JAMFSoftwareServer.log ファイルの一般的なエラー

技術文書:Jamf Pro を利用した Active Directory 証明書サービス (AD CS) との統合
Solution
Application
Content Type
テクニカル資料
Utilities & Services
Jamf AD CS Connector
ft:locale
ja-JP

JAMFSoftwareServer.log ファイルでエラーを表示することで、一般的な問題をトラブルシューティングできます。一般的なエラーと解決策を以下に示します。

Jamf AD CS Connector は、クラスタ環境内のすべてのノードと通信します。トラブルシューティングを行うときは、すべてのノード上の Jamf Pro サーバログを確認する必要があります。Jamf Pro にログインすると、ブラウザタブに1つのアスタリスク * または2つのアスタリスク ** が表示されます。1つのアスタリスクは、セカンダリノードに接続されていることを示します。2つのアスタリスクは、プライマリノードに接続されていることを示します。Web アプリケーションから Jamf Pro サーバログをダウンロードする場合、ログインしているノードからのログのみがダウンロードされます。ただし、リクエストは他のノードによって処理されている可能性があります。詳しくは、資料 Primary and Secondary Web Application Responsibilities (プライマリおよびセカンダリ Web アプリケーションの責任) を参照してください。

SSL 証明書エラー 

2021-07-31 12:47:10,023 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因:
javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
IIS の Jamf AD CS Connector サーバ証明書と Jamf Pro PKI 設定を確認します。ロードバランサー/リバースプロキシが配置されている場合は、ロードバランサー/リバースプロキシのサーバ証明書を確認します。

テンプレートの問題

2021-07-31 14:45:09,581 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: CR_DISP_DENIED: Request denied
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
テンプレートまたは変数を確認します。

無効なパラメーター

2021-07-31 15:37:47,755 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: INTERNAL_ERROR: System.ArgumentException - CCertRequest::Submit: The parameter is incorrect. 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
Jamf Pro の PKI 証明書設定で CA 名を確認します。

無効な証明書の件名

2021-07-31 15:42:47,394 [ERROR] [-Pki-Pool-2] [ertificateInjectorService] - Failed to issue certificate for command c6fef8da-c73c-4068-a411-73739815ffad and payload E096CC55-C0D4-4202-91EF-6D84545D8CD0 improperly specified input name: 000000000000
java.lang.IllegalArgumentException: improperly specified input name: 000000000000
原因: 
java.io.IOException: Incorrect AVA format
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
フォーマットに CN= が欠落

認証局にアクセスできません

2021-07-31 15:51:21,554 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: INTERNAL_ERROR: System.Runtime.InteropServices.COMException - CCertRequest::Submit: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
Jamf Pro の PKI 証明書設定またはファイアウォール設定で CA の完全修飾ドメイン名 (FQDN) を確認します。

DNS の問題

2021-07-31 16:21:09,559 [ERROR] [-Pki-Pool-2] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
java.net.UnknownHostException: [myadcs.mydomain.devBAD]: Name or service not known
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
Jamf AD CS Connector の FQDN を確認します。

ファイアウォールの問題

2021-08-01 13:25:38,357 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
org.apache.http.conn.ConnectTimeoutException: Connect to [myadcs.mydomain.com:443 [myadcs.mydomain.com/10.0.1.3] failed: connect timed out
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
ファイアウォールを確認します。

クライアント証明書の問題

2021-08-01 14:00:54,234 [ERROR] [-Pki-Pool-7] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
org.springframework.web.client.HttpClientErrorException$Unauthorized: 401 Unauthorized: [<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">]
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
クライアント証明書を確認します。

信頼されたルート CA に誤りがある

2021-08-01 14:00:54,234 [ERROR] [-Pki-Pool-7] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
org.springframework.web.client.HttpClientErrorException: 403 Forbidden
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
Jamf AD CS Connector またはクライアント証明書の信頼されたルート CA を確認します。詳しくは、以下の Microsoft の資料を参照してください。Error when you open an IIS webpage (IIS ウェブページを開いたときのエラー): 403.7 Forbidden (403.7 禁止): Client certificate required (クライアント証明書が必要)

接続リセット

2021-08-01 14:00:54,234 [ERROR] [-Pki-Pool-7] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
org.springframework.web.client.ResourceAccessException: I/O error on POST request for "https://ADCSConnector.server.here/api/v1/certificate/request": Connection reset; nested exception is java.net.SocketException: Connection reset
IIS ログのエラー例:
2024-01-25 21:36:06 10.19.3.42 POST /api/v1/certificate/request - 443 - 18.224.191.224 Java-SDK - 403 7 64 1
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:

このエラーは、Jamf AD CS Connector サーバが Windows Server 2022を実行しており、ソフトウェアアップデートプログラムによって IIS が TLS 1.3プロトコルのデフォルトにアップデートされている可能性がある場合に発生します。

IIS マネージャでサイトバインディングを編集し、TLS 1.3 over TCP を無効にするチェックボックスをオンにして、Web サービスを再起動します。
Note:

また、レジストリまたはサードパーティのツールを使用して、TLS 1.3 over TCP を無効にすることもできます。

Jamf AD CS Connector 構成エラー

2024-08-08 15:24:25,741 [ERROR] [-Pki-Pool-1] [ertificatePayloadInjector] - Failed to get pending PKI payload certificate
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Request has failed with status INTERNAL_ERROR. Initiate another request in the future
原因:
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: INTERNAL_ERROR: System.NullReferenceException - Object reference not set to an instance of an object.
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:

Jamf Pro 11.9.0以降および Jamf AD CS Connector 1.0.0を使用している場合は、Jamf AD CS Connector のバージョンを1.1.0以降にアップグレードします。

証明書のテンプレート設定の問題

2022-04-07 11:18:41,130 [ERROR] [-Pki-Pool-2] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: CR_DISP_DENIED: Request denied
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
このエラーは次の複数の理由で発生する可能性があります。

  • $USERNAME などにマップされている変数を使用していますが、コンピュータレコードのユーザ名が空です。

  • 証明書のテンプレートの「リクエスト処理」で「サブジェクトの暗号化のプライベートキーをアーカイブする」が有効になっています。

  • 「証明書の発行と管理」権限が CA の Jamf AD CS Connector に付与されていません。認証されたユーザには、CA に対する「読み取り」権限が必要です。

  • Jamf AD CS Connector には、証明書のテンプレートに対する「登録」権限が必要です。認証されたユーザには、証明書のテンプレートに対する「読み取り」権限が必要です。

  • 「構成プロファイル」設定のテンプレート名が正しくありません。テンプレート名を確認するには、以下の手順を実行します。

    1. CA サーバで、サーバマネージャ、認証局の順に開きます。

    2. certsrv で、「証明書のテンプレート」を右クリックして、「管理」を選択します。

    3. 「証明書のテンプレート」で、使用している証明書のテンプレートを右クリックし、「プロパティ」を選択します。

    4. 「プロパティ」には、「テンプレート表示名:」と「テンプレート名:」が表示されます。テンプレート名は、Jamf Pro の構成プロファイル設定に入力する必要があります。

503 サービス利用不可エラー

2024-09-03 13:59:19,918 [ERROR] [Pki-Pool-45] [ertificatePayloadInjector] - Failed to get PKI payload certificate
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因:
org.springframework.web.client.HttpServerErrorException$ServiceUnavailable: 503 Service Unavailable: "<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd"><EOL><EOL><HTML><HEAD><TITLE>Service Unavailable</TITLE><EOL><EOL><META HTTP-EQUIV="Content-Type" Content="text/html; charset=UTF-8"></HEAD><EOL><EOL><BODY><h2>Service Unavailable</h2><EOL><EOL><hr><p>HTTP Error 503. The service is unavailable.</p><EOL><EOL></BODY></HTML><EOL><EOL>"
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
AdcsProxyPool が無効になっている場合、AdcsProxy サイトは HTTP 503応答を返します。イベントビューアを開き、Windows ログ > システムに移動して、エラーメッセージとイベント ID を確認します。
  • イベント ID 5021アプリケーションプール%1の ID が無効です。ID に指定されたユーザ名またはパスワードが間違っているか、ユーザにバッチログオン権限がない可能性があります。この問題を解決するには、AdcsProxyPool アプリケーションプールの ID として使用されるドメインサービスアカウントのユーザ名とパスワードを再入力します。次に、IIS サービスを再起動します。詳しくは、以下の Microsoft の資料を参照してください。イベント ID 5021 - IIS アプリケーションプールの可用性
  • イベント ID 5057アプリケーションプール%1は無効になっています。アプリケーションプール ID が無効であるため、Windows プロセスアクティブ化サービス (WAS) は、アプリケーションプールを処理するワーカープロセスを作成しませんでした。この問題を解決するには、ドメインサービスアカウントがコンピュータのローカル「IIS_USRS」グループに追加されていることを確認します。詳しくは、以下の Microsoft の資料を参照してください。イベント ID 5057 - IIS アプリケーションプールの可用性
  • イベント ID 5059
    アプリケーションプール%1は無効になっています。Windows プロセスアクティブ化サービス (WAS) では、アプリケーションプールを処理するワーカープロセスを開始したときにエラーが発生しました。この問題を解決するには、以下の手順を実行します。

    1. アプリケーションプール ID として使用されるアカウントがロックされていないことを確認します。

    2. アプリケーションプール ID アカウントのパスワードが期限切れの場合はリセットします。

    3. アプリケーションプール ID を内蔵アカウントからドメインアカウントに切り替えます。

    4. 別のドメインアカウントをアプリケーションプール ID として使用します。

    5. 共有データおよび構成フォルダに対するアプリケーションプール ID アカウントに「フルコントロール」権限を付与します。

    6. アプリケーションプール ID アカウントに「バッチジョブとしてログオン」権限を付与します。

    7. アアプリケーションプール ID アカウントを IIS_USRS グループに追加します。

    8. applicationHost.config のアカウント情報に入力ミスがないか確認します。

    9. アプリケーションプール、Web サイト、共有構成 (使用されている場合) を再作成します。

    10. applicationHost.config で同じ暗号化プロバイダ (IISWASOnlyCngProvider または IISCngProvider) を使用していることを確認します。

    11. アプリケーションプールプロセスモデルを LogonBatch から LogonService に変更します。

    12. IIS で共有構成が設定されている場合は、同じ IISWASKey を使用します。

    詳しくは、以下の Microsoft の資料を参照してください。イベント ID 5059 - IIS アプリケーションプールの可用性

証明書の有効期限の競合

2021-08-01 14:00:54,234 [ERROR] [-Pki-Pool-7] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
com.jamfsoftware.pki.adcs.exception.AdcsConnectorCertificateNotIssuedException: INTERNAL_ERROR: System.Runtime.InteropServices.COMException - CCertRequest::Submit: An internal error occurred. 0x80090020 (-2146893792 NTE_FAIL)
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:
発行 CA の証明書の有効期限が、展開しようとしている証明書の有効期限より前になると、証明書の展開は失敗し、このエラーがサーバログに表示されます。例えば、リクエストで使用されている証明書のテンプレートの有効期間が3年で、発行 CA の証明書の有効期限がそれより前に切れる場合、その証明書の有効期間が発行 CA の有効期間よりも長くなるため、その証明書を発行することはできません。

500内部サーバエラー

2021-08-01 14:00:54,234 [ERROR] [-Pki-Pool-7] [ertificatePayloadInjector] - Problem requesting certificate from ADCS
com.jamfsoftware.jss.core.service.certapi.CertificateRequestServiceException: Problem requesting certificate from ADCS
原因: 
org.springframework.web.client.HttpServerErrorException$InternalServerError: 500 Internal Server Error:
GUI:
保留、または失敗時のメッセージを表示:"プロファイルへの証明書の挿入に失敗しました"
解決策:

このエラーは通常、バージョン4.8以前の .NET Framework、および Jamf AD CS Connector 1.1.0がインストールされている場合に発生します.NET Framework を4.8以降にアップデートします。

問題が .NET Framework でない場合は、Jamf AD CS Connector サーバ上のブラウザを使用して次の URL に移動します。https://FQDN/api/v1/certificate/request

Note:

FQDN を、Jamf AD CS Connector で使用されている実際のドメイン名に置き換えてください。

そのページでは、ヘッダーに500エラーが表示され、下部に HResult コードが表示されます。次の Microsoft ドキュメントで HResult コードを見つけます。HTTP Error 500.0 - IIS の Web ページを開いたときに発生する内部サーバーエラー