Rozwiązywanie problemów z komunikacją urządzenia z serwerem usługi NDES dla profilów certyfikatów protokołu SCEP w usłudze Microsoft IntuneTroubleshoot device to NDES server communication for SCEP certificate profiles in Microsoft Intune

Poniższe informacje umożliwiają określenie, czy urządzenie, które otrzymało i przetworzyło profil certyfikatu prostego protokołu rejestrowania certyfikatów (SCEP, Simple Certificate Enrollment Protocol) usługi Intune, może pomyślnie skontaktować się z usługą rejestrowania urządzeń sieciowych (NDES, Network Device Enrollment Service) w celu przedstawienia wyzwania.Use the following information to determine if a device that received and processed an Intune Simple Certificate Enrollment Protocol (SCEP) certificate profile can successfully contact Network Device Enrollment Service (NDES) to present a challenge. Na urządzeniu generowany jest klucz prywatny, a żądanie podpisania certyfikatu (CSR, Certificate Signing Request) i wyzwanie są przekazywane z urządzenia do serwera usługi NDES.On the device, a private key is generated and the Certificate Signing Request (CSR) and challenge are passed from the device to the NDES server. Aby skontaktować się z serwerem usługi NDES, urządzenie używa identyfikatora URI z profilu certyfikatu protokołu SCEP.To contact the NDES server, the device uses the URI from the SCEP certificate profile.

Ten artykuł dotyczy kroku 2 z omówienia przepływu komunikacji protokołu SCEP.This article references Step 2 of the SCEP communication flow overview.

Przeglądanie dzienników usług IIS pod kątem połączenia z urządzeniaReview IIS logs for a connection from the device

Dzienniki usług IIS zawierają ten sam typ wpisów dla wszystkich platform.IIS logs include the same type of entries for all platforms.

  1. Na serwerze usługi NDES otwórz najnowszy plik dziennika usług IIS, który znajduje się w następującym folderze: %SystemDrive%\inetpub\logs\logfiles\w3svc1On the NDES server, open the most recent IIS log file found in the following folder: %SystemDrive%\inetpub\logs\logfiles\w3svc1

  2. Wyszukaj w dzienniku wpisy podobne do poniższych przykładów.Search the log for entries similar to the following examples. Oba przykłady zawierają stan 200, który znajduje się w końcowej części:Both examples contain a status 200, which appears near the end:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

    orazAnd

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

  3. Gdy urządzenie kontaktuje się z usługami IIS, rejestrowane jest żądanie HTTP GET dla biblioteki mscep.dll.When the device contacts IIS, an HTTP GET request for mscep.dll is logged.

    Sprawdź kod stanu w końcowej części tego żądania:Review the status code near the end of this request:

    Jeśli żądanie połączenia nie zostało w ogóle zarejestrowane, kontakt z urządzenia może być blokowany w sieci między urządzeniem a serwerem usługi NDES.If the connection request isn't logged at all, the contact from the device might be blocked on the network between the device and the NDES server.

Przeglądanie dzienników urządzenia pod kątem połączeń z usługą NDESReview device logs for connections to NDES

Urządzenia z systemem AndroidAndroid devices

Przejrzyj dziennik programu OMADM urządzeń.Review the devices OMADM log. Wyszukaj wpisy podobne do następujących, które są rejestrowane, gdy urządzenie łączy się z usługą NDES:Look for entries that resemble the following, which are logged when the device connects to NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Kluczowe wpisy zawierają następujące przykładowe ciągi tekstowe:Key entries include the following sample text strings:

  • There are 1 requestsThere are 1 requests
  • Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=caReceived '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
  • Signing pkiMessage using key belonging to [dn=CN=<username>; serial=1]Signing pkiMessage using key belonging to [dn=CN=<username>; serial=1]

Połączenie jest również rejestrowane przez usługi IIS w folderze %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ serwera usług NDES.The connection is also logged by IIS in the %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ folder of the NDES server. Poniżej przedstawiono przykład:The following is an example:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421 

Urządzenia z systemem iOS/iPadOSiOS/iPadOS devices

Przejrzyj dziennik debugowania urządzeń.Review the devices debug log. Wyszukaj wpisy podobne do następujących, które są rejestrowane, gdy urządzenie łączy się z usługą NDES:Look for entries that resemble the following, which are logged when the device connects to NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Kluczowe wpisy zawierają następujące przykładowe ciągi tekstowe:Key entries include the following sample text strings:

  • operation=GetCACertoperation=GetCACert
  • Attempting to retrieve issued certificateAttempting to retrieve issued certificate
  • Sending CSR via GETSending CSR via GET
  • operation=PKIOperationoperation=PKIOperation

Urządzenia z systemem WindowsWindows devices

Na urządzeniu z systemem Windows, które nawiązuje połączenie z usługą NDES, można wyświetlić Podgląd zdarzeń systemu Windows i poszukać oznak pomyślnego połączenia.On a Windows device that is making a connection to NDES, you can view the devices Windows Event Viewer and look for indications of a successful connection. Połączenia są rejestrowane jako zdarzenia o identyfikatorze 36 w dzienniku DeviceManagement-Enterprise-Diagnostics-Provide > Administrator urządzenia.Connections are logged as an event ID 36 in the devices DeviceManagement-Enterprise-Diagnostics-Provide > Admin log.

Aby otworzyć dziennik:To open the log:

  1. Na urządzeniu uruchom polecenie eventvwr.msc, aby otworzyć Podgląd zdarzeń systemu Windows.On the device, run eventvwr.msc to open Windows Event Viewer.

  2. Rozwiń pozycję Dzienniki aplikacji i usług > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Administrator.Expand Applications and Services Logs > Microsoft > Windows > DeviceManagement-Enterprise-Diagnostic-Provider > Admin.

  3. Wyszukaj zdarzenie 36, które przypomina poniższy przykład z kluczowym wierszem SCEP: Certificate request generated successfully:Look for Event 36, which resembles the following example, with the key line of SCEP: Certificate request generated successfully:

    Event ID:      36
    Task Category: None
    Level:         Information
    Keywords:
    User:          <UserSid>
    Computer:      <Computer Name>
    Description:
    SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
    

Rozwiązywanie typowych problemówTroubleshoot common errors

Poniższe sekcje mogą pomóc w rozwiązywaniu typowych problemów z połączeniami ze wszystkich platform urządzeń do usługi NDES.The following sections can help with common connection issues from all device platforms to NDES.

Kod stanu 500Status code 500

Połączenia podobne do poniższego przykładu, z kodem stanu równym 500, wskazują, że uprawnienie użytkownika Personifikuj klienta po uwierzytelnieniu nie jest przypisane do grupy IIS_IURS na serwerze usługi NDES.Connections that resemble the following example, with a status code of 500, indicate the Impersonate a client after authentication user right isn't assigned to the IIS_IURS group on the NDES server. Wartość stanu 500 jest widoczna na końcu:The status value of 500 appears at the end:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Aby rozwiązać ten problem:To fix this issue:

  1. Na serwerze usługi NDES uruchom polecenie secpol.msc, aby otworzyć zasady zabezpieczeń lokalnych.On the NDES server, run secpol.msc to open the Local Security Policy.

  2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisywanie praw użytkownika.Expand Local Policies, and then click User Rights Assignment.

  3. Kliknij dwukrotnie pozycję Personifikuj klienta po uwierzytelnieniu w okienku po prawej stronie.Double-click Impersonate a client after authentication in the right pane.

  4. Kliknij pozycję Dodaj użytkownika lub grupę... , wprowadź ciąg IIS_IURS w polu Wprowadź nazwy obiektów do wybrania, a następnie kliknij przycisk OK.Click Add User or Group…, enter IIS_IURS in the Enter the object names to select box, and then click OK.

  5. Kliknij przycisk OK.Click OK.

  6. Uruchom ponownie komputer, a następnie spróbuj ponownie nawiązać połączenie z urządzenia.Restart the computer, and then try the connection from the device again.

Testowanie adresu URL serwera SCEPTest the SCEP server URL

Wykonaj następujące kroki, aby przetestować adres URL określony w profilu certyfikatu protokołu SCEP.Use the following steps to test the URL that is specified in the SCEP certificate profile.

  1. W usłudze Intune edytuj profil certyfikatu protokołu SCEP i skopiuj adres URL serwera.In Intune, edit your SCEP certificate profile and copy the Server URL. Adres URL powinien być podobny do następującego: https://contoso.com/certsrv/mscep/mscep.dll.The URL should resemble https://contoso.com/certsrv/mscep/mscep.dll.

  2. Otwórz przeglądarkę internetową, a następnie przejdź do tego adresu URL serwera SCEP.Open a web browser, and then browse to that SCEP server URL. Wynik powinien być następujący: Błąd HTTP 403.0 — Dostęp zabroniony.The result should be: HTTP Error 403.0 – Forbidden. Ten wynik wskazuje, że adres URL działa prawidłowo.This result indicates the URL is functioning correctly.

    Jeśli ten błąd nie zostanie wyświetlony, wybierz link przypominający błąd, który widzisz, aby wyświetlić wskazówki dotyczące konkretnego problemu:If you don't receive that error, select the link that resembles the error you see to view issue-specific guidance:

Ogólny komunikat dotyczący usługi NDESGeneral NDES message

Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat usługi rejestracji urządzeń sieciowych:When you browse to the SCEP server URL, you receive the following Network Device Enrollment Service message:

Adres URL serwera SCEP

  • Przyczyna: Ten problem jest zazwyczaj związany z instalacją łącznika usługi Microsoft Intune.Cause: This problem is usually an issue with the Microsoft Intune Connector installation.

    Biblioteka mscep.dll to rozszerzenie ISAPI, które przechwytuje żądanie przychodzące i wyświetla błąd HTTP 403, jeśli instalacja przebiegła poprawnie.Mscep.dll is an ISAPI extension that intercepts incoming request and displays the HTTP 403 error if it's installed correctly.

    Rozwiązanie: Sprawdź plik SetupMsi.log, aby określić, czy łącznik usługi Microsoft Intune został zainstalowany poprawnie.Resolution: Examine the SetupMsi.log file to determine whether Microsoft Intune Connector is successfully installed. W poniższym przykładzie komunikaty Instalacja została zakończona pomyślnie i Stan powodzenia lub błędu instalacji: 0 wskazują pomyślną instalację:In the following example, Installation completed successfully and Installation success or error status: 0 indicate a successful installation:

    MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
    MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
    

    Jeśli instalacja nie powiedzie się, usuń łącznik usługi Microsoft Intune, a następnie zainstaluj go ponownie.If the installation fails, remove the Microsoft Intune Connector and then reinstall it. Jeśli instalacja zakończyła się pomyślnie i nadal otrzymujesz ogólny komunikat dotyczący usługi NDES, uruchom polecenie iisreset, aby ponownie uruchomić usługi IIS.If the installation was successful and you continue to receive the General NDES message, run the iisreset command to restart IIS.

Błąd HTTP 503HTTP Error 503

Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat o błędzie:When you browse to the SCEP server URL, you receive the following error:

Błąd HTTP 503.

Ten problem jest zwykle spowodowany tym, że nie uruchomiono puli aplikacji protokołu SCEP w usługach IIS.This issue is usually because the SCEP application pool in IIS isn't started. Na serwerze usługi NDES otwórz Menedżera usług IIS i przejdź do obszaru Pule aplikacji.On the NDES server, open IIS Manager and go to Application Pools. Znajdź pulę aplikacji protokołu SCEP i potwierdź, że została uruchomiona.Locate the SCEP application pool and confirm it's started.

Jeśli pula aplikacji protokołu SCEP nie została uruchomiona, sprawdź dziennik zdarzeń aplikacji na serwerze:If the SCEP application pool isn't started, check the application event log on the server:

  1. Na urządzeniu uruchom polecenie eventvwr.msc, aby otworzyć Podgląd zdarzeń i wybierz pozycję Dzienniki systemu Windows > Aplikacja.On the device, run eventvwr.msc to open Event Viewer and go to Windows Logs > Application.

  2. Poszukaj zdarzenia podobnego do poniższego przykładu, które oznacza, że pula aplikacji ulega awarii po odebraniu żądania:Look for an event that is similar to the following example, which means that the application pool crashes when a request is received:

    Log Name:      Application
    Source:        Application Error
    Event ID:      1000
    Task Category: Application Crashing Events
    Level:         Error
    Keywords:      Classic
    Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
    Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
    Exception code: 0xc0000005
    

Najczęstsze przyczyny awarii puli aplikacji:Common causes for an application pool crash:

  • Przyczyna 1: W magazynie certyfikatów zaufanych głównych urzędów certyfikacji serwera usługi NDES istnieją certyfikaty z pośredniego urzędu certyfikacji (bez podpisu własnego).Cause 1: There are intermediate CA certificates (not self-signed) in the NDES server's Trusted Root Certification Authorities certificate store.

    Rozwiązanie: Usuń certyfikaty pośrednie z magazynu certyfikatów zaufanych głównych urzędów certyfikacji, a następnie ponownie uruchom serwer usługi NDES.Resolution: Remove intermediate certificates from the Trusted Root Certification Authorities certificate store, and then restart the NDES server.

    Aby zidentyfikować wszystkie certyfikaty pośrednie w magazynie certyfikatów zaufanych głównych urzędów certyfikacji, uruchom następujące polecenie cmdlet programu PowerShell: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}To identify all intermediate certificates in the Trusted Root Certification Authorities certificate store, run the following PowerShell cmdlet: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

    Certyfikat, który ma tę samą wartość w polach Wystawiono dla i Wystawiony przez, jest certyfikatem głównym.A certificate that has the same Issued to and Issued by values, is a root certificate. W przeciwnym razie jest to certyfikat pośredni.Otherwise, it's an intermediate certificate.

    Po usunięciu certyfikatów i ponownym uruchomieniu serwera ponownie uruchom polecenie cmdlet programu PowerShell, aby upewnić się, że nie ma certyfikatów pośrednich.After removing certificates and restarting the server, run the PowerShell cmdlet again to confirm there are no intermediate certificates. Jeśli są, sprawdź, czy zasady grupy wypychają certyfikaty pośrednie do serwera usługi NDES.If there are, check whether a Group Policy pushes the intermediate certificates to the NDES server. Jeśli tak, wyklucz serwer usługi NDES z zasad grupy i ponownie usuń certyfikaty pośrednie.If so, exclude the NDES server from the Group Policy and remove the intermediate certificates again.

  • Przyczyna 2: Adresy URL na liście odwołania certyfikatów (CRL, Certificate Revocation List) są blokowane lub nieosiągalne dla certyfikatów używanych przez łącznik certyfikatów usługi Intune.Cause 2: The URLs in the Certificate Revocation List (CRL) are blocked or unreachable for the certificates that are used by the Intune Certificate Connector.

    Rozwiązanie: Włącz dodatkowe rejestrowanie, aby zebrać więcej informacji:Resolution: Enable additional logging to collect more information:

    1. Otwórz Podgląd zdarzeń, kliknij pozycję Widok, upewnij się, że opcja Pokaż dzienniki analityczne i debugowania jest zaznaczona.Open Event Viewer, click View, make sure that Show Analytic and Debug Logs option is checked.
    2. Przejdź do obszaru Dzienniki aplikacji i usług > Microsoft > Windows > CAPI2 > Operacyjne, kliknij prawym przyciskiem myszy pozycję Operacyjne, a następnie kliknij pozycję Włącz dziennik.Go to Applications and Services Logs > Microsoft > Windows > CAPI2 > Operational, right-click Operational, then click Enable Log.
    3. Po włączeniu rejestrowania CAPI2 odtwórz problem i przejrzyj dziennik zdarzeń w celu rozwiązania problemu.After CAPI2 logging is enabled, reproduce the problem, and examine the event log to troubleshoot the issue.
  • Przyczyna 3: Uprawnienie usługi IIS do usługi CertificateRegistrationSvc ma włączoną opcję Uwierzytelnianie systemu Windows.Cause 3: IIS permission on CertificateRegistrationSvc has Windows Authentication enabled.

    Rozwiązanie: Włącz opcję Uwierzytelnianie anonimowe i wyłącz opcję Uwierzytelnianie systemu Windows, a następnie ponownie uruchom serwer usługi NDES.Resolution: Enable Anonymous Authentication and disable Windows Authentication, and then restart the NDES server.

    Uprawnienia usługi IIS

  • Przyczyna 4: Certyfikat modułu NDESPolicy utracił ważność.Cause 4: The NDESPolicy module certificate has expired.

    Dziennik CAPI2 (zobacz rozwiązanie dla przyczyny 2) będzie zawierać błędy dotyczące certyfikatu przywołującego element „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint”, który znajduje się poza okresem ważności certyfikatu.The CAPI2 log (see Cause 2's resolution) will show errors relating to the certificate referenced by 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint' being outside of the certificate's validity period.

    Rozwiązanie: Zaktualizuj odwołanie do odcisku palca prawidłowego certyfikatu.Resolution: Update the reference with the thumbprint of a valid certificate.

    1. Zidentyfikuj certyfikat zastępczy:Identify a replacement certificate:
      • Odnów istniejący certyfikatRenew the existing certificate
      • Wybierz inny certyfikat o podobnych właściwościach (temat, ulepszone użycie klucza, typ i długość klucza itp.)Select a different certificate with similar properties (subject, EKU, key type and length, etc.)
      • Zarejestruj nowy certyfikatEnroll a new certificate
    2. Wyeksportuj klucz rejestru NDESPolicy, aby utworzyć kopię zapasową bieżących wartości.Export the NDESPolicy Registry key to back up the current values.
    3. Zastąp dane wartości rejestru NDESCertThumbprint odciskiem palca nowego certyfikatu, usuwając wszystkie odstępy i konwertując tekst na małe litery.Replace the data of the NDESCertThumbprint Registry value with the thumbprint of the new certificate, removing all whitespace and converting the text to lowercase.
    4. Uruchom ponownie pule aplikacji usługi NDES IIS lub wykonaj operację iisreset z poziomu wiersza polecenia z podwyższonym poziomem uprawnień.Restart the NDES IIS App Pools or execute iisreset from an elevated command prompt.

Limit czasu bramyGatewayTimeout

Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat o błędzie:When you browse to the SCEP server URL, you receive the following error:

Błąd limitu czasu bramy

  • Przyczyna: Usługa łącznika serwera proxy aplikacji usługi Microsoft Azure AD nie została uruchomiona.Cause: The Microsoft Azure AD Application Proxy Connector service isn't started.

    Rozwiązanie: Uruchom polecenie services.msc, a następnie upewnij się, że usługa łącznika serwera proxy aplikacji usługi Microsoft Azure AD jest uruchomiona i że dla właściwości Typ uruchamiania ustawiono wartość Automatyczne.Resolution: Run services.msc, and then make sure that the Microsoft Azure AD Application Proxy Connector service is running and Startup Type is set to Automatic.

HTTP 414 Identyfikator URI żądania jest za długiHTTP 414 Request-URI Too Long

Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat o błędzie: HTTP 414 Request-URI Too LongWhen you browse to the SCEP server URL, you receive the following error: HTTP 414 Request-URI Too Long

  • Przyczyna: Filtrowanie żądań usług IIS nie jest skonfigurowane w celu obsługi długich adresów URL (zapytań) odbieranych przez usługę NDES.Cause: IIS request filtering isn't configured to support the long URLs (queries) that the NDES service receives. Ta obsługa jest konfigurowana podczas konfigurowania usługi NDES pod kątem użycia z infrastrukturą dla protokołu SCEP.This support is configured when you configure the NDES service for use with your infrastructure for SCEP.

  • Rozwiązanie: Skonfiguruj obsługę długich adresów URL.Resolution: Configure support for long URLs.

    1. Na serwerze usługi NDES otwórz menedżera usług IIS, wybierz pozycję Domyślna witryna internetowa > Filtrowanie żądań > Edytuj ustawienia funkcji, aby otworzyć stronę Edytowanie ustawień filtrowania żądań.On the NDES server, open IIS manager, select Default Web Site > Request Filtering > Edit Feature Setting to open the Edit Request Filtering Settings page.

    2. Skonfiguruj następujące ustawienia:Configure the following settings:

      • Maksymalna długość adresu URL (w bajtach) = 65534Maximum URL length (Bytes) = 65534
      • Maksymalna długość ciągu zapytania (w bajtach) = 65534Maximum query string (Bytes) = 65534
    3. Wybierz przycisk OK, aby zapisać tę konfigurację i zamknąć menedżera usług IIS.Select OK to save this configuration and close IIS manager.

    4. Zweryfikuj tę konfigurację, znajdując następujący klucz rejestru w celu potwierdzenia, że ma on wskazane wartości:Validate this configuration by locating the following registry key to confirm that it has the indicated values:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

      Następujące wartości są ustawione jako wpisy typu DWORD:The following values are set as DWORD entries:

      • Nazwa: MaxFieldLength o wartości dziesiętnej 65534Name: MaxFieldLength, with a decimal value of 65534
      • Nazwa: MaxRequestBytes o wartości dziesiętnej 65534Name: MaxRequestBytes, with a decimal value of 65534
    5. Uruchom ponownie serwer usługi NDES.Restart the NDES server.

Nie można wyświetlić tej stronyThis page can't be displayed

Masz skonfigurowany serwer proxy aplikacji usługi Azure AD.You have Azure AD Application Proxy configured. Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat o błędzie:When you browse to the SCEP server URL, you receive the following error:

This page can't be displayed

  • Przyczyna: Ten problem występuje, gdy zewnętrzny adres URL protokołu SCEP jest niepoprawny w konfiguracji serwera proxy aplikacji.Cause: This issue occurs when the SCEP external URL is incorrect in the Application Proxy configuration. Przykład tego adresu URL: https://contoso.com/certsrv/mscep/mscep.dll.An example of this URL is https://contoso.com/certsrv/mscep/mscep.dll.

    Rozwiązanie: Użyj domeny domyślnej yourtenant.msappproxy.net na potrzeby zewnętrznego adresu URL protokołu SCEP w konfiguracji serwera proxy aplikacji.Resolution: Use the default domain of yourtenant.msappproxy.net for the SCEP external URL in the Application Proxy configuration.

500 — Wewnętrzny błąd serwera500 - Internal server error

Po przejściu do adresu URL serwera SCEP jest wyświetlany następujący komunikat o błędzie:When you browse to the SCEP server URL, you receive the following error:

500 — Wewnętrzny błąd serwera

  • Przyczyna 1: Konto usługi NDES jest zablokowane lub jego hasło wygasło.Cause 1: The NDES service account is locked or its password is expired.

    Rozwiązanie: Odblokuj konto lub zresetuj hasło.Resolution: Unlock the account or reset the password.

  • Przyczyna 2: Certyfikaty MSCEP-RA wygasły.Cause 2: The MSCEP-RA certificates are expired.

    Rozwiązanie: W przypadku wygaśnięcia certyfikatów MSCEP-RA zainstaluj ponownie rolę usługi NDES lub zażądaj nowych certyfikatów szyfrowania protokołu CEP i agenta rejestracji programu Exchange (żądanie offline).Resolution: If the MSCEP-RA certificates are expired, reinstall the NDES role or request new CEP Encryption and Exchange Enrollment Agent (Offline request) certificates.

    Aby zażądać nowych certyfikatów, wykonaj następujące kroki:To request new certificates, follow these steps:

    1. W urzędzie certyfikacji lub w urzędzie wystawiającym certyfikaty otwórz konsolę MMC szablonów certyfikatów.On the Certificate Authority (CA) or issuing CA, open the Certificate Templates MMC. Upewnij się, że zalogowany użytkownik i serwer usługi NDES mają uprawnienia odczytu i rejestrowania do szablonów certyfikatów szyfrowania protokołu CEP i agenta rejestracji programu Exchange (żądanie offline).Make sure that the logged in user and the NDES server have Read and Enroll permissions to the CEP Encryption and Exchange Enrollment Agent (Offline request) certificate templates.

    2. Sprawdź wygasłe certyfikaty na serwerze usługi NDES, skopiuj informacje podmiotu z certyfikatu.Check the expired certificates on the NDES server, copy the Subject information from the certificate.

    3. Otwórz konsolę MMC certyfikatów na stronie Konto komputera.Open the Certificates MMC for Computer account.

    4. Rozwiń węzeł Osobiste, kliknij prawym przyciskiem myszy pozycję Certyfikaty, a następnie wybierz pozycję Wszystkie zadania > Żądaj nowego certyfikatu.Expand Personal, right-click Certificates, then select All Tasks > Request New Certificate.

    5. Na stronie Żądanie certyfikatu wybierz pozycję Szyfrowanie protokołu CEP, a następnie kliknij pozycję Do zarejestrowania tego certyfikatu jest wymaganych więcej informacji. Kliknij tutaj, aby skonfigurować ustawienia.On the Request Certificate page, select CEP Encryption, then click More information is required to enroll for this certificate. Click here to configure settings.

      Wybieranie szyfrowania protokołu CEP

    6. W obszarze Właściwości certyfikatu kliknij kartę Podmiot, wypełnij pole Nazwa podmiotu za pomocą informacji zebranych w kroku 2, a następnie kliknij pozycję Dodaj i przycisk OK.In Certificate Properties, click the Subject tab, fill the Subject name with the information that you collected during step 2, click Add, then click OK.

    7. Ukończ rejestrację certyfikatu.Complete the certificate enrollment.

    8. Otwórz konsolę MMC certyfikatów na stronie Moje konto użytkownika.Open the Certificates MMC for My user account.

      Rejestrowanie certyfikatu agenta rejestracji programu Exchange (żądanie offline) należy wykonać w kontekście użytkownika.When you enroll for the Exchange Enrollment Agent (Offline request) certificate, it must be done in the user context. Typ podmiotu tego szablonu certyfikatu ma ustawioną wartość Użytkownik.Because the Subject Type of this certificate template is set to User.

    9. Rozwiń węzeł Osobiste, kliknij prawym przyciskiem myszy pozycję Certyfikaty, a następnie wybierz pozycję Wszystkie zadania > Żądaj nowego certyfikatu.Expand Personal, right-click Certificates, then select All Tasks > Request New Certificate.

    10. Na stronie Żądanie certyfikatu wybierz pozycję Agent rejestracji programu Exchange (żądanie offline) , a następnie kliknij pozycję Do zarejestrowania tego certyfikatu jest wymaganych więcej informacji. Kliknij tutaj, aby skonfigurować ustawienia.On the Request Certificate page, select Exchange Enrollment Agent (Offline request), then click More information is required to enroll for this certificate. Click here to configure settings.

      Wybieranie agenta rejestracji programu Exchange

    11. W obszarze Właściwości certyfikatu kliknij kartę Podmiot, wypełnij pole Nazwa podmiotu za pomocą informacji zebranych w kroku 2, a następnie kliknij pozycję Dodaj.In Certificate Properties, click the Subject tab, fill the Subject name with the information that you collected during step 2, click Add.

      Właściwości certyfikatu

      Wybierz kartę Klucz prywatny, wybierz pozycję Klucz prywatny można eksportować, a następnie kliknij przycisk OK.Select the Private Key tab, select Make private key exportable, then click OK.

      Klucz prywatny

    12. Ukończ rejestrację certyfikatu.Complete the certificate enrollment.

    13. Wyeksportuj certyfikat agenta rejestracji programu Exchange (żądanie offline) z magazynu certyfikatów bieżącego użytkownika.Export the Exchange Enrollment Agent (Offline request) certificate from the current user certificate store. W Kreatorze eksportu certyfikatów wybierz opcję Tak, eksportuj klucz prywatny.In the Certificate Export Wizard, select Yes, export the private key.

    14. Zaimportuj certyfikat do magazynu certyfikatów komputera lokalnego.Import the certificate to the local machine certificate store.

    15. W konsoli MMC certyfikatów wykonaj następujące czynności dla każdego z nowych certyfikatów:In the Certificates MMC, do the following action for each of the new certificates:

      Kliknij prawym przyciskiem myszy certyfikat, kliknij pozycję Wszystkie zadania > Zarządzaj kluczami prywatnymi i dodaj uprawnienie do odczytu dla konta usługi NDES.Right-click the certificate, click All Tasks > Manage Private Keys, add Read permission to the NDES service account.

    16. Uruchom polecenie iisreset, aby ponownie uruchomić usługi IIS.Run the iisreset command to restart IIS.

Następne krokiNext steps

Jeśli urządzenie pomyślnie połączy się z serwerem usługi NDES w celu zaprezentowania żądania certyfikatu, następnym krokiem jest zapoznanie się z modułem Zasady łączników certyfikatów usługi Intune.If the device successfully reaches the NDES server to present the certificate request, the next step is to review the Intune Certificate Connectors policy module.