我目前有以下设置,所有服务器都是 Windows 2012 R2:
- Intune 订阅
- Web 应用程序代理服务器
- 离线 CA
- 发证 CA
- 带有 SCCM CRP 的 NDES 服务器
- SCCM 2012 R2
- Windows Phone 8.1 设备
我的问题如下,我在 SCCM 中创建了根 CA 配置文件和 SCEP 配置文件,并将其部署到 Intune 用户集合。当我尝试连接到 NDES 服务器时(https://ndes.bla.com),我可以成功加载页面。在 Windows Phone 8.1 设备上执行 Workplace Join 后,WAP 一度不再将请求转发到 NDES 服务器,它们超时。这导致设备无法从 NDES 服务器获取证书。我发送到https://ndes.bla.comWP8.1 或任何其他浏览器、WAP 服务器上发布的其他网站(例如,https://fs.bla.com) 确实继续响应。重新启动 WAP 服务器上的 Web 应用程序代理服务,允许我再次从外部访问 NDES(包括从设备访问),直到我再次加入 Windows Phone 8.1 设备。
WAP 服务器上的 HTTPERR1.log 显示如下条目:
2014-08-14 23:31:10 xxx.xxx.xxx.xxx 56872 yyy.yyy.yyy.yyy 443 HTTP/1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=PKIOperation&message=MIJLHAYJKo(截断,总请求 2048 字节)2qNaTJX/kpZ - - Client_Reset -
2014-08-14 23:32:10 xxx.xxx.xxx.xxx 56873 yyy.yyy.yyy.yyy 443 HTTP/1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=PKIOperation&message=MIJLHAYJK(截断,总请求 2048 字节)tJQKpRz2qNaTJX/kpZ - - 客户端重置 -
2014-08-15 01:29:04 xxx.xxx.xxx.xxx 56953 yyy.yyy.yyy.yyy 443 HTTP/1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=MDM - - Client_Reset -
但仅在我尝试激活 Windows Phone 之后,如果我事先从手机上执行手动 GET,它才会让我下载文件,然后前两个文件也可能会在日志中被截断......
- 在 WAP 服务器和 NDES 服务器上使用公共信任的 CA 证书。
- 当客户端位于本地网络中时,部署 SCEP 配置文件会成功,从而绕过 WAP 服务器。
- 我已将 MaxFieldLength 和 MaxRequestBytes 添加到 WAP 服务器上的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters 的 65534 处。
- 从内部成功的客户端证书部署来看,我希望能够看到完整的请求,这样我就可以从外部连接手动尝试,任何有关这方面的提示都会受到欢迎。
答案1
这是 Web 应用程序代理的一个已知限制。发生这种情况的原因是 NDES 标头大于 WAP 可以处理的范围。团队已意识到这一点,据我了解,他们正在努力解决此问题。敬请期待。