Microsoft Intune'da NDES ilke modülü sorunlarını giderme
Bu makalede, Microsoft Intune Sertifika Bağlayıcısı ile yüklenen Ağ Cihazı Kayıt Hizmeti (NDES) ilke modülünün çalışmasını doğrulamanıza ve sorunlarını gidermenize yardımcı olacak yönergeler sağlanır. NDES bir sertifika isteği aldığında, isteği cihaz için geçerli olarak doğrulayan ilke modülüne iletir. Doğrulamadan sonra NDES, sertifikayı cihaz adına istemek için sertifika yetkilisiyle (CA) iletişim kurar.
Bu makale, SCEP iletişim iş akışının hem 3. Adımı hem de 4. Adımı için geçerlidir.
İlke modülüyle NDES iletişimi
Bir cihazdan sertifika isteği aldıktan sonra NDES, Microsoft Intune Sertifika Bağlayıcısı ile yüklenen ilke modülü aracılığıyla Intune ile bu isteği doğrular. Bu girdiler sertifika kayıt noktasına başvurur.
Başarılı olduğunu gösteren günlük girdileri:
Doğrulama isteğinin modüle gönderildiğini onaylamak için NDES sunucusundaki günlüklerde aşağıdaki örneklere benzer bir girdi arayın:
IIS günlükleri:
fe80::f53d:89b8:c3e8:5fec%13 POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 - fe80::f53d:89b8:c3e8:5fec%13 NDES_Plugin - 201 0 0 341 875NDESPlugin günlüğü:
Calling VerifyRequest ... Sending request to certificate registration point.Aşağıdaki örnek, cihaz sınama isteğinin başarılı bir şekilde doğrulandığını ve NDES'in artık CA'ya başvurabileceğini gösterir:
Verify challenge returns true Exiting VerifyRequest with 0x0CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Başarı göstergeleri mevcut olmadığında:
Bu girdileri bulamazsanız, cihazdan NDES sunucusuna iletişim için sorun giderme kılavuzunu gözden geçirerek başlayın.
Bu makaledeki bilgiler sorunu çözmenize yardımcı olmazsa, aşağıda sorunları gösterebilecek ek girişler verilmiştir.
NDESPlugin.log bir hata içeriyor 12175
Günlükte aşağıdakine benzer bir hata 12175 olduğunda SSL sertifikasıyla ilgili bir sorun olabilir:
WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID
Failed to send http request /CertificateRegistrationSvc/Certificate/VerifyRequest. Error 12175
Konu Alternatif Adları varsa, mobil cihazlardaki modern tarayıcılar ve tarayıcılar SSL sertifikasındaki Ortak Adı yoksayar.
Çözüm: Web sunucusu SSL sertifikasını Ortak Ad ve Konu Alternatif Adı için aşağıdaki özniteliklerle verin ve iis'de 443 numaralı bağlantı noktasına bağlayın:
- Konu adı
CN = dış sunucu adı - Konu Alternatif Adı
Ad = dış sunucu adı
DNS Adı = iç sunucu adı
NDESPlugin.log bir hata içeriyor 403 – Yasak: Erişim reddedildi"
Aşağıdaki günlüklerde aşağıdakine benzer bir hata 403 olduğunda, istemci sertifikasına güvenilmeyebilir veya geçersiz olabilir:
NDESPlugin.log:
Sending request to certificate registration point.
Verify challenge returns <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>403 - Forbidden: Access is denied.</title>
IIS günlüğü:
POST /CertificateRegistrationSvc/Certificate/VerifyRequest - 443 -<IP_address>
NDES_Plugin - 403 16 2148204809 453
NDES sunucusunun Güvenilen Kök Sertifika Yetkilileri sertifika deposunda ara CA sertifikaları varsa bu sorun oluşur.
Sertifika aynı Verilen ve Veren değerlerine sahipse, bu bir kök sertifikadır. Aksi takdirde, bu bir ara sertifikadır.
Çözüm: Sorunu düzeltmek için, ara CA sertifikalarını Güvenilen Kök Sertifika Yetkilileri sertifika deposundan belirleyin ve kaldırın.
NDESPlugin.log sınamanın false döndürdüğüne işaret eder
Sınamanın sonucu false döndürdüğünde, certificateRegistrationPoint.svclog dosyasının hataları olup olmadığını denetleyin. Örneğin, aşağıdaki girişe benzer bir "İmzalama sertifikası alınamadı" hatası görebilirsiniz:
Signing certificate could not be retrieved. System.Security.Cryptography.CryptographicException: m_safeCertContext is an invalid handle. at System.Security.Cryptography.X509Certificates.X509Certificate.ThrowIfContextInvalid() at System.Security.Cryptography.X509Certificates.X509Certificate.GetCertHashString() at Microsoft.ConfigurationManager.CertRegPoint.CRPCertificate.RetrieveSigningCert(String certThumbprint
Çözüm: Bağlayıcının yüklü olduğu sunucuda Kayıt Defteri Düzenleyicisi'ni açın, kayıt defteri anahtarını bulun HKLM\SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector ve SigningCertificate değerinin mevcut olup olmadığını denetleyin.
Bu değer yoksa services.msc dosyasında Intune Bağlayıcı Hizmeti'ni yeniden başlatın ve değerin kayıt defterinde görünüp görünmediğini denetleyin. Değer hala eksikse, bunun nedeni genellikle NDES ile Intune hizmeti arasındaki ağ bağlantısı sorunlarıdır.
NDES, sertifikayı verme isteğini geçirir
Sertifika kayıt noktası (ilke modülü) tarafından başarılı bir doğrulamadan sonra NDES, sertifika isteğini cihaz adına CA'ya geçirir.
Başarılı olduğunu gösteren günlük girdileri:
NDESPlugin günlüğü:
Verify challenge returns true Exiting VerifyRequest with 0x0IIS günlükleri:
fe80::f53d:89b8:c3e8:5fec%13 GET /certsrv/mscep/mscep.dll/pkiclient.exe ... 80 - fe80::f53d:89b8:c3e8:5fec%13 Mozilla/4.0+(compatible;+Win32;+NDES+client) - 200 0 0 2713 1296CertificateRegistrationPoint.svclog:
Validation Phase 1 finished with status True.
Validation Phase 3 finished with status True.
VerifyRequest Finished with status True
Başarı göstergeleri mevcut olmadığında:
Başarılı olduğunu belirten girdileri görmüyorsanız şu adımları tamamlayın:
Sertifika kayıt noktası sınamayı doğruladığında CertificateRegistrationPoint.svclog dosyasında günlüğe kaydedilen sorunları arayın. Aşağıdaki satırlar arasındaki girişleri arayın:
- VerifyRequest Başlatıldı.
- VerifyRequest False durumuyla tamamlandı
CA'da Sertifika Yetkilisi MMC'sini açın ve Başarısız İstekler'i seçerek bir sorunu tanımlamaya yardımcı olacak hataları arayın. Aşağıdaki görüntüde bir örnek verilmiştir:
Hatalar için CA'daki uygulama olay günlüğünü gözden geçirin. Genellikle önceki adımda yer alan Başarısız İstekler'de gördüklerinize uyan hatalar görebilirsiniz. Aşağıdaki görüntüde bir örnek verilmiştir:
Sonraki adımlar
NDES ilke modülü isteği doğrularsa ve istek sertifika yetkilisine iletilirse, sonraki adım cihaza sertifika teslimini gözden geçirmektir.