Análisis de la dirección IP y de códigos de error en el archivo Inetpub.log
La dirección IP y el código de error del archivo Inetpub.log puede proporcionar información importante sobre la comunicación con AD CS.
Un archivo Inetpub.log con una solicitud de certificado válida se parece a lo siguiente:
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156
2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63
En el ejemplo anterior:
-
10.0.1.3
es la dirección IP del Jamf AD CS Connector. -
10.0.1.10
es la dirección IP del origen de la solicitud: Jamf Pro o un proxy inverso/equilibrador de carga. -
200
es el código de error o estado.200
indica que la comunicación se procesó correctamente. -
El
0
que va justo después de200
es el subestado.
Analiza los siguientes problemas habituales en el archivo Inetpub.log
:
-
Si los registros están en blanco, el servidor de Jamf Pro no se está comunicando con el Jamf AD CS Connector.
-
Si el registro contiene una solicitud de certificado, pero no una declaración de recuperación, el servidor de Jamf Pro se está comunicando con el Jamf AD CS Connector. En este caso, examina qué ha pasado con la solicitud de certificado (consulta más adelante los pasos de solución de problemas con la autoridad certificadora). El registro del servidor de Jamf Pro también puede ofrecer más detalles. Lo más probable es que el nombre de la CA sea incorrecto o que haya algún problema con la plantilla.
-
Si hay una declaración de recuperación, seguramente la comunicación entre el servidor de Jamf Pro y la CA se está procesando de forma correcta. Esto indica que el problema no está al nivel de AD CS/CA y requiere aplicar medidas en el servidor de Jamf Pro o en el dispositivo de destino.
-
Un estado 401 es un error «No autorizado».
-
Un estado 403 es un error «Prohibido».
-
403.7 es una combinación específica de error Prohibido y código de subestado.
Si quieres más información, consulta la siguiente documentación de Microsoft:
Error al abrir una página web de IIS: 403.7 Prohibido: Certificado de cliente obligatorio
-
403.16 es una combinación específica de error Prohibido y código de subestado.
Si quieres más información, consulta la siguiente documentación de Microsoft:
Error HTTP 403.16 al intentar obtener acceso a un sitio web hospedado en IIS 7.0
Si se ha registrado una declaración de solicitud pero no hay ninguna declaración de recuperación, los registros del servidor de Jamf Pro pueden indicar el motivo. Sin embargo, se puede consultar lo siguiente en el lado de la CA de Microsoft Windows.