Condividi tramite

Risoluzione dei problemi del modulo criteri NDES in Microsoft Intune

  • Articolo

Questo articolo fornisce indicazioni per la convalida e la risoluzione dei problemi relativi al funzionamento del modulo dei criteri del servizio Registrazione dispositivi di rete (NDES) installato con Il connettore di certificati di Microsoft Intune. Quando il servizio Registrazione dispositivi di rete riceve una richiesta per un certificato, inoltra la richiesta al modulo criteri, che convalida la richiesta come valida per il dispositivo. Dopo la convalida, NDES contatta l'autorità di certificazione (CA) per richiedere il certificato per conto del dispositivo.

Questo articolo si applica sia al passaggio 3 che al passaggio 4 del flusso di lavoro di comunicazione SCEP.

Comunicazione NDES con il modulo criteri

Dopo aver ricevuto la richiesta di certificato da un dispositivo, NDES convalida la richiesta con Intune tramite il modulo criteri che viene installato con il connettore di certificati di Microsoft Intune. Queste voci fanno riferimento al punto di registrazione certificati.

Voci di log che indicano l'esito positivo:

Per verificare che la richiesta di convalida venga inviata al modulo, cercare una voce simile agli esempi seguenti nei log nel server NDES:

  • Log IIS:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • Log NDESPlugin:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    L'esempio seguente indica una convalida corretta della richiesta di verifica dei dispositivi e che NDES può ora contattare la CA:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando gli indicatori di successo non sono presenti:

Se queste voci non vengono trovate, vedere le linee guida per la risoluzione dei problemi per la comunicazione da dispositivo a server NDES.

Se le informazioni contenute in questo articolo non consentono di risolvere il problema, di seguito sono riportate voci aggiuntive che possono indicare problemi.

NDESPlugin.log contiene un errore 12175

Quando il log contiene un errore 12175 simile al seguente, potrebbe verificarsi un problema con il certificato SSL:

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

I browser e i browser moderni nei dispositivi mobili ignorano il nome comune in un certificato SSL se sono presenti nomi alternativi soggetto.

Soluzione: rilasciare il certificato SSL del server Web con gli attributi seguenti per Nome comune e Nome alternativo soggetto, quindi associarlo alla porta 443 in IIS:

  • Nome soggetto
    CN = nome server esterno
  • Nome alternativo soggetto
    Nome = nome server esterno
    Nome DNS = nome server interno

NDESPlugin.log contiene un errore 403 - Accesso negato: Accesso negato"

Quando i log seguenti contengono un errore 403 simile al seguente, il certificato client potrebbe non essere attendibile o non valido:

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

Log IIS:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

Questo problema si verifica se sono presenti certificati CA intermedi nell'archivio certificati Autorità di certificazione radice attendibili del server NDES.

Se un certificato ha gli stessi valori Rilasciato a ed Rilasciato da , si tratta di un certificato radice. In caso contrario, si tratta di un certificato intermedio.

Soluzione: per risolvere il problema, identificare e rimuovere i certificati CA intermedi dall'archivio certificati Autorità di certificazione radice attendibili.

NDESPlugin.log indica che la richiesta di verifica restituisce false

Quando il risultato della richiesta di verifica restituisce false, controllare la presenza di errori in CertificateRegistrationPoint.svclog . Ad esempio, è possibile che venga visualizzato un errore "Impossibile recuperare il certificato di firma" simile alla voce seguente:

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

Soluzione: nel server in cui è installato il connettore aprire l'Editor del Registro di sistema, individuare la HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector chiave del Registro di sistema e quindi verificare se il valore SigningCertificate esiste.

Se questo valore non esiste, riavviare il servizio connettore di Intune in services.msc e quindi controllare se il valore viene visualizzato nel Registro di sistema. Se il valore è ancora mancante, è spesso dovuto a problemi di connettività di rete tra il server NDES e il servizio Intune.

NDES passa la richiesta per rilasciare il certificato

Dopo aver completato la convalida da parte del punto di registrazione certificati (modulo criteri), NDES passa la richiesta di certificato alla CA per conto del dispositivo.

Voci di log che indicano l'esito positivo:

  • Log NDESPlugin:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • Log IIS:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

Quando gli indicatori di successo non sono presenti:

Se non vengono visualizzate le voci che indicano l'esito positivo, completare questi passaggi:

  1. Cercare i problemi registrati in CertificateRegistrationPoint.svclog quando il punto di registrazione certificati verifica la richiesta. Cercare le voci tra le righe seguenti:

    • VerifyRequest Started.
    • VerifyRequest Completato con lo stato False

  2. Aprire MMC autorità di certificazione nella CA e selezionare Richieste non riuscite per cercare gli errori che consentono di identificare un problema. Di seguito è riportata un’immagine di esempio:

    Screenshot di una richiesta non riuscita di esempio.

  3. Esaminare il registro eventi dell'applicazione nella CA per individuare gli errori. In genere è possibile visualizzare errori che corrispondono a quanto visualizzato in Richieste non riuscite del passaggio precedente. Di seguito è riportata un’immagine di esempio:

    Screenshot che mostra i dettagli del log applicazioni.

Passaggi successivi

Se il modulo dei criteri NDES convalida la richiesta e la richiesta viene inoltrata all'autorità di certificazione, il passaggio successivo consiste nell'esaminare il recapito del certificato al dispositivo.