Analyse de l’adresse IP et des codes d’erreur dans le fichier Inetpub.log

L’adresse IP et les codes d’erreurs dans le fichier Inetpub.log peuvent fournir des informations importantes sur la communication AD CS.

Un fichier Inetpub.log présentant une demande de certificat valide ressemble à ce qui suit :

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken

2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156

2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63

Dans l’exemple ci-dessus :

  • 10.0.1.3 est l’adresse IP du connecteur Jamf AD CS.

  • 10.0.1.10 est l’adresse IP de la source de la demande : Jamf Pro ou proxy inverse/répartiteur de charge.

  • 200 est le code d’erreur ou le statut. 200 indique que la communication a été établie avec succès.

  • Le 0 placé immédiatement après le 200 correspond au sous-statut.

Analysez le fichier Inetpub.log à la recherche des problèmes courants suivants :

  • Si les journaux sont vides, le serveur Jamf Pro ne communique pas avec le connecteur Jamf AD CS.

  • Si les journaux contiennent une demande de certificat, mais pas de confirmation de récupération, Jamf Pro communique avec le connecteur Jamf AD CS. Si cela se produit, examinez ce qui s’est produit avec la demande de certificat (voir ci-dessous pour les étapes du dépannage de l’autorité de certification). Le journal du serveur Jamf Pro peut également fournir plus de détails, en particulier si le nom de la CA est incorrect ou s’il y a un problème avec le modèle.

  • Si une confirmation de récupération est présente, la communication du serveur Jamf Pro à la CA et réciproquement fonctionne vraisemblablement correctement. Cela indique que le problème ne se situe pas au niveau d’AD CS/de la CA et qu’un dépannage plus approfondi du serveur Jamf Pro ou de l’appareil cible est requis.

  • Un statut 401 indique une erreur non autorisée.

  • Un statut 403 indique un accès interdit.

  • 403.7 est une combinaison spécifique d’un accès interdit et d’un code de sous-statut.

    Pour plus d’informations, reportez-vous à la documentation Microsoft suivante :

    Erreur lors de l’ouverture d’une page Web IIS : 403.7 Interdit : Certificat client requis

  • 403.16 est une combinaison spécifique d’un accès interdit et d’un code de sous-statut.

    Pour plus d’informations, reportez-vous à la documentation Microsoft suivante :

    Erreur HTTP 403.16 lorsque vous essayez d’accéder à un site Web hébergé sur IIS 7.0

  • Si une confirmation de demande est enregistrée, mais qu’aucune confirmation de récupération n’est présente, les journaux du serveur Jamf Pro peuvent renseigner sur la raison, mais du côté de la CA Microsoft Windows, ce qui suit peut être vérifié :

  1. Sur le serveur Windows, accédez à Outil de l’autorité de certification > Gérer les modèles, puis sélectionnez le modèle en cours d’utilisation.
  2. Cliquez sur l’onglet Général et vérifiez le texte dans le champ Nom du modèle (pas le champ Nom d’affichage du modèle).

  3. Cliquez sur l’onglet Sécurité et assurez-vous que l’ordinateur doté du connecteur Jamf AD CS est ajouté avec le privilège Enrôler autorisé :

  4. Vérifiez les demandes refusées dans l’outil de l’autorité de certification.

    Dans la plupart des cas, cela fournit des informations plus détaillées sur l’échec de la demande.