Felsöka enhet till NDES-serverkommunikation för SCEP-certifikatprofiler i Microsoft Intune

Använd följande information för att avgöra om en enhet som har tagit emot och bearbetat en Intune SCEP-certifikatprofil (Simple Certificate Enrollment Protocol) kan kontakta registreringstjänsten för nätverksenheter (NDES) för att presentera en utmaning. På enheten genereras en privat nyckel och certifikatsigneringsbegäran (CSR) och utmaningen skickas från enheten till NDES-servern. Om du vill kontakta NDES-servern använder enheten URI:n från SCEP-certifikatprofilen.

Den här artikeln refererar till steg 2 i översikten över SCEP-kommunikationsflödet.

Granska IIS-loggar för en anslutning från enheten

IIS-loggfiler (Internet Information Services) innehåller samma typ av poster för alla plattformar.

1. Öppna den senaste IIS-loggfilen som finns i följande mapp på NDES-servern: %SystemDrive%\inetpub\logs\logfiles\w3svc1

2. Sök i loggen efter poster som liknar följande exempel. Båda exemplen innehåller statusen 200, som visas nära slutet:

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACaps&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 186 0.

   Och

   fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe operation=GetCACert&message=default 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 3567 0

3. När enheten kontaktar IIS loggas en HTTP GET-begäran för mscep.dll.

   Granska statuskoden i slutet av den här begäran:

   • Statuskod 200: Den här statusen anger att anslutningen till NDES-servern lyckades.

   • Statuskod 500: Den IIS_IUSRS gruppen kanske saknar rätt behörigheter. Se Felsöka statuskod 500 senare i den här artikeln.

   • Om statuskoden inte är 200 eller 500:

     • Se Testa och felsöka SCEP-serverns URL senare i den här artikeln för att verifiera konfigurationen.

     • Mer information om mindre vanliga felkoder finns i HTTP-statuskoden i IIS 7 och senare versioner .

   Om anslutningsbegäran inte loggas alls kan kontakten från enheten blockeras i nätverket mellan enheten och NDES-servern.

Granska enhetsloggar för anslutningar till NDES

Android-enheter

Granska omadm-loggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:

2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  There are 1 requests
2018-02-27T05:16:08.2500000  VERB  Event  com.microsoft.omadm.platforms.android.certmgr.CertificateEnrollmentManager  18327    10  Trying to enroll certificate request: ModelName=AC_51bad41f-3854-4eb5-a2f2-0f7a94034ee8%2FLogicalName_39907e78_e61b_4730_b9fa_d44a53e4111c;Hash=1677525787
2018-02-27T05:16:09.5530000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:14.6440000  VERB  Event  org.jscep.transport.UrlConnectionGetTransport  18327    10  Received '200 OK' when sending GetCACaps(ca) to https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
2018-02-27T05:16:21.8220000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10 Encoding message: org.jscep.message.PkcsReq@2b06f45f[messageData=org.<server>.pkcs.PKCS10CertificationRequest@699b3cd,messageType=PKCS_REQ,senderNonce=Nonce [D447AE9955E624A56A09D64E2B3AE76E],transId=251E592A777C82996C7CF96F3AAADCF996FC31FF]
2018-02-27T05:16:21.8790000  VERB  Event  org.jscep.message.PkiMessageEncoder  18327     10  Signing pkiMessage using key belonging to [dn=CN=<uesrname>; serial=1]
2018-02-27T05:16:21.9580000  VERB  Event  org.jscep.transaction.EnrollmentTransaction  18327     10  Sending org.<server>.cms.CMSSignedData@ad57775

Nyckelposter inkluderar följande exempeltextsträngar:

• Det finns 1 begäranden
• Fick "200 OK" när getCACaps(ca) skickades till https://<server>.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=ca
• Signera pkiMessage med nyckeln som tillhör [dn=CN=<username>; serial=1]

Anslutningen loggas också av IIS i mappen %SystemDrive%\inetpub\logs\LogFiles\W3SVC1\ på NDES-servern. Nedan visas ett exempel:

fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACert&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 3909 0
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll operation=GetCACaps&message=ca 443 - 
fe80::f53d:89b8:c3e8:5fec%13 Dalvik/2.1.0+(Linux;+U;+Android+5.0;+P01M+Build/LRX21V) - 200 0 0 421

iOS/iPadOS-enheter

Granska felsökningsloggen för enheter. Leta efter poster som liknar följande exempel, som loggas när enheten ansluter till NDES:

debug    18:30:53.691033 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACert&message=SCEP%20Authority\ 
debug    18:30:54.640644 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=GetCACaps&message=SCEP%20Authority\ 
default    18:30:55.483977 -0500    profiled    Attempting to retrieve issued certificate...\ 
debug    18:30:55.487798 -0500    profiled    Sending CSR via GET.\  
debug    18:30:55.487908 -0500    profiled    Performing synchronous URL request: https://<server>-contoso.msappproxy.net/certsrv/mscep/mscep.dll?operation=PKIOperation&message=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

Nyckelposter inkluderar följande exempeltextsträngar:

• operation=GetCACert
• Försöker hämta utfärdat certifikat
• Skicka CSR via GET
• operation=PKIOperation

Windows-enheter

På en Windows-enhet som upprättar en anslutning till NDES kan du visa enheterna windows Loggboken och söka efter indikationer på en lyckad anslutning. Connections loggas som händelse-ID 36 i enhetsloggen DeviceManagement-Enterprise-Diagnostics-Provide>Admin.

Så här öppnar du loggen:

1. Öppna Windows Loggboken genom att köra eventvwr.msc på enheten.

2. Expandera Program- och tjänstloggar>Microsoft>Windows>DeviceManagement-Enterprise-Diagnostic-Provider>Admin.

3. Leta efter händelse 36, som liknar följande exempel, med nyckelraden i SCEP: Certifikatbegäran har genererats:

   Event ID:      36
   Task Category: None
   Level:         Information
   Keywords:
   User:          <UserSid>
   Computer:      <Computer Name>
   Description:
   SCEP: Certificate request generated successfully. Enhanced Key Usage: (1.3.6.1.5.5.7.3.2), NDES URL: (https://<server>/certsrv/mscep/mscep.dll/pkiclient.exe), Container Name: (), KSP Setting: (0x2), Store Location: (0x1).
   

Felsöka statuskod 500

Connections som liknar följande exempel, med statuskoden 500, anger att behörigheten Personifiera en klient efter autentisering inte har tilldelats till den IIS_IUSRS gruppen på NDES-servern. Statusvärdet 500 visas i slutet:

2017-08-08 20:22:16 IP_address GET /certsrv/mscep/mscep.dll operation=GetCACert&message=SCEP%20Authority 443 - 10.5.14.22 profiled/1.0+CFNetwork/811.5.4+Darwin/16.6.0 - 500 0 1346 31

Åtgärda problemet genom att utföra följande steg:

1. På NDES-servern kör du secpol.msc för att öppna den lokala säkerhetsprincipen.
2. Expandera Lokala principer och välj sedan Tilldelning av användarrättigheter.
3. Dubbelklicka på Personifiera en klient efter autentisering i den högra rutan.
4. Välj Lägg till användare eller grupp..., ange IIS_IUSRS i rutan Ange de objektnamn som ska väljas och välj sedan OK.
5. Välj OK.
6. Starta om datorn och försök sedan ansluta från enheten igen.

Testa och felsöka SCEP-serverns URL

Använd följande steg för att testa url:en som anges i SCEP-certifikatprofilen.

1. I Intune redigerar du scep-certifikatprofilen och kopierar server-URL:en. URL:en bör likna https://contoso.com/certsrv/mscep/mscep.dll.

2. Öppna en webbläsare och bläddra sedan till SCEP-serverns URL. Resultatet bör vara: HTTP-fel 403.0 – Förbjudet. Det här resultatet anger att URL:en fungerar korrekt.

   Om du inte får det felet väljer du länken som liknar det fel som visas för att visa problemspecifik vägledning:

   • Jag får ett allmänt meddelande om registreringstjänsten för nätverksenheter
   • Jag får http-fel 503. Tjänsten är inte tillgänglig"
   • Jag får felet "GatewayTimeout"
   • Jag får "HTTP 414 Request-URI Too Long"
   • Jag får meddelandet "Det går inte att visa den här sidan"
   • Jag får "500 – internt serverfel"

Allmänt NDES-meddelande

När du bläddrar till SCEP-serverns URL får du följande meddelande om registreringstjänsten för nätverksenheter:

• Orsak: Det här problemet är vanligtvis ett problem med installationen av Microsoft Intune Connector.

  Mscep.dll är ett ISAPI-tillägg som fångar upp inkommande begäranden och visar HTTP 403-felet om det är korrekt installerat.

  Lösning: Granska SetupMsi.log-filen för att avgöra om Microsoft Intune Connector har installerats. I följande exempel har installationen slutförts och statusen För installationen lyckades eller fel: 0 anger en lyckad installation:

  MSI (c) (28:54) [16:13:11:905]: Product: Microsoft Intune Connector -- Installation completed successfully.
  MSI (c) (28:54) [16:13:11:999]: Windows Installer installed the product. Product Name: Microsoft Intune Connector. Product Version: 6.1711.4.0. Product Language: 1033. Manufacturer: Microsoft Corporation. Installation success or error status: 0.
  

  Om installationen misslyckas tar du bort Microsoft Intune Connector och installerar sedan om den. Om installationen lyckades och du fortsätter att få meddelandet Allmänt NDES kör du kommandot iisreset för att starta om IIS.

HTTP-fel 503

När du bläddrar till SCEP-serverns URL får du följande fel:

Det här problemet beror vanligtvis på att SCEP-programpoolen i IIS inte har startats. Öppna IIS-hanteraren på NDES-servern och gå till Programpooler. Leta upp SCEP-programpoolen och bekräfta att den har startats.

Om SCEP-programpoolen inte har startats kontrollerar du programhändelseloggen på servern:

1. På enheten kör du eventvwr.msc för att öppna Loggboken och gå till Windows Logs>Application.

2. Leta efter en händelse som liknar följande exempel, vilket innebär att programpoolen kraschar när en begäran tas emot:

   Log Name:      Application
   Source:        Application Error
   Event ID:      1000
   Task Category: Application Crashing Events
   Level:         Error
   Keywords:      Classic
   Description: Faulting application name: w3wp.exe, version: 8.5.9600.16384, time stamp: 0x5215df96
   Faulting module name: ntdll.dll, version: 6.3.9600.18821, time stamp: 0x59ba86db
   Exception code: 0xc0000005
   

Vanliga orsaker till att en programpool kraschar

• Orsak 1: Det finns mellanliggande CA-certifikat (inte självsignerade) i NDES-serverns certifikatarkiv betrodda rotcertifikatutfärdare.

  Lösning: Ta bort mellanliggande certifikat från certifikatarkivet betrodda rotcertifikatutfärdare och starta sedan om NDES-servern.

  Om du vill identifiera alla mellanliggande certifikat i certifikatarkivet betrodda rotcertifikatutfärdare kör du följande PowerShell-cmdlet: Get-Childitem -Path cert:\LocalMachine\root -Recurse | Where-Object {$_.Issuer -ne $_.Subject}

  Ett certifikat som har samma värden för Utfärdat till och Utfärdat av är ett rotcertifikat. Annars är det ett mellanliggande certifikat.

  När du har tagit bort certifikat och startat om servern kör du PowerShell-cmdleten igen för att bekräfta att det inte finns några mellanliggande certifikat. Om det finns det kontrollerar du om en grupprincip skickar mellanliggande certifikat till NDES-servern. I så fall undantar du NDES-servern från grupprincip och tar bort de mellanliggande certifikaten igen.

• Orsak 2: URL:erna i listan över återkallade certifikat (CRL) blockeras eller kan inte nås för de certifikat som används av Intune Certificate Connector.

  Lösning: Aktivera ytterligare loggning för att samla in mer information:

  1. Öppna Loggboken, välj Visa och kontrollera att alternativet Visa analys- och felsökningsloggar är markerat.
  2. Gå till Program- och tjänstloggar>Microsoft>Windows>CAPI2>Operational, högerklicka på Drift och välj sedan Aktivera logg.
  3. När CAPI2-loggning har aktiverats återskapar du problemet och undersöker händelseloggen för att felsöka problemet.

• Orsak 3: IIS-behörighet på CertificateRegistrationSvc har Windows-autentisering aktiverat.

  Lösning: Aktivera anonym autentisering och inaktivera Windows-autentisering och starta sedan om NDES-servern.

  

• Orsak 4: NDESPolicy-modulcertifikatet har upphört att gälla.

  CAPI2-loggen (se orsak 2:s lösning) visar fel relaterade till certifikatet som refereras till genom HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint att ligga utanför certifikatets giltighetsperiod.

  Lösning: Förnya certifikatet och installera om anslutningsappen.

  1. Använd certlm.msc för att öppna certifikatarkivet på den lokala datorn, expandera Personligt och välj sedan Certifikat.

  2. I listan över certifikat hittar du ett utgånget certifikat som uppfyller följande villkor:

     • Värdet för Avsedda syften är klientautentisering.
     • Värdet för Utfärdat till eller Eget namn matchar NDES-servernamnet.

     Obs!

     Den utökade nyckelanvändningen (EKU) för klientautentisering krävs. Utan denna EKU returnerar CertificateRegistrationSvc ett HTTP 403-svar på NDESPlugin-begäranden. Det här svaret loggas i IIS-loggarna.

  3. Dubbelklicka på certifikatet. I dialogrutan Certifikat väljer du fliken Information , letar upp fältet Tumavtryck och kontrollerar sedan att värdet matchar värdet för registerundernyckeln HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\Modules\NDESPolicy\NDESCertThumbprint .

  4. Välj OK för att stänga dialogrutan Certifikat .

  5. Högerklicka på certifikatet, välj Alla aktiviteter och välj sedan Begär certifikat med ny nyckel eller Förnya certifikat med ny nyckel.

  6. På sidan Certifikatregistrering väljer du Nästa, väljer rätt SSL-mall och väljer sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

  7. I dialogrutan Certifikategenskaper väljer du fliken Ämne och utför sedan följande steg:

     1. Under Ämnesnamn går du till listrutan Typ och väljer Eget namn. I rutan Värde anger du det fullständigt kvalificerade domännamnet (FQDN) för NDES-servern. Välj sedan Lägg till.
     2. Under Alternativt namn går du till listrutan Typ och väljer DNS. I rutan Värde anger du FQDN för NDES-servern. Välj sedan Lägg till.
     3. Välj OK för att stänga dialogrutan Certifikategenskaper .

  8. Välj Registrera, vänta tills registreringen har slutförts och välj sedan Slutför.

  9. Installera om Intune Certificate Connector för att länka den till det nyligen skapade certifikatet. Mer information finns i Installera certifikatanslutningsappen för Microsoft Intune.

  10. När du har stängt gränssnittet för certifikatanslutningsappen startar du om Intune Connector Service och World Wide Web Publishing Service.

GatewayTimeout

När du bläddrar till SCEP-serverns URL får du följande fel:

• Orsak: Den Microsoft Entra anslutningstjänsten för programproxy har inte startats.

  Lösning: Kör services.msc och kontrollera sedan att den Microsoft Entra anslutningstjänsten för programproxy körs och att starttypen är inställd på Automatisk.

HTTP 414 Begärande-URI för lång

När du bläddrar till SCEP-serverns URL får du följande fel: HTTP 414 Request-URI Too Long

• Orsak: Filtrering av IIS-begäranden har inte konfigurerats för att stödja de långa URL:er (frågor) som NDES-tjänsten tar emot. Det här stödet konfigureras när du konfigurerar NDES-tjänsten för användning med din infrastruktur för SCEP.

• Lösning: Konfigurera stöd för långa URL:er.

  1. På NDES-servern öppnar du IIS-hanteraren, väljer Standardinställning> för filtrering > avwebbplatsbegäranRedigera funktion för att öppna sidan Redigera inställningar för filtrering av begäranden.

  2. Konfigurera följande inställningar:

     • Maximal URL-längd (byte) = 65534
     • Maximal frågesträng (byte) = 65534

  3. Välj OK för att spara den här konfigurationen och stänga IIS-hanteraren.

  4. Verifiera den här konfigurationen genom att hitta följande registernyckel för att bekräfta att den har angivna värden:

     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

     Följande värden anges som DWORD-poster:

     • Namn: MaxFieldLength, med ett decimalvärde på 65534
     • Namn: MaxRequestBytes, med decimalvärdet 65534

  5. Starta om NDES-servern.

Det går inte att visa den här sidan

Du har konfigurerat Microsoft Entra programproxy. När du bläddrar till SCEP-serverns URL får du följande fel:

This page can't be displayed

• Orsak: Det här problemet uppstår när den externa SCEP-URL:en är felaktig i Programproxy konfigurationen. Ett exempel på den här URL:en är https://contoso.com/certsrv/mscep/mscep.dll.

  Lösning: Använd standarddomänen för yourtenant.msappproxy.net för den externa SCEP-URL:en i Programproxy-konfigurationen.

500 – internt serverfel

När du bläddrar till SCEP-serverns URL får du följande fel:

• Orsak 1: NDES-tjänstkontot är låst eller så har lösenordet upphört att gälla.

  Lösning: Lås upp kontot eller återställ lösenordet.

• Orsak 2: MSCEP-RA-certifikaten har upphört att gälla.

  Lösning: Om MSCEP-RA-certifikaten har upphört att gälla installerar du om NDES-rollen eller begär nya CERTIFIKAT för CEP-kryptering och Exchange-registreringsagent (offlinebegäran).

  Följ dessa steg för att begära nya certifikat:

  1. Öppna certifikatmallarna MMC på certifikatutfärdare (CA) eller utfärdande certifikatutfärdare. Kontrollera att den inloggade användaren och NDES-servern har läs - och registreringsbehörighet till certifikatmallarna CEP Encryption and Exchange Enrollment Agent (offlinebegäran).

  2. Kontrollera de utgångna certifikaten på NDES-servern och kopiera ämnesinformationen från certifikatet.

  3. Öppna MMC-certifikat för datorkontot.

  4. Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.

  5. På sidan Begär certifikat väljer du CEP-kryptering och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

     

  6. I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2, väljer Lägg till och väljer sedan OK.

  7. Slutför certifikatregistreringen.

  8. Öppna CERTIFIKAT MMC för Mitt användarkonto.

     När du registrerar dig för certifikatet för Exchange Enrollment Agent (offlinebegäran) måste det göras i användarkontexten. Eftersom certifikatmallens ämnestyp är inställd på Användare.

  9. Expandera Personligt, högerklicka på Certifikat och välj sedan Alla uppgifter>Begär nytt certifikat.

  10. På sidan Begär certifikat väljer du Exchange-registreringsagent (offlinebegäran) och sedan Mer information krävs för att registrera för det här certifikatet. Klicka här om du vill konfigurera inställningar.

      

  11. I Certifikategenskaper väljer du fliken Ämne , fyller i ämnesnamnet med den information som du samlade in under steg 2 och väljer Lägg till.

      

      Välj fliken Privat nyckel , välj Gör privat nyckel exporterbar och välj sedan OK.

      

  12. Slutför certifikatregistreringen.

  13. Exportera certifikatet för Exchange-registreringsagenten (offlinebegäran) från det aktuella användarcertifikatarkivet. I guiden Exportera certifikat väljer du Ja, exportera den privata nyckeln.

  14. Importera certifikatet till den lokala datorns certifikatarkiv.

  15. I MMC-certifikaten utför du följande åtgärd för vart och ett av de nya certifikaten:

      Högerklicka på certifikatet, välj Alla uppgifter>Hantera privata nycklar, lägg till läsbehörighet till NDES-tjänstkontot.

  16. Kör kommandot iisreset för att starta om IIS.

Nästa steg

Om enheten når NDES-servern för att presentera certifikatbegäran är nästa steg att granska principmodulen Intune Certificate Connectors.