels, der zu [dn=CN=<username>; serial=1] gehört

Die Verbindung wird auch von IIS im Ordner %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ des NDES-Servers protokolliert. Im Folgenden finden Sie ein Beispiel:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS-/iPadOS-Geräte

Überprüfen Sie das Debugprotokoll für Geräte. Suchen Sie nach Einträgen, die den folgenden Beispielen ähneln, die protokolliert werden, wenn das Gerät eine Verbindung mit NDES herstellt:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=MIAGCSqGSIb3DQEHAqCAMIACAQExDzANBglghkgBZQMEAgMFADCABgkqhkiG9w0BBwGggCSABIIZfzCABgkqhkiG9w0BBwOggDCAAgEAMYIBgjCCAX4CAQAwZjBPMRUwEwYKCZImiZPyLGQBGRYFbG9jYWwxHDAaBgoJkiaJk/IsZAEZFgxmb3VydGhjb2ZmZWUxGDAWBgNVBAMTD0ZvdXJ0aENvZmZlZSBDQQITaAAAAAmaneVjEPlcTwAAAAAACTANBgkqhkiG9w0BAQEFAASCAQCqfsOYpuBToerQLkw/tl4tH9E+97TBTjGQN9NCjSgb78fF6edY0pNDU+PH4RB356wv3rfZi5IiNrVu5Od4k6uK4w0582ZM2n8NJFRY7KWSNHsmTIWlo/Vcr4laAtq5rw+CygaYcefptcaamkjdLj07e/Uk4KsetGo7ztPVjSEFwfRIfKv474dLDmPqp0ZwEWRQGZwmPoqFMbX3g85CJT8khPaqFW05yGDTPSX9YpuEE0Bmtht9EwOpOZe6O7sd77IhfFZVmHmwy5mIYN7K6mpx/4Cb5zcNmY3wmTBlKEkDQpZDRf5PpVQ3bmQ3we9XxeK1S4UsAXHVdYGD+bg/bCafMIAGCSqGSIb3DQEHATAUBggqhkiG9w0DBwQI5D5J2lwZS5OggASCF6jSG9iZA/EJ93fEvZYLV0v7GVo3JAsR11O7DlmkIqvkAg5iC6DQvXO1j88T/MS3wV+rqUbEhktr8Xyf4sAAPI4M6HMfVENCJTStJw1PzaGwUJHEasq39793nw4k268UV5XHXvzZoF3Os2OxUHSfHECOj

Schlüsseleinträge enthalten die folgenden Beispieltextzeichenfolgen:

• operation=GetCACert
• Versuch, ausgestelltes Zertifikat abzurufen
• Senden von CSR über GET
• operation=PKIOperation

Windows-Geräte

Auf einem Windows-Gerät, das eine Verbindung mit NDES herstellt, können Sie die Windows-Ereignisanzeige Geräte anzeigen und nach Hinweisen auf eine erfolgreiche Verbindung suchen. Connections werden als Ereignis-ID 36 im Geräteprotokoll DeviceManagement-Enterprise-Diagnostics-Provide>Admin protokolliert.

So öffnen Sie das Protokoll:

1. Führen Sie auf dem Gerät eventvwr.msc aus, um Windows Ereignisanzeige zu öffnen.

2. Erweitern Sie Anwendungs- und Dienstprotokolle>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

3. Suchen Sie nach Ereignis 36, das dem folgenden Beispiel ähnelt, mit der Schlüsselzeile von SCEP: Zertifikatanforderung erfolgreich generiert:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Problembehandlung bei status Code 500

Connections, die dem folgenden Beispiel ähneln, geben mit dem status Code 500 an, dass das Benutzerrecht Identität eines Clients annehmen nach der Authentifizierung nicht der IIS_IUSRS-Gruppe auf dem NDES-Server zugewiesen ist. Am Ende wird der status Wert 500 angezeigt:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

1. Führen Sie auf dem NDES-Server secpol.msc aus, um die lokale Sicherheitsrichtlinie zu öffnen.
2. Erweitern Sie Lokale Richtlinien, und wählen Sie dann Zuweisung von Benutzerrechten aus.
3. Doppelklicken Sie im rechten Bereich auf Identität eines Clients nach der Authentifizierung annehmen.
4. Wählen Sie Benutzer oder Gruppe hinzufügen... aus, geben Sie IIS_IUSRS in das Feld Geben Sie die zu markierenden Objektnamen ein, und wählen Sie dann OK aus.
5. Wählen Sie OK aus.
6. Starten Sie den Computer neu, und versuchen Sie dann erneut, die Verbindung über das Gerät herzustellen.

Testen und Behandeln von Problemen mit der SCEP-Server-URL

Führen Sie die folgenden Schritte aus, um die URL zu testen, die im SCEP-Zertifikatprofil angegeben ist.

1. Bearbeiten Sie Intune Ihr SCEP-Zertifikatprofil, und kopieren Sie die Server-URL. Die URL sollte ähnlich aussehen https://contoso.com/certsrv/mscep/mscep.dll.

2. Öffnen Sie einen Webbrowser, und navigieren Sie dann zu dieser SCEP-Server-URL. Das Ergebnis sollte sein: HTTP-Fehler 403.0 – Verboten. Dieses Ergebnis gibt an, dass die URL ordnungsgemäß funktioniert.

   Wenn dieser Fehler nicht angezeigt wird, wählen Sie den Link aus, der dem angezeigten Fehler ähnelt, um eine problemspezifische Anleitung anzuzeigen:

   • Ich erhalte eine allgemeine Nachricht des Registrierungsdiensts für Netzwerkgeräte.
   • Ich erhalte "HTTP-Fehler 503. Der Dienst ist nicht verfügbar."
   • Ich erhalte den Fehler "GatewayTimeout"
   • Ich erhalte "HTTP 414 Request-URI Too Long"
   • Ich erhalte "Diese Seite kann nicht angezeigt werden"
   • Ich erhalte "500 – Interner Serverfehler"

Allgemeine NDES-Nachricht

Wenn Sie zur SCEP-Server-URL navigieren, erhalten Sie die folgende Meldung des Registrierungsdiensts für Netzwerkgeräte:

• Ursache: Dieses Problem ist in der Regel ein Problem bei der Installation des Microsoft Intune Connectors.

  Mscep.dll ist eine ISAPI-Erweiterung, die eingehende Anforderungen abfängt und den HTTP 403-Fehler anzeigt, wenn sie ordnungsgemäß installiert ist.

  Lösung: Überprüfen Sie die datei SetupMsi.log, um festzustellen, ob Microsoft Intune Connector erfolgreich installiert wurde. Im folgenden Beispiel wurde die Installation erfolgreich abgeschlossen, und eine erfolgreiche Installation oder ein Fehler status: 0 deuten auf eine erfolgreiche Installation hin:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Wenn die Installation fehlschlägt, entfernen Sie den Microsoft Intune Connector, und installieren Sie ihn dann neu. Wenn die Installation erfolgreich war und Sie weiterhin die Allgemeine NDES-Meldung erhalten, führen Sie den Befehl iisreset aus, um IIS neu zu starten.

HTTP-Fehler 503

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

Dieses Problem liegt in der Regel daran, dass der SCEP-Anwendungspool in IIS nicht gestartet wurde. Öffnen Sie auf dem NDES-Server den IIS-Manager , und wechseln Sie zu Anwendungspools. Suchen Sie den SCEP-Anwendungspool , und vergewissern Sie sich, dass er gestartet wurde.

Wenn der SCEP-Anwendungspool nicht gestartet wurde, überprüfen Sie das Anwendungsereignisprotokoll auf dem Server:

1. Führen Sie auf dem Gerät eventvwr.msc aus, um Ereignisanzeige zu öffnen und zu Windows-Protokollanwendung> zu wechseln.

2. Suchen Sie nach einem Ereignis, das dem folgenden Beispiel ähnelt, was bedeutet, dass der Anwendungspool abstürzt, wenn eine Anforderung empfangen wird:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Häufige Ursachen für den Absturz eines Anwendungspools

• Ursache 1: Im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen des NDES-Servers befinden sich Zwischenzertifikate der Zertifizierungsstelle (nicht selbstsigniert).

  Lösung: Entfernen Sie Zwischenzertifikate aus dem Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen, und starten Sie dann den NDES-Server neu.

  Führen Sie das folgende PowerShell-Cmdlet aus, um alle Zwischenzertifikate im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen zu identifizieren: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Ein Zertifikat mit denselben Werten Ausgestellt für und Ausgestellt von ist ein Stammzertifikat. Andernfalls handelt es sich um ein Zwischenzertifikat.

  Nachdem Sie Zertifikate entfernt und den Server neu gestartet haben, führen Sie das PowerShell-Cmdlet erneut aus, um sicherzustellen, dass keine Zwischenzertifikate vorhanden sind. Falls vorhanden, überprüfen Sie, ob ein Gruppenrichtlinie die Zwischenzertifikate an den NDES-Server pusht. Wenn ja, schließen Sie den NDES-Server aus dem Gruppenrichtlinie aus, und entfernen Sie die Zwischenzertifikate erneut.

• Ursache 2: Die URLs in der Zertifikatsperrliste (Certificate Revocation List, CRL) sind für die Zertifikate blockiert oder nicht erreichbar, die vom Intune Certificate Connector verwendet werden.

  Lösung: Aktivieren Sie die zusätzliche Protokollierung, um weitere Informationen zu sammeln:

  1. Öffnen Sie Ereignisanzeige, wählen Sie Ansicht aus, und stellen Sie sicher, dass die Option Analyse- und Debugprotokolle anzeigen aktiviert ist.
  2. Wechseln Sie zu Anwendungs- und Dienstprotokolle>Microsoft>Windows>CAPI2>Betriebsbereit, klicken Sie mit der rechten Maustaste auf Betriebsbereit, und wählen Sie dann Protokoll aktivieren aus.
  3. Nachdem die CAPI2-Protokollierung aktiviert wurde, reproduzieren Sie das Problem, und untersuchen Sie das Ereignisprotokoll, um das Problem zu beheben.

• Ursache 3: Für die IIS-Berechtigung für CertificateRegistrationSvc ist die Windows-Authentifizierung aktiviert.

  Lösung: Aktivieren Sie die anonyme Authentifizierung , deaktivieren Sie die Windows-Authentifizierung, und starten Sie dann den NDES-Server neu.

  

• Ursache 4: Das NDESPolicy-Modulzertifikat ist abgelaufen.

  Das CAPI2-Protokoll (siehe Lösung von Ursache 2) zeigt Fehler im Zusammenhang mit dem Zertifikat an, auf das verwiesen wird, da HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint es außerhalb des Gültigkeitszeitraums des Zertifikats liegt.

  Lösung: Erneuern Sie das Zertifikat, und installieren Sie den Connector neu.

  1. Verwenden Sie certlm.msc , um den Zertifikatspeicher des lokalen Computers zu öffnen, erweitern Sie Persönlich, und wählen Sie dann Zertifikate aus.

  2. Suchen Sie in der Liste der Zertifikate nach einem abgelaufenen Zertifikat, das die folgenden Bedingungen erfüllt:

     • Der Wert von Beabsichtigte Zwecke ist Clientauthentifizierung.
     • Der Wert von Ausgestellt an oder Allgemeiner Name entspricht dem NDES-Servernamen.

     Hinweis

     Die erweiterte Schlüsselverwendung (EKU) für die Clientauthentifizierung ist erforderlich. Ohne diese EKU gibt CertificateRegistrationSvc eine HTTP 403-Antwort auf NDESPlugin-Anforderungen zurück. Diese Antwort wird in den IIS-Protokollen protokolliert.

  3. Doppelklicken Sie auf das Zertifikat. Wählen Sie im Dialogfeld Zertifikat die Registerkarte Details aus, suchen Sie das Feld Fingerabdruck , und überprüfen Sie dann, ob der Wert mit dem Wert des HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint Registrierungsunterschlüssels übereinstimmt.

  4. Wählen Sie OK aus, um das Dialogfeld Zertifikat zu schließen.

  5. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben und dann Zertifikat mit neuem Schlüssel anfordern oder Zertifikat mit neuem Schlüssel erneuern aus.

  6. Wählen Sie auf der Seite Zertifikatregistrierung die Option Weiter aus, wählen Sie die richtige SSL-Vorlage aus, und wählen Sie dann Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

  7. Wählen Sie im Dialogfeld Zertifikateigenschaften die Registerkarte Betreff aus, und führen Sie dann die folgenden Schritte aus:

     1. Wählen Sie unter Antragstellername im Dropdownfeld Typ die Option Allgemeiner Name aus. Geben Sie im Feld Wert den vollqualifizierten Domänennamen (FQDN) des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
     2. Wählen Sie unter Alternativer Name im Dropdownfeld Typ die Option DNS aus. Geben Sie im Feld Wert den FQDN des NDES-Servers ein. Wählen Sie dann Hinzufügen aus.
     3. Wählen Sie OK aus, um das Dialogfeld Zertifikateigenschaften zu schließen.

  8. Wählen Sie Registrieren aus, warten Sie, bis die Registrierung erfolgreich abgeschlossen wurde, und wählen Sie dann Fertig stellen aus.

  9. Installieren Sie den Intune Certificate Connector neu, um ihn mit dem neu erstellten Zertifikat zu verknüpfen. Weitere Informationen finden Sie unter Installieren des Microsoft Intune Certificate Connector.

  10. Nachdem Sie die Benutzeroberfläche des Zertifikatconnectors geschlossen haben, starten Sie den Intune Connectordienst und den World Wide Web Publishing Service neu.

GatewayTimeout

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

• Ursache: Der Microsoft Entra Anwendungsproxy-Connectordienst wurde nicht gestartet.

  Lösung: Führen Sie services.msc aus, und stellen Sie dann sicher, dass der Microsoft Entra Anwendungsproxy-Connectordienst ausgeführt wird und der Starttyp auf Automatisch festgelegt ist.

HTTP 414 Request-URI Too Long

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt: HTTP 414 Request-URI Too Long

• Ursache: Die IIS-Anforderungsfilterung ist nicht für die Unterstützung der langen URLs (Abfragen) konfiguriert, die der NDES-Dienst empfängt. Diese Unterstützung wird konfiguriert, wenn Sie den NDES-Dienst für die Verwendung mit Ihrer Infrastruktur für SCEP konfigurieren.

• Lösung: Konfigurieren Sie die Unterstützung für lange URLs.

  1. Öffnen Sie auf dem NDES-Server den IIS-Manager, und wählen Sie Standardfilterung> vonWebsiteanforderungen>Featureeinstellung bearbeiten aus, um die Seite Einstellungen für die Anforderungsfilterung bearbeiten zu öffnen.

  2. Konfigurieren Sie die folgenden Einstellungen:

     • Maximale URL-Länge (Bytes) = 65534
     • Maximale Abfragezeichenfolge (Bytes) = 65534

  3. Wählen Sie OK aus, um diese Konfiguration zu speichern und den IIS-Manager zu schließen.

  4. Überprüfen Sie diese Konfiguration, indem Sie nach dem folgenden Registrierungsschlüssel suchen, um zu bestätigen, dass er über die angegebenen Werte verfügt:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Die folgenden Werte werden als DWORD-Einträge festgelegt:

     • Name: MaxFieldLength, mit einem Dezimalwert von 65534
     • Name: MaxRequestBytes, mit einem Dezimalwert von 65534

  5. Starten Sie den NDES-Server neu.

Diese Seite kann nicht angezeigt werden

Sie haben Microsoft Entra Anwendungsproxy konfiguriert. Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

This page can't be displayed

• Ursache: Dieses Problem tritt auf, wenn die externe SCEP-URL in der konfiguration des Anwendungsproxy falsch ist. Ein Beispiel für diese URL ist https://contoso.com/certsrv/mscep/mscep.dll.

  Lösung: Verwenden Sie die Standarddomäne von yourtenant.msappproxy.net für die externe SCEP-URL in der Anwendungsproxy-Konfiguration.

500 - Internal server error

Wenn Sie zur SCEP-Server-URL navigieren, wird die folgende Fehlermeldung angezeigt:

• Ursache 1: Das NDES-Dienstkonto ist gesperrt, oder sein Kennwort ist abgelaufen.

  Lösung: Entsperren Sie das Konto, oder setzen Sie das Kennwort zurück.

• Ursache 2: Die MSCEP-RA-Zertifikate sind abgelaufen.

  Lösung: Wenn die MSCEP-RA-Zertifikate abgelaufen sind, installieren Sie die NDES-Rolle neu, oder fordern Sie neue Zertifikate für die CEP-Verschlüsselung und den Exchange-Registrierungs-Agent (Offlineanforderung) an.

  Führen Sie die folgenden Schritte aus, um neue Zertifikate anzufordern:

  1. Öffnen Sie auf der Zertifizierungsstelle oder der ausstellenden Zertifizierungsstelle die MMC für Zertifikatvorlagen. Stellen Sie sicher, dass der angemeldete Benutzer und der NDES-Server über lese- und registrierungsberechtigungen für die Zertifikatvorlagen CEP Encryption and Exchange Enrollment Agent (Offline request) verfügen.

  2. Überprüfen Sie die abgelaufenen Zertifikate auf dem NDES-Server, und kopieren Sie die Antragstellerinformationen aus dem Zertifikat.

  3. Öffnen Sie das Konto Zertifikate MMC für Computer.

  4. Erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie dann Alle Aufgaben>Neues Zertifikat anfordern aus.

  5. Wählen Sie auf der Seite Zertifikat anfordern die Option CEP-Verschlüsselung und dann Weitere Informationen erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

     

  6. Wählen Sie unter Zertifikateigenschaften die Registerkarte Betreff aus, füllen Sie den Antragstellernamen mit den Informationen aus, die Sie in Schritt 2 gesammelt haben, wählen Sie Hinzufügen und dann OK aus.

  7. Schließen Sie die Zertifikatregistrierung ab.

  8. Öffnen Sie die MMC für Zertifikate für Mein Benutzerkonto.

     Wenn Sie sich für das Zertifikat des Exchange-Registrierungs-Agents (Offlineanforderung) registrieren, muss dies im Benutzerkontext erfolgen. Da der Antragstellertyp dieser Zertifikatvorlage auf Benutzer festgelegt ist.

  9. Erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie dann Alle Aufgaben>Neues Zertifikat anfordern aus.

  10. Wählen Sie auf der Seite Zertifikat anfordern die Option Exchange Enrollment Agent (Offlineanforderung) und dann Weitere Informationen sind erforderlich aus, um sich für dieses Zertifikat zu registrieren. Klicken Sie hier, um Einstellungen zu konfigurieren.

      

  11. Wählen Sie unter Zertifikateigenschaften die Registerkarte Betreff aus, füllen Sie den Antragstellernamen mit den Informationen aus, die Sie in Schritt 2 gesammelt haben, und wählen Sie Hinzufügen aus.

      

      Wählen Sie die Registerkarte Privater Schlüssel aus, wählen Sie Privaten Schlüssel exportieren aus, und wählen Sie dann OK aus.

      

  12. Schließen Sie die Zertifikatregistrierung ab.

  13. Exportieren Sie das Zertifikat des Exchange-Registrierungs-Agents (Offlineanforderung) aus dem aktuellen Benutzerzertifikatspeicher. Wählen Sie im Zertifikatexport-Assistenten Ja, privaten Schlüssel exportieren aus.

  14. Importieren Sie das Zertifikat in den Zertifikatspeicher des lokalen Computers.

  15. Führen Sie in der MMC Zertifikate die folgende Aktion für jedes der neuen Zertifikate aus:

      Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Alle Aufgaben>Private Schlüssel verwalten aus , und fügen Sie dem NDES-Dienstkonto leseberechtigung hinzu.

  16. Führen Sie den Befehl iisreset aus, um IIS neu zu starten.

Nächste Schritte

Wenn das Gerät erfolgreich den NDES-Server erreicht, um die Zertifikatanforderung zu präsentieren, überprüfen Sie im nächsten Schritt das Richtlinienmodul Intune Certificate Connectors.