Inetpub.log ファイルの IP アドレスとエラーコードの分析
Inetpub.log ファイルの IP アドレスとエラーコードは、AD CS 通信に関する重要な情報を提供します。
有効な証明書要求を含む Inetpub.log ファイルは、以下のようになります:
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156
2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63上記の例の場合:
-
10.0.1.3は、Jamf AD CS Connector の IP アドレスです。 -
10.0.1.10は、要求のソースの IP アドレスです。Jamf Pro またはリバースプロキシ/ロードバランサー。 -
200は、エラーコードまたはステータスです。200は、通信が成功したことを示します。 -
200の直後に続く0は、サブステータスです。
Inetpub.log ファイルを分析して、以下の一般的な問題を確認します:
-
ログが空白の場合、Jamf Pro サーバは Jamf AD CS Connector と通信していません。
-
ログに証明書要求が含まれているが、取得ステートメントが含まれていない場合、Jamf Pro サーバは Jamf AD CS Connector と通信しています。これが発生した場合は、証明書要求で何が起こったかを調べます (認証局 (CA) のトラブルシューティング手順については以下を参照)。Jamf Pro サーバログはより詳細な情報も提供できます。ほとんどの場合、CA 名が正しくないか、テンプレートに問題があります。
-
取得ステートメントが存在する場合、Jamf Pro サーバと CA 間の通信は成功している可能性が高くなります。これは、問題が AD CS/CA レベルにないことを示し、Jamf Pro サーバまたはターゲットデバイスについてさらなるトラブルシューティングが必要であることを示しています。
-
401 ステータスは Unauthorized (未承認) エラーです。
-
403 ステータスは Forbidden (禁止) エラーです。
-
403.7 は、Forbidden (禁止) エラーとサブステータスコードの特定の組み合わせです。
詳しくは、以下の Microsoft の資料を参照してください:
-
403.16 は、Forbidden (禁止) エラーとサブステータスコードの特定の組み合わせです。
詳しくは、以下の Microsoft の資料を参照してください:
要求ステートメントがログに記録されているが、取得ステートメントが存在しない場合、Jamf Pro サーバログに理由が示される場合がありますが、Microsoft Windows CA 側では、以下のことを確認できます:
- General (一般) タブをクリックし、Template name field (テンプレート名フィールド) (Template display name (テンプレート表示名) フィールドではない) のテキストを確認します。
- Security (セキュリティ) タブをクリックし、Jamf AD CS Connector コンピュータが Enroll (登録) 権限が許可された状態で追加されていることを確認します:
- 認証局ツールで失敗した要求を確認します。
ほとんどの場合、失敗した要求に関するより詳細な情報が提供されます。
