Résoudre les problèmes de communication entre un appareil et le serveur NDES pour les profils de certificats SCEP dans Microsoft IntuneTroubleshoot device to NDES server communication for SCEP certificate profiles in Microsoft Intune

Utilisez les informations suivantes pour déterminer si un appareil qui a reçu et traité un profil de certificat Intune Simple Certificate Enrollment Protocol (SCEP) peut contacter avec succès Network Device Enrollment Service (NDES) pour présenter une demande d’accès.Use the following information to determine if a device that received and processed an Intune Simple Certificate Enrollment Protocol (SCEP) certificate profile can successfully contact Network Device Enrollment Service (NDES) to present a challenge. Sur l'appareil, une clé privée est générée et la demande de signature de certificat (CSR) et la demande d’accès sont transmises de l'appareil au serveur NDES.On the device, a private key is generated and the Certificate Signing Request (CSR) and challenge are passed from the device to the NDES server. Pour contacter le serveur NDES, l'appareil utilise l'URI du profil de certificat SCEP.To contact the NDES server, the device uses the URI from the SCEP certificate profile.

Cet article fait référence à l'étape 2 de la vue d’ensemble du flux de communication SCEP.This article references Step 2 of the SCEP communication flow overview.

Examiner les journaux IIS pour une connexion à partir de l'appareilReview IIS logs for a connection from the device

Les journaux IIS incluent le même type d'entrées pour toutes les plateformes.IIS logs include the same type of entries for all platforms.

  1. Sur le serveur NDES, ouvrez le fichier journal IIS le plus récent présent dans le dossier suivant : %SystemDrive%\inetpub\logs\logfiles\w3svc1On the NDES server, open the most recent IIS log file found in the following folder: %SystemDrive%\inetpub\logs\logfiles\w3svc1

  2. Recherchez dans le journal des entrées similaires aux exemples suivants.Search the log for entries similar to the following examples. Les deux exemples contiennent un état 200, qui apparaît en fin de fichier :Both examples contain a status 200, which appears near the end:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

    AndAnd

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

  3. Lorsque l'appareil contacte IIS, une requête HTTP GET pour mscep.dll est consignée.When the device contacts IIS, an HTTP GET request for mscep.dll is logged.

    Examinez le code d’état vers la fin de cette requête :Review the status code near the end of this request:

    Si la demande de connexion n'est pas consignée du tout, le contact de l'appareil peut être bloqué sur le réseau entre l'appareil et le serveur NDES.If the connection request isn't logged at all, the contact from the device might be blocked on the network between the device and the NDES server.

Consulter les journaux des appareils pour les connexions à NDESReview device logs for connections to NDES

Appareils AndroidAndroid devices

Consultez le journal OMADM des appareils.Review the devices OMADM log. Recherchez les entrées qui ressemblent aux suivantes, consignées lorsque l’appareil se connecte à NDES :Look for entries that resemble the following, which are logged when the device connects to NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Les entrées de clés incluent les exemples de chaînes de texte suivants :Key entries include the following sample text strings:

  • There are 1 requestsThere are 1 requests
  • Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=caReceived '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
  • Signing pkiMessage using key belonging to [dn=CN=<username>; serial=1]Signing pkiMessage using key belonging to [dn=CN=<username>; serial=1]

The connection is also logged by IIS in the %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ folder of the NDES server.The connection is also logged by IIS in the %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ folder of the NDES server. Voici un exemple :The following is an example:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421 

Appareils iOS/iPadOSiOS/iPadOS devices

Consultez le journal de débogage des appareils.Review the devices debug log. Recherchez les entrées qui ressemblent aux suivantes, consignées lorsque l’appareil se connecte à NDES :Look for entries that resemble the following, which are logged when the device connects to NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Les entrées de clés incluent les exemples de chaînes de texte suivants :Key entries include the following sample text strings:

  • operation=GetCACertoperation=GetCACert
  • Tentative de récupération du certificat émisAttempting to retrieve issued certificate
  • Envoi de CSR via GETSending CSR via GET
  • operation=PKIOperationoperation=PKIOperation

Appareils WindowsWindows devices

Sur un appareil Windows qui établit une connexion à NDES, vous pouvez afficher l'Observateur d'événements Windows des appareils et rechercher des indications d'une connexion réussie.On a Windows device that is making a connection to NDES, you can view the devices Windows Event Viewer and look for indications of a successful connection. Les connexions sont consignées sous la forme d'un identifiant d'événement 36 dans le journal DeviceManagement-Enterprise-Diagnostics-Provide > Admin des appareils.Connections are logged as an event ID 36 in the devices DeviceManagement-Enterprise-Diagnostics-Provide > Admin log.

Pour ouvrir le journal :To open the log:

  1. Sur l'appareil, exécutez eventvwr.msc pour ouvrir l'Observateur d'événements Windows.On the device, run eventvwr.msc to open Windows Event Viewer.

  2. Développez Journaux des applications et services > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.Expand Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.

  3. Cherchez Event 36, qui ressemble à l'exemple suivant, avec la ligne clé SCEP : Certificate request generated successfully: (Demande de certificat générée avec succès)Look for Event 36, which resembles the following example, with the key line of SCEP: Certificate request generated successfully:

    Event ID:      36
    Task Category: None
    Level:         Information
    Keywords:
    User:          <UserSid>
    Computer:      <Computer Name>
    Description:
    SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
    

Résoudre les erreurs courantesTroubleshoot common errors

Les sections suivantes peuvent vous aider à résoudre les problèmes de connexion communs à toutes les plateformes d’appareils à NDES.The following sections can help with common connection issues from all device platforms to NDES.

Code d'état 500Status code 500

Les connexions qui ressemblent à l'exemple suivant, avec un code d’état 500, indiquent que le droit d'utilisateur Emprunter l’identité d’un client après l’authentification n'est pas attribué au groupe IIS_IURS sur le serveur NDES.Connections that resemble the following example, with a status code of 500, indicate the Impersonate a client after authentication user right isn't assigned to the IIS_IURS group on the NDES server. La valeur d’état 500 apparaît à la fin :The status value of 500 appears at the end:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Pour résoudre ce problème :To fix this issue:

  1. Sur le serveur NDES, exécutez secpol.msc pour ouvrir la stratégie de sécurité locale.On the NDES server, run secpol.msc to open the Local Security Policy.

  2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.Expand Local Policies, and then click User Rights Assignment.

  3. Double-cliquez sur Emprunter l'identité d'un client après authentification dans le volet de droite.Double-click Impersonate a client after authentication in the right pane.

  4. Cliquez sur Ajouter un utilisateur ou un groupe... , entrez IIS_IURS dans le champ Entrez les noms d’objets à sélectionner, puis cliquez sur OK.Click Add User or Group…, enter IIS_IURS in the Enter the object names to select box, and then click OK.

  5. Cliquez sur OK.Click OK.

  6. Redémarrez l'ordinateur, puis retestez la connexion à partir de l'appareil.Restart the computer, and then try the connection from the device again.

Tester l'URL du serveur SCEPTest the SCEP server URL

Utilisez les étapes suivantes pour tester l'URL spécifiée dans le profil du certificat SCEP.Use the following steps to test the URL that is specified in the SCEP certificate profile.

  1. Dans Intune, modifiez votre profil de certificat SCEP et copiez l'URL du serveur.In Intune, edit your SCEP certificate profile and copy the Server URL. L’URL devrait ressembler à https://contoso.com/certsrv/mscep/mscep.dll.The URL should resemble https://contoso.com/certsrv/mscep/mscep.dll.

  2. Ouvrez un navigateur web, puis naviguez jusqu'à l'URL de ce serveur SCEP.Open a web browser, and then browse to that SCEP server URL. Le résultat devrait être : HTTP Error 403.0 – Forbidden.The result should be: HTTP Error 403.0 – Forbidden. Ce résultat indique que l'URL fonctionne correctement.This result indicates the URL is functioning correctly.

    Si vous ne recevez pas cette erreur, sélectionnez le lien qui ressemble à l'erreur que vous voyez afin d’afficher des conseils spécifiques au problème :If you don't receive that error, select the link that resembles the error you see to view issue-specific guidance:

Message NDES généralGeneral NDES message

Lorsque vous accédez à l'URL du serveur SCEP, vous recevez le message Network Device Enrollment Service suivant :When you browse to the SCEP server URL, you receive the following Network Device Enrollment Service message:

URL du serveur SCEP

  • Cause : Ce problème est généralement lié à l'installation de Microsoft Intune Connector.Cause: This problem is usually an issue with the Microsoft Intune Connector installation.

    Mscep.dll est une extension ISAPI qui intercepte les requêtes entrantes et affiche l'erreur HTTP 403 si elle est installée correctement.Mscep.dll is an ISAPI extension that intercepts incoming request and displays the HTTP 403 error if it's installed correctly.

    Résolution : Consultez le fichier SetupMsi.log pour déterminer si Microsoft Intune Connector est installé correctement.Resolution: Examine the SetupMsi.log file to determine whether Microsoft Intune Connector is successfully installed. Dans l'exemple suivant, Installation effectuée avec succès et Réussite de l'installation ou état d'erreur : 0 indiquent une installation réussie :In the following example, Installation completed successfully and Installation success or error status: 0 indicate a successful installation:

    MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
    MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
    

    Si l'installation échoue, supprimez Microsoft Intune Connector puis réinstallez-le.If the installation fails, remove the Microsoft Intune Connector and then reinstall it.

Erreur HTTP 503HTTP Error 503

Lorsque vous accédez à l’URL du serveur SCEP, vous recevez l’erreur suivante :When you browse to the SCEP server URL, you receive the following error:

Erreur HTTP 503.

Ce problème est généralement dû au fait que le pool d'applications SCEP dans IIS n'est pas lancé.This issue is usually because the SCEP application pool in IIS isn't started. Sur le serveur NDES, ouvrez le Gestionnaire des services Internet et accédez à Pools d'applications.On the NDES server, open IIS Manager and go to Application Pools. Localisez le pool d’applications SCEP et confirmez qu'il est lancé.Locate the SCEP application pool and confirm it's started.

Si le pool d'applications SCEP n'est pas lancé, vérifiez le journal des événements de l'application sur le serveur :If the SCEP application pool isn't started, check the application event log on the server:

  1. Sur l'appareil, exécutez eventvwr.msc pour ouvrir l’Observateur d'événements, puis accédez à Journaux Windows > Application.On the device, run eventvwr.msc to open Event Viewer and go to Windows Logs > Application.

  2. Recherchez un événement similaire à l'exemple suivant, indiquant que le pool d’applications se bloque à la réception d’une requête :Look for an event that is similar to the following example, which means that the application pool crashes when a request is received:

    Log Name:      Application
    Source:        Application Error
    Event ID:      1000
    Task Category: Application Crashing Events
    Level:         Error
    Keywords:      Classic
    Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
    Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
    Exception code: 0xc0000005
    

Causes courantes d'un crash de pool d'applications :Common causes for an application pool crash:

  • Cause 1 : Il existe des certificats CA intermédiaires (non autosignés) dans le magasin de certificats des autorités de certification racine de confiance du serveur NDES.Cause 1: There are intermediate CA certificates (not self-signed) in the NDES server's Trusted Root Certification Authorities certificate store.

    Résolution : Supprimez les certificats intermédiaires du magasin de certificats Autorités de certification racines de confiance, puis redémarrez le serveur NDES.Resolution: Remove intermediate certificates from the Trusted Root Certification Authorities certificate store, and then restart the NDES server.

    Pour identifier tous les certificats intermédiaires du magasin de certificats des autorités de certification racines de confiance, exécutez l’applet de commande PowerShell suivante : Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}To identify all intermediate certificates in the Trusted Root Certification Authorities certificate store, run the following PowerShell cmdlet: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

    Un certificat qui affiche les mêmes valeurs Issued to (Émis à) et Issued by (Émis par) est un certificat racine.A certificate that has the same Issued to and Issued by values, is a root certificate. Sinon, il s'agit d'un certificat intermédiaire.Otherwise, it's an intermediate certificate.

    Après avoir supprimé les certificats et redémarré le serveur, exécutez à nouveau l’applet de commande PowerShell pour confirmer qu'il n'y a pas de certificats intermédiaires.After removing certificates and restarting the server, run the PowerShell cmdlet again to confirm there are no intermediate certificates. S'il y en a, vérifiez si une stratégie de groupe envoie (push) les certificats intermédiaires au serveur NDES.If there are, check whether a Group Policy pushes the intermediate certificates to the NDES server. Dans ce cas, excluez le serveur NDES de la stratégie de groupe puis supprimez à nouveau les certificats intermédiaires.If so, exclude the NDES server from the Group Policy and remove the intermediate certificates again.

  • Cause 2 : Les URL de la liste de révocation des certificats (CRL) sont bloquées ou inaccessibles pour les certificats utilisés par Intune Certificate Connector.Cause 2: The URLs in the Certificate Revocation List (CRL) are blocked or unreachable for the certificates that are used by the Intune Certificate Connector.

    Résolution : Activez la journalisation supplémentaire afin de recueillir plus d'informations :Resolution: Enable additional logging to collect more information:

    1. Ouvrez l’Observateur d'événements, cliquez sur Afficher, puis vérifiez que l'option Afficher les journaux d'analyse et de débogage est cochée.Open Event Viewer, click View, make sure that Show Analytic and Debug Logs option is checked.
    2. Accédez à Journaux des applications et des services > Microsoft > Windows > CAPI2 > Opérationnel, cliquez avec le bouton droit sur Opérationnel, puis sélectionnez Activer le journal.Go to Applications and Services Logs > Microsoft > Windows > CAPI2 > Operational, right-click Operational, then click Enable Log.
    3. Après avoir activé la journalisation CAPI2, reproduisez le problème, puis consultez le journal des événements pour résoudre le problème.After CAPI2 logging is enabled, reproduce the problem, and examine the event log to troubleshoot the issue.
  • Cause 3 : Authentification Windows est activée pour l’autorisation IIS CertificateRegistrationSvc.Cause 3: IIS permission on CertificateRegistrationSvc has Windows Authentication enabled.

    Résolution : Activez Authentification anonyme, désactivez Authentification Windows, puis redémarrez le serveur NDES.Resolution: Enable Anonymous Authentication and disable Windows Authentication, and then restart the NDES server.

    Autorisation IIS

  • Cause 4 : le certificat du module NDESPolicy a expiré.Cause 4: The NDESPolicy module certificate has expired.

    Le journal CAPI2 (voir la résolution de la cause 2) affiche des erreurs relatives au certificat référencé par « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint » en dehors de la période de validité du certificat.The CAPI2 log (see Cause 2's resolution) will show errors relating to the certificate referenced by 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint' being outside of the certificate's validity period.

    Résolution : Mettez à jour la référence avec l’empreinte d’un certificat valide.Resolution: Update the reference with the thumbprint of a valid certificate.

    1. Identifiez un certificat de remplacement :Identify a replacement certificate:
      • renouvelez le certificat existantRenew the existing certificate
      • Sélectionnez un autre certificat avec des propriétés similaires (objet, utilisation améliorée de la clé, type et longueur de clé, etc.)Select a different certificate with similar proprties (subject, EKU, key type and length, etc.)
      • Inscrivez un nouveau certificatEnroll a new certificate
    2. Exportez la clé de Registre NDESPolicy pour sauvegarder les valeurs actuelles.Export the NDESPolicy Registry key to back up the current values.
    3. Remplacez les données de la valeur de Registre NDESCertThumbprint par l’empreinte du nouveau certificat, en supprimant tous les espaces et en convertissant le texte en minuscules.Replace the data of the NDESCertThumbprint Registry value with the thumbprint of the new certificate, removing all whitespace and converting the text to lowercase.
    4. Redémarrez les pools d’applications NDES IIS ou exécutez iisreset à partir d’une invite de commande avec privilège élevé.Restart the NDES IIS App Pools or execute iisreset from an elevated command prompt.

GatewayTimeoutGatewayTimeout

Lorsque vous accédez à l’URL du serveur SCEP, vous recevez l’erreur suivante :When you browse to the SCEP server URL, you receive the following error:

Erreur Gatewaytimeout

  • Cause : Le service Connecteur proxy d'application Microsoft AAD n’est pas démarré.Cause: The Microsoft AAD Application Proxy Connector service isn't started.

    Résolution : Exécutez services.msc, puis vérifiez que le service Connecteur proxy d'application Microsoft AAD est en cours d’exécution et que l’option Type de démarrage est définie sur Automatique.Resolution: Run services.msc, and then make sure that the Microsoft AAD Application Proxy Connector service is running and Startup Type is set to Automatic.

HTTP 414 Request-URI Too LongHTTP 414 Request-URI Too Long

Lorsque vous accédez à l’URL du serveur SCEP, vous recevez l’erreur suivante : HTTP 414 Request-URI Too LongWhen you browse to the SCEP server URL, you receive the following error: HTTP 414 Request-URI Too Long

  • Cause : Le filtrage des demandes IIS n’est pas configuré pour prendre en charge les URL longues (requêtes) que le service NDES reçoit.Cause: IIS request filtering isn't configured to support the long URLs (queries) that the NDES service receives. Cette prise en charge est configurée lorsque vous configurez le service NDES afin de l'utiliser avec votre infrastructure pour SCEP.This support is configured when you configure the NDES service for use with your infrastructure for SCEP.

  • Résolution : Configurez la prise en charge pour les URL longues.Resolution: Configure support for long URLs.

    1. Sur le serveur NDES, ouvrez le Gestionnaire IIS, sélectionnez Site web par défaut > Filtrage des demandes > Modifier les paramètres de la fonctionnalité pour ouvrir la page Modifier les paramètres de filtrage des demandes.On the NDES server, open IIS manager, select Default Web Site > Request Filtering > Edit Feature Setting to open the Edit Request Filtering Settings page.

    2. Configurez les paramètres suivants :Configure the following settings:

      • Longueur maximale des URL (octets) = 65534Maximum URL length (Bytes) = 65534
      • Longueur maximale des chaînes de requête (octets) = 65534Maximum query string (Bytes) = 65534
    3. Sélectionnez OK pour enregistrer cette configuration et fermer le Gestionnaire IIS.Select OK to save this configuration and close IIS manager.

    4. Validez cette configuration en localisant la clé de Registre suivante pour confirmer qu’elle a les valeurs indiquées :Validate this configuration by locating the following registry key to confirm that it has the indicated values:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

      Les valeurs suivantes sont définies comme des entrées DWORD :The following values are set as DWORD entries:

      • Nom : MaxFieldLength, avec une valeur décimale de 65534Name: MaxFieldLength, with a decimal value of 65534
      • Nom : MaxRequestBytes, avec une valeur décimale de 65534Name: MaxRequestBytes, with a decimal value of 65534
    5. Redémarrez le serveur NDES.Restart the NDES server.

This page can't be displayedThis page can't be displayed

Vous avez configuré le proxy d'application Azure AD.You have Azure AD Application Proxy configured. Lorsque vous accédez à l’URL du serveur SCEP, vous recevez l’erreur suivante :When you browse to the SCEP server URL, you receive the following error:

This page can't be displayed

  • Cause : Ce problème survient lorsque l'URL externe SCEP est incorrecte dans la configuration du proxy d'application.Cause: This issue occurs when the SCEP external URL is incorrect in the Application Proxy configuration. https://contoso.com/certsrv/mscep/mscep.dll est un exemple d’URL.An example of this URL is https://contoso.com/certsrv/mscep/mscep.dll.

    Résolution : Utilisez le domaine par défaut yourtenant.msappproxy.net pour l'URL externe SCEP dans la configuration du proxy d'application.Resolution: Use the default domain of yourtenant.msappproxy.net for the SCEP external URL in the Application Proxy configuration.

500 - Internal server error500 - Internal server error

Lorsque vous accédez à l’URL du serveur SCEP, vous recevez l’erreur suivante :When you browse to the SCEP server URL, you receive the following error:

500 - Internal server error

  • Cause 1 : Le compte du service NDES est verrouillé ou son mot de passe a expiré.Cause 1: The NDES service account is locked or its password is expired.

    Résolution : Déverrouillez le compte ou réinitialisez le mot de passe.Resolution: Unlock the account or reset the password.

  • Cause 2 : Les certificats MSCEP-RA ont expiré.Cause 2: The MSCEP-RA certificates are expired.

    Résolution : Si les certificats MSCEP-RA ont expiré, réinstallez le rôle NDES ou demandez de nouveaux certificats Chiffrement CEP et Agent d’inscription Exchange (demande hors connexion).Resolution: If the MSCEP-RA certificates are expired, reinstall the NDES role or request new CEP Encryption and Exchange Enrollment Agent (Offline request) certificates.

    Pour demander de nouveaux certificats, procédez comme suit :To request new certificates, follow these steps:

    1. Sur l'autorité de certification (CA) ou l’autorité de certification émettrice, ouvrez le MMC Modèles de certificats.On the Certificate Authority (CA) or issuing CA, open the Certificate Templates MMC. Assurez-vous que l'utilisateur connecté et le serveur NDES disposent des autorisations Lecture et Inscription pour les modèles de certificats Chiffrement CEP et Agent d’inscription Exchange (demande hors connexion).Make sure that the logged in user and the NDES server have Read and Enroll permissions to the CEP Encryption and Exchange Enrollment Agent (Offline request) certificate templates.

    2. Vérifiez les certificats expirés sur le serveur NDES, puis copiez les informations Objet du certificat.Check the expired certificates on the NDES server, copy the Subject information from the certificate.

    3. Ouvrez le MMC des certificats pour Compte d'ordinateur.Open the Certificates MMC for Computer account.

    4. Développez Personnel, cliquez avec le bouton droit sur Certificats, puis sélectionnez Toutes les tâches > Demander un nouveau certificat.Expand Personal, right-click Certificates, then select All Tasks > Request New Certificate.

    5. Dans la page Demander un certificat, sélectionnez Chiffrement CEP, puis cliquez sur L'inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.On the Request Certificate page, select CEP Encryption, then click More information is required to enroll for this certificate. Click here to configure settings.

      Sélectionner Chiffrement CEP

    6. Dans Propriétés du certificat, cliquez sur l'onglet Objet, entrez dans le champ Nom de l’objet les informations que vous avez recueillies à l'étape 2, cliquez sur Ajouter, puis sur OK.In Certificate Properties, click the Subject tab, fill the Subject name with the information that you collected during step 2, click Add, then click OK.

    7. Complétez l'inscription de certificats.Complete the certificate enrollment.

    8. Ouvrez le MMC des certificats pour Mon compte d’utilisateur.Open the Certificates MMC for My user account.

      Lorsque vous vous inscrivez pour obtenir le certificat Agent d’inscription Exchange (demande hors connexion), vous devez le faire dans le contexte de l'utilisateur.When you enroll for the Exchange Enrollment Agent (Offline request) certificate, it must be done in the user context. Car l’option Type d’objet de ce modèle de certificat est définie sur Utilisateur.Because the Subject Type of this certificate template is set to User.

    9. Développez Personnel, cliquez avec le bouton droit sur Certificats, puis sélectionnez Toutes les tâches > Demander un nouveau certificat.Expand Personal, right-click Certificates, then select All Tasks > Request New Certificate.

    10. Dans la page Demander un certificat, sélectionnez Agent d’inscription Exchange (demande hors connexion) , puis cliquez sur L'inscription pour obtenir ce certificat nécessite des informations supplémentaires. Cliquez ici pour configurer les paramètres.On the Request Certificate page, select Exchange Enrollment Agent (Offline request), then click More information is required to enroll for this certificate. Click here to configure settings.

      Sélectionner Agent d’inscription Exchange

    11. Dans Propriétés du certificat, cliquez sur l'onglet Objet, entrez dans le champ Nom de l’objet les informations que vous avez recueillies à l'étape 2, cliquez sur Ajouter.In Certificate Properties, click the Subject tab, fill the Subject name with the information that you collected during step 2, click Add.

      Propriétés du certificat

      Sélectionnez l'onglet Clé privée, Permettre l’exportation de la clé privée, puis cliquez sur OK.Select the Private Key tab, select Make private key exportable, then click OK.

      Clé privée

    12. Complétez l'inscription de certificats.Complete the certificate enrollment.

    13. Exportez le certificat Agent d’inscription Exchange (demande hors connexion) du magasin de certificats de l'utilisateur actuel.Export the Exchange Enrollment Agent (Offline request) certificate from the current user certificate store. Dans l'Assistant Exportation de certificat, sélectionnez Oui, exportez la clé privée.In the Certificate Export Wizard, select Yes, export the private key.

    14. Importez le certificat dans le magasin de certificats de l'ordinateur local.Import the certificate to the local machine certificate store.

    15. Dans le MMC des certificats, effectuez l'action suivante pour chacun des nouveaux certificats :In the Certificates MMC, do the following action for each of the new certificates:

      Cliquez avec le bouton droit sur le certificat, cliquez sur Toutes les tâches > Gérer les clés privées, ajoutez l’autorisation Lire au compte de service NDES.Right-click the certificate, click All Tasks > Manage Private Keys, add Read permission to the NDES service account.

    16. Exécutez la commande iisreset pour redémarrer IIS.Run the iisreset command to restart IIS.

Étapes suivantesNext steps

Si l’appareil atteint avec succès le serveur NDES pour présenter la demande de certificat, l'étape suivante consiste à examiner le module de stratégie des connecteurs de certificats Intune.If the device successfully reaches the NDES server to present the certificate request, the next step is to review the Intune Certificate Connectors policy module.