Análisis de la dirección IP y de códigos de error en el archivo Inetpub.log

La dirección IP y el código de error del archivo Inetpub.log puede proporcionar información importante sobre la comunicación con AD CS.

Un archivo Inetpub.log con una solicitud de certificado válida se parece a lo siguiente:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156

2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63

En el ejemplo anterior:

  • 10.0.1.3 es la dirección IP del Jamf AD CS Connector.

  • 10.0.1.10 es la dirección IP del origen de la solicitud: Jamf Pro o un proxy inverso/equilibrador de carga.

  • 200 es el código de error o estado. 200 indica que la comunicación se procesó correctamente.

  • El 0 que va justo después de 200 es el subestado.

Analiza los siguientes problemas habituales en el archivo Inetpub.log:

  • Si los registros están en blanco, el servidor de Jamf Pro no se está comunicando con el Jamf AD CS Connector.

  • Si el registro contiene una solicitud de certificado, pero no una declaración de recuperación, el servidor de Jamf Pro se está comunicando con el Jamf AD CS Connector. En este caso, examina qué ha pasado con la solicitud de certificado (consulta más adelante los pasos de solución de problemas con la autoridad certificadora). El registro del servidor de Jamf Pro también puede ofrecer más detalles. Lo más probable es que el nombre de la CA sea incorrecto o que haya algún problema con la plantilla.

  • Si hay una declaración de recuperación, seguramente la comunicación entre el servidor de Jamf Pro y la CA se está procesando de forma correcta. Esto indica que el problema no está al nivel de AD CS/CA y requiere aplicar medidas en el servidor de Jamf Pro o en el dispositivo de destino.

  • Un estado 401 es un error «No autorizado».

  • Un estado 403 es un error «Prohibido».

  • 403.7 es una combinación específica de error Prohibido y código de subestado.

    Si quieres más información, consulta la siguiente documentación de Microsoft:

    Error al abrir una página web de IIS: 403.7 Prohibido: Certificado de cliente obligatorio

  • 403.16 es una combinación específica de error Prohibido y código de subestado.

    Si quieres más información, consulta la siguiente documentación de Microsoft:

    Error HTTP 403.16 al intentar obtener acceso a un sitio web hospedado en IIS 7.0

  • Si se ha registrado una declaración de solicitud pero no hay ninguna declaración de recuperación, los registros del servidor de Jamf Pro pueden indicar el motivo. Sin embargo, se puede consultar lo siguiente en el lado de la CA de Microsoft Windows.

  1. En el servidor Windows, accede a Certificate authority tool (Herramienta de autoridad certificadora) > Manage templates (Administrar plantillas) y selecciona la plantilla en cuestión.
  2. Haz clic en la pestaña General y comprueba el texto del Template name field (Campo de nombre de plantilla) (no el campo Template display name [Nombre para mostrar de plantilla]).

  3. Haz clic en la pestaña Security (Seguridad) y asegúrate de que el ordenador de Jamf AD CS Connector se ha añadido con el privilegio Enroll (Inscribir) permitido:

  4. Comprueba las solicitudes fallidas en la herramienta de autoridad certificadora.

    En la mayoría de casos, proporciona información más detallada sobre la solicitud fallida.