다음을 통해 공유

Microsoft Intune에서 NDES 정책 모듈 문제 해결

  • 아티클

이 문서에서는 Microsoft Intune 인증서 커넥터를 사용하여 설치하는 NDES(네트워크 디바이스 등록 서비스) 정책 모듈의 작동 유효성을 검사하고 문제를 해결하는 데 도움이 되는 지침을 제공합니다. NDES는 인증서에 대한 요청을 받으면 요청을 정책 모듈로 전달하여 디바이스에 유효한 요청의 유효성을 검사합니다. 유효성 검사 후 NDES는 CA(인증 기관)에 연락하여 디바이스를 대신하여 인증서를 요청합니다.

이 문서는 SCEP 통신 워크플로의 3단계와 4단계 모두에 적용됩니다.

정책 모듈에 대한 NDES 통신

디바이스에서 인증서 요청을 받은 후 NDES는 Microsoft Intune 인증서 커넥터와 함께 설치되는 정책 모듈을 통해 Intune에서 해당 요청의 유효성을 검사합니다. 이러한 항목은 인증서 등록 지점을 참조합니다.

성공을 나타내는 로그 항목:

유효성 검사 요청이 모듈에 제출되어 있는지 확인하려면 NDES 서버의 로그에서 다음 예제와 유사한 항목을 찾습니다.

  • IIS 로그:

    fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - 
fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875

  • NDESPlugin 로그:

    Calling VerifyRequest ...  
Sending request to certificate registration point.

    다음 예제는 디바이스 챌린지 요청의 유효성 검사가 성공했으며 이제 NDES가 CA에 연결할 수 있음을 나타냅니다.

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

성공 지표가 없는 경우:

이러한 항목을 찾을 수 없는 경우 먼저 디바이스에서 NDES 서버 통신에 대한 문제 해결 지침을 검토합니다.

해당 문서의 정보가 문제를 해결하는 데 도움이 되지 않는 경우 다음은 문제를 나타낼 수 있는 추가 항목입니다.

NDESPlugin.log 오류 12175를 포함합니다.

로그에 다음과 유사한 오류 12175가 포함된 경우 SSL 인증서에 문제가 있을 수 있습니다.

WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175

모바일 디바이스의 최신 브라우저 및 브라우저는 주체 대체 이름이 있는 경우 SSL 인증서의 일반 이름을 무시합니다.

해결 방법: 일반 이름 및 주체 대체 이름에 대한 다음 특성을 사용하여 웹 서버 SSL 인증서를 발급한 다음 IIS의 포트 443에 바인딩합니다.

  • 주체 이름
    CN = 외부 서버 이름
  • 주체 대체 이름
    이름 = 외부 서버 이름
    DNS 이름 = 내부 서버 이름

NDESPlugin.log 오류 403 – 사용할 수 없음: 액세스가 거부되었습니다."

다음 로그에 다음과 유사한 오류 403이 포함된 경우 클라이언트 인증서가 신뢰할 수 없거나 잘못되었을 수 있습니다.

NDESPlugin.log:

Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>

IIS 로그:

POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453

이 문제는 NDES 서버의 신뢰할 수 있는 루트 인증 기관 인증서 저장소에 중간 CA 인증서가 있는 경우에 발생합니다.

인증서의 발급 대상과 값이 동일한 경우 루트 인증서입니다. 그렇지 않으면 중간 인증서입니다.

해결 방법: 이 문제를 해결하려면 신뢰할 수 있는 루트 인증 기관 인증서 저장소에서 중간 CA 인증서를 식별하고 제거합니다.

NDESPlugin.log 챌린지가 false를 반환했음을 나타냅니다.

챌린지 결과가 false를 반환하면 CertificateRegistrationPoint.svclog에서 오류를 확인합니다. 예를 들어 다음 항목과 유사한 "서명 인증서를 검색할 수 없습니다." 오류가 표시될 수 있습니다.

Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint

해결 방법: 커넥터가 설치된 서버에서 레지스트리 편집기를 열고 레지스트리 키를 찾 HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector 은 다음 SigningCertificate 값이 있는지 확인합니다.

이 값이 없으면 services.msc에서 Intune Connector Service를 다시 시작한 다음 레지스트리에 값이 표시되는지 확인합니다. 값이 여전히 누락된 경우 NDES와 Intune 서비스 서버 간의 네트워크 연결 문제로 인해 발생하는 경우가 많습니다.

NDES가 인증서 발급 요청을 전달합니다.

인증서 등록 지점(정책 모듈)에서 유효성을 성공적으로 검사한 후 NDES는 디바이스를 대신하여 CA에 인증서 요청을 전달합니다.

성공을 나타내는 로그 항목:

  • NDESPlugin 로그:

    Verify challenge returns true
Exiting VerifyRequest with 0x0

  • IIS 로그:

    fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - 
fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296

  • CertificateRegistrationPoint.svclog:

    Validation Phase 1 finished with status True.
    Validation Phase 3 finished with status True.
    VerifyRequest Finished with status True

성공 지표가 없는 경우:

성공을 나타내는 항목이 표시되지 않으면 다음 단계를 완료합니다.

  1. 인증서 등록 지점에서 문제를 확인할 때 CertificateRegistrationPoint.svclog에 기록되는 문제를 찾습니다. 다음 줄 사이의 항목을 찾습니다.

    • VerifyRequest Started.
    • VerifyRequest 완료됨 상태 False

  2. CA에서 인증 기관 MMC를 열고 실패한 요청을 선택하여 문제를 식별하는 데 도움이 되는 오류를 찾습니다. 다음 이미지가 그 예입니다:

    실패한 요청 예제의 스크린샷.

  3. 오류는 CA에서 애플리케이션 이벤트 로그를 검토합니다. 일반적으로 이전 단계의 실패한 요청에 표시된 것과 일치하는 오류를 볼 수 있습니다 . 다음 이미지가 그 예입니다:

    스크린샷은 애플리케이션 로그의 세부 정보를 보여줍니다.

다음 단계

NDES 정책 모듈이 요청의 유효성을 검사하고 요청이 인증 기관에 전달되는 경우 다음 단계는 디바이스에 대한 인증서 배달을 검토하는 것입니다.