Inhalt

The case of the... Intune SCEP Profil hängt im Status "Pending"

The case of the...

In dieser Kategorie veröffentliche ich Blogeinträge, in denen ich ein Problem, die Lösung und den Weg dorthin erläutere.

Der Name ist Homage an “The Case of the Unexplained” von Mark Russinovich.

Der Fehler

Zitat
Trust of the root CA is best established by deploying a trusted certificate profile to the same group that receives the SCEP certificate profile. […] To use a SCEP certificate profile, a device must have also received the trusted certificate profile that provisions it with your Trusted Root CA certificate.

Diese beiden Sätze in der Intune Dokumentation sind sehr wichtig wenn man ein SCEP Profil verteilen möchte.
Denn wenn man Sie nicht exakt befolgt, kommt es zu folgendem Phänomen.

/intune-scep-profil-hangt-im-status-pending/images/SCEPProfilPending.png

Das SCEP Profil in Intune wird, auch nach langem Warten und erfolgreichem Synchronisieren des Clients, nicht auf das Gerät installiert.

Update: 22.03.2021

Mein Pull Request wurde zwar nicht 1:1 übernommen, aber die Supportmatrix von Lu Chen in den offiziellen Troubleshooting Guide eingearbeitet.

/intune-scep-profil-hangt-im-status-pending/images/UpdatedDocuArticel.png

Die Analyse

Windows 10 Client

Auf dem Windows 10 Gerät wurde im Eventlog die Event ID 306 nicht registriert.

Get-WinEvent -ProviderName "Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider" | ? Id -eq 306

Wenn dies nicht der Fall ist, ist davon auszugehen, dass die Policy das Gerät nicht erreicht hat.

Genauer geprüft werden kann dies in der Intune Logdatei MDMDiagHtmlReport.html.

Diese kann, zusammen mit anderen Loginformationen, über in den Windows 10 Einstellungen erstellt werden.

“Einstellungen” -> “Konten” -> “Auf Arbeits- oder Schulkonto zugreifen” auswählen und im rechten Bereich “Exportiert Ihre Verwaltungsprotokolldateien.” anklicken. Den nachfolgenden Dialog mit “Exportieren” bestätigen.

/intune-scep-profil-hangt-im-status-pending/images/ExportMDMDiagnostics.png

Die Datei MDMDiagReport.cab liegt anschließend im Ordner C:\Users\Public\Documents\MDMDiagnostics und aus dieser muss MDMDiagHtmlReport.html extrahiert werden. In der Log Datei reicht eine Suche nach dem Configuration Service Providernamen ClientCertificateInstall. Ist dieser nicht auffindbar wurde das SCEP Profil nicht verteilt.

IIS Server

Die zweite Anlaufstation kann noch der der Server, auf dem die NDES Rolle läuft, sein. Auf diesem müsste im nächsten Schritt geprüft werden, ob im IIS Log unter C:\inetpub\logs\LogFiles\W3SVC1 eingehende Verbindungen für den SCEP Dienst geloggt werden. Diese lassen sich daran erkennen, dass die URI /certsrv/mscep/mscep.dll angefragt wird.

Mit großer Sicherheit wird sich der entsprechende Client nicht hier melden. Es ist aber guter Punkt für weitere Analysen, wenn die erste Hürde genommen wurde, aber immer noch Probleme auftreten.

Die Ursache

Ursächlich für das Verhalten war, in diesem Fall, die fehlerhafte Verteilung des Trusted Certificate Profiles über Intune.

Das SCEP Profil wurde einer Gerätegruppe, das Trusted Certificate Profil jedoch einer Benutzergruppe zugewiesen. Im Ergebnis heißt diese Konstellation: Es passiert nichts.

Es reicht also nicht, dass der Benutzer der das Gerät nutzt der CA vertraut, sondern um das SCEP Profil zu verteilen muss auch das Gerät dieses Profil erhalten.

Supportmatrix

Trusted certificate profiles assigned to user to device both
SCEP Profile assigned to user Ja Nein Ja
SCEP Profile assigned to device Nein Ja Ja

Die Lösung

Man muss nur der Benutzer- oder Gerätegruppe das entsprechende Trusted Certificate Profil zuweisen und bei der nächsten Synchronisierung des Client wird nun auch das SCEP Zertifikat korrekt angewendet.

MDMDiagHtmlReport.html

/intune-scep-profil-hangt-im-status-pending/images/CertificateInstall.png

Eventlog

/intune-scep-profil-hangt-im-status-pending/images/EventId306.png

Info
Der Abschlusscode 0x2ab0003 weißt nicht auf einen Fehler hin, sondern wie Microsoft erläutert auf den Status DM_S_ACCEPTED_FOR_PROCESSING