Analyse von IP-Adresse und Fehlercodes in der Datei „Inetpub.log“

IP-Adresse und Fehlercode in der Datei Inetpub.log können wichtige Informationen zur AD CS Kommunikation liefern.

Eine Inetpub.log Datei mit einer gültigen Zertifikatanforderung sind folgendermaßen aus:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156

2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63

Im Beispiel oben:

  • 10.0.1.3 ist die IP-Adresse des Jamf AD CS Connectors.

  • 10.0.1.10 ist die IP-Adresse der Quelle der Anforderung: Jamf Pro oder Reverse Proxy/Lastverteilung.

  • 200 ist der Fehlercode oder -status. 200 zeigt an, dass die Kommunikation erfolgreich war.

  • Die 0, die auf die 200 folgt, ist der Substatus.

Prüfen Sie die Datei Inetpub.log auf folgende gängige Fehler:

  • Wenn die Protokolle leer sind, kommuniziert der Jamf Pro Server nicht mit dem Jamf AD CS Connector.

  • Wenn die Protokolle eine Zertifikatanforderung enthalten aber keinen Abrufausdruck, kommuniziert der Jamf Pro Server mit dem Jamf AD CS Connector. Ist dies der Fall, prüfen Sie, was mit der Zertifikatanforderung vorgefallen ist (eine Anleitung für die Behebung von Fehlern mit der Zertifizierungsstelle finden Sie unten). Das Jamf Pro Serverprotokoll kann zusätzlich Aufschluss geben. Wahrscheinlich ist der CA-Name falsch oder es liegt ein Problem mit der Vorlage vor.

  • Wenn ein Abrufausdruck vorhanden ist, funktioniert die Kommunikation zwischen Jamf Pro Server und Zertifizierungsstelle wahrscheinlich. Das zeigt an, dass das Problem nicht auf AD CS/CA Ebene vorliegt und erfordert die weitere Fehleranalyse auf dem Jamf Pro Server oder dem Zielgerät.

  • Ein 401 Status ist ein Fehler vom Typ „Nicht genehmigt“.

  • Ein 403 Status ist ein Fehler vom Typ „Unzulässig“.

  • 403.7 ist eine spezifische Kombination aus einem Fehler vom Typ „Unzulässig“ und einem Substatus-Code.

    Weitere Informationen finden Sie in der folgenden Dokumentation von Microsoft:

    Fehler beim Öffnen einer IIS-Webseite: 403.7 Forbidden: Client certificate required

  • 403.16 ist eine spezifische Kombination aus einem Fehler vom Typ „Unzulässig“ und einem Substatus-Code.

    Weitere Informationen finden Sie in der folgenden Dokumentation von Microsoft:

    HTTP-Fehler 403.16 beim Versuch, auf eine Website zuzugreifen, die auf IIS 7.0 gehostet wird

  • Wenn ein Anforderungsausdruck erfasst wurde, aber kein Abrufausdruck vorhanden ist, können die Jamf Pro Serverprotokolle über den Grund Aufschluss geben. Von Seiten der Microsoft Windows CA kann Folgendes geprüft werden:

  1. Rufen Sie im Windows Server Certificate authority tool (Tool für Zertifizierungsstelle) > Manage templates (Vorlagen verwalten) auf, und wählen Sie die verwendete Vorlage.
  2. Klicken Sie auf den Tab Allgemein und prüfen Sie den Text im Feld Name der Vorlage (nicht im Feld Template display name (Anzeigename der Vorlage)).

  3. Klicken Sie auf den Tab Sicherheit und vergewissern Sie sich, dass der Jamf AD CS Connector Computer hinzugefügt wurde und die Berechtigung Enroll (Registrieren) zulässig ist:

  4. Prüfen Sie die fehlgeschlagenen Anforderungen im Tool „Zertifizierungsstelle“.

    In den meisten Fällen enthält es ausführlichere Informationen zur fehlgeschlagenen Anforderung.