Inetpub.log ファイルの IP アドレスとエラーコードは、AD CS 通信に関する重要な情報を提供します。
有効な証明書要求を含む Inetpub.log ファイルは、以下のようになります。
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) cs(Referer) sc-status sc-substatus sc-win32-status time-taken
2021-08-01 14:04:07 10.0.1.3 POST /api/v1/certificate/request - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 2156
2021-08-01 14:04:10 10.0.1.3 POST /api/v1/certificate/retrieve - 443 AdcsProxyAccessUser 10.0.1.10 Java-SDK - 200 0 0 63上記の例の場合:
10.0.1.3は Jamf AD CS Connector の IP アドレスです。10.0.1.10はリクエストのソースの IP アドレスです。Jamf Pro またはリバースプロキシ/ロードバランサー。200はエラーコードまたはステータスです。200は通信が成功したことを示します。200の直後に続く0はサブステータスです。
次の一般的な問題について、Inetpub.log ファイルを分析します。
ログが空白の場合、Jamf Pro サーバは Jamf AD CS Connector と通信していません。
ログに証明書要求が含まれているが、取得ステートメントが含まれていない場合、Jamf Pro サーバは Jamf AD CS Connector と通信しています。これが発生した場合は、証明書要求で何が起こったかを調べます (認証局のトラブルシューティング手順については以下を参照)。Jamf Pro サーバログはより詳細な情報も提供できます。ほとんどの場合、CA 名が正しくないか、テンプレートに問題があります。
取得ステートメントが存在する場合、Jamf Pro サーバと CA 間の通信は成功している可能性が高くなります。これは、問題が AD CS/CA レベルにないことを示し、Jamf Pro サーバまたは対象デバイスについてさらなるトラブルシューティングが必要であることを示しています。
401 ステータスは Unauthorized (未承認) エラーです。
403 ステータスは Forbidden (禁止) エラーです。
403.7 は、Forbidden (禁止) エラーとサブステータスコードの特定の組み合わせです。
詳しくは、以下の Microsoft の資料を参照してください。
403.16 は、Forbidden (禁止) エラーとサブステータスコードの特定の組み合わせです。
詳しくは、以下の Microsoft の資料を参照してください。
要求ステートメントがログに記録されているが、取得ステートメントが存在しない場合、Jamf Pro サーバログに理由が示される場合がありますが、Microsoft Windows CA 側では、以下のことを確認できます。
- 一般 (General) タブをクリックし、テンプレート名 (Template name) フィールド (テンプレート表示名フィールドではない) のテキストを検証します。
- セキュリティ (Security) タブをクリックし、Jamf AD CS Connector コンピュータが登録 (Enroll) 権限が許可された状態で追加されていることを確認します。
- 認証局ツールで失敗した要求を確認します。
ほとんどの場合、失敗した要求に関するより詳細な情報が提供されます。