تكوين دعم ISE SCEP ل BYOD

خيارات التنزيل

  • PDF     (740.2 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (504.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (402.5 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٠ أغسطس ٢٠١٦
معرّف المستند:116068

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند الخطوات التي يتم إستخدامها لتكوين خدمة تسجيل أجهزة شبكة Microsoft (NDES) وبروتوكول تسجيل الشهادة البسيط (SCEP) بنجاح لإحضار الجهاز الخاص بك (BYOD) على محرك التعرف على خدمات Cisco (ISE).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • ISE الإصدار 1.1.1 أو إصدار أحدث
  • نظام التشغيل Microsoft Windows Server 2008 R2
  • نظام التشغيل Microsoft Windows Server 2012 Standard
  • البنية الأساسية للمفتاح العام (PKI) والشهادات

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • ISE الإصدار 1.1.1 أو إصدار أحدث
  • Windows Server 2008 R2 SP1 مع تثبيت الإصلاحات العاجلة KB2483564 و KB2633200
  • نظام التشغيل Windows Server 2012 Standard

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي).  إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر. 

يتم توفير المعلومات المتعلقة بخدمات شهادات Microsoft كدليل خاص ب Cisco BYOD. ارجع إلى Microsoft TechNet كمصدر نهائي للحقيقة بالنسبة لهيئة شهادة Microsoft وخدمة تسجيل أجهزة الشبكة (NDES) وتكوينات الخادم المرتبطة ب SCEP. 

معلومات أساسية

تتمثل إحدى مزايا تنفيذ BYOD الذي تم تمكين ISE به من Cisco في قدرة المستخدمين النهائيين على إجراء تسجيل جهاز الخدمة الذاتية. وهذا يزيل العبء الإداري على تقنية المعلومات من أجل توزيع بيانات اعتماد المصادقة وتمكين الأجهزة على الشبكة. يكمن جوهر حل BYOD في عملية تزويد متلقي الشبكة، والتي تسعى لتوزيع الشهادات المطلوبة على الأجهزة التي يملكها الموظف. من أجل تلبية هذا المتطلب، يمكن تكوين مرجع شهادات Microsoft (CA) من أجل أتمتة عملية تسجيل الشهادة باستخدام SCEP.

تم إستخدام SCEP لسنوات في بيئات الشبكة الخاصة الظاهرية (VPN) من أجل تسهيل تسجيل الشهادة وتوزيعها على العملاء وموجهات الوصول عن بعد. يتطلب تمكين وظائف SCEP على خادم Windows 2008 R2 تثبيت NDES. أثناء تثبيت دور NDES، يتم أيضا تثبيت خادم ويب Microsoft Internet Information Services (IIS). يتم إستخدام IIS لإنهاء طلبات واستجابات تسجيل HTTP أو HTTPS SCEP بين CA وعقدة نهج ISE.

يمكن تثبيت دور NDES على مرجع مصدق حالي، أو يمكن تثبيته على خادم عضو. في عملية نشر مستقلة، يتم تثبيت خدمة NDES على مرجع مصدق حالي يتضمن خدمة مرجع مصدق، واختياريا، خدمة تسجيل الويب لسلطة الشهادات. في عملية نشر موزعة، يتم تثبيت خدمة NDES على خادم عضو. وبعد ذلك، يتم تكوين خادم NDES الموزع من أجل الاتصال ب CA جذر أو جذر فرعي للتدفق.  في هذا السيناريو، يتم إجراء تعديلات السجل الموضحة في هذا المستند على خادم NDES باستخدام القالب المخصص، حيث توجد الشهادات على المرجع المصدق للتدفق.

سيناريوهات نشر CA/NDES المختبرة

يقدم هذا القسم نظرة عامة مختصرة على سيناريوهات نشر CA/NDES التي تم إختبارها في مختبر Cisco. ارجع إلى Microsoft TechNet كمصدر نهائي للحقيقة الخاصة بتكوينات الخوادم المرتبطة ب SCEP و NDES و Microsoft CA.

عمليات النشر المستقلة

عند إستخدام ISE في سيناريو إثبات صحة المفاهيم (PoC)، من الشائع نشر جهاز مستقل يعمل بنظام التشغيل Windows 2008 أو 2012 ويعمل كوحدة تحكم بالمجال ل Active Directory (AD) وموصل المرجع المصدق الجذر وخادم NDES:

عمليات النشر الموزعة

عندما يتم دمج ISE في بيئة إنتاج Microsoft AD/PKI الحالية، فمن الشائع أكثر رؤية الخدمات الموزعة عبر خوادم Windows 2008 أو 2012 المختلفة. اختبرت Cisco سيناريوهين لعمليات النشر الموزعة.

توضح هذه الصورة السيناريو الأول الذي تم إختباره لعمليات النشر الموزعة:

توضح هذه الصورة السيناريو الثاني المختبر لعمليات النشر الموزعة:

إصلاحات هامة ل Microsoft

قبل تكوين دعم SCEP ل BYOD، تأكد من أن خادم Windows 2008 R2 NDES يحتوي على هذه الإصلاحات العاجلة من Microsoft المثبتة:

تحذير: عند تكوين Microsoft CA، من المهم فهم أن ISE لا يدعم خوارزمية توقيع RSAa-PSS. توصيك Cisco بتكوين سياسة CA حتى تستخدم sha1WithRSAEncryption أو sha256WithRSAEncryption بدلا من ذلك.

منافذ وبروتوكولات BYOD الهامة

فيما يلي قائمة بمنافذ BYOD وبروتوكولاتها الهامة:

  • إمداد TCP: إعداد 8909: معالج التثبيت من Cisco ISE (أنظمة التشغيل Windows و Macintosh (OS))

  • TCP: إعداد 443: تثبيت المعالج من Google Play (Android)

  • بروتوكول التحكم في الإرسال (TCP): إعداد بروتوكول 8905: عملية تزويد العميل

  • بروتوكول TCP: معيار 80 أو بروتوكول TCP: وكيل بروتوكول SCEP طراز 443 إلى CA (استنادا إلى تكوين عنوان URL الخاص ببروتوكول SCEP RA)

ملاحظة: للحصول على أحدث قائمة بالمنافذ والبروتوكولات المطلوبة، ارجع إلى دليل تثبيت الأجهزة ISE 1.2.

التكوين

أستخدم هذا القسم لتكوين دعم NDES و SCEP ل BYOD على ISE.

تعطيل متطلبات كلمة مرور تحدي تسجيل SCEP

بشكل افتراضي، يستخدم تنفيذ Microsoft SCEP (MSCEP) كلمة مرور تحدي ديناميكية لمصادقة العملاء ونقاط النهاية خلال عملية تسجيل الشهادة. مع وجود متطلبات التكوين هذه، يجب عليك الاستعراض إلى واجهة المستخدم الرسومية (GUI) الخاصة بويب لمسؤول MSCEP على خادم NDES لإنشاء كلمة مرور عند الطلب. يجب تضمين كلمة المرور هذه كجزء من طلب التسجيل.

في نشر BYOD، فإن متطلبات كلمة مرور التحدي تخالف الغرض من حل الخدمة الذاتية للمستخدم. لإزالة هذا المتطلب، يجب تعديل مفتاح التسجيل هذا على خادم NDES:

  1. انقر على بدء وأدخل regedit في شريط البحث.

  2. انتقل إلى الكمبيوتر > HKEY_LOCAL_MACHINE > البرامج > Microsoft > التشفير > MSCEP > فرضكلمة المرور.

  3. تأكد من تعيين قيمة EnforcementPassword على 0 (القيمة الافتراضية هي 1).

تقييد تسجيل SCEP إلى عقد ISE المعروفة

في بعض سيناريوهات النشر، قد يكون من المفضل تقييد إتصالات SCEP على قائمة محددة من عقد ISE المعروفة. ويمكن تحقيق ذلك باستخدام ميزة عنوان IPv4 وقيود المجال في IIS:

  1. افتح IIS وانتقل إلى موقع ويب /CertSrv/mscep.



  2. انقر نقرا مزدوجا فوق الأمان > عنوان IPv4 وقيود المجال. أستخدم إجراءات إضافة السماح بالإدخال وإضافة رفض الإدخال للسماح بالوصول إلى محتوى الويب أو تقييده استنادا إلى عناوين IPv4 لعقدة ISE أو أسماء المجالات. أستخدم الإجراء تحرير إعدادات الميزة لتحديد قاعدة وصول افتراضية لعملاء غير محددين.

تمديد طول عنوان URL في IIS

من الممكن أن يقوم ISE بإنشاء عناوين URL طويلة جدا بالنسبة لخادم ويب IIS. لتجنب هذه المشكلة، يمكن تعديل تكوين IIS الافتراضي للسماح بعناوين URL أطول. دخلت هذا أمر من ال NDES نادل CLI:

%systemroot%\system32\inetsrv\appcmd.exe set config /section:system.webServer/
 security/requestFiltering /requestLimits.maxQueryString:"8192" /commit:apphost

ملاحظة: قد يختلف حجم سلسلة الاستعلام وفقا لتكوين ISE ونقطة النهاية. دخلت هذا أمر من ال NDES نادل CLI مع امتياز إداري.

نظرة عامة على قالب الشهادة

يمكن لمسؤولي Microsoft CA تكوين واحد أو أكثر من القوالب المستخدمة لتطبيق سياسات التطبيق على مجموعة مشتركة من الشهادات. تساعد هذه النهج في تحديد الوظيفة التي تستخدم لها الشهادة والمفاتيح المقترنة. توجد قيم نهج التطبيق في حقل إستخدام المفتاح الموسع (EKU) للشهادة. يقوم المصدق بتحليل القيم في حقل EKU لضمان إمكانية إستخدام الشهادة المقدمة من العميل للوظيفة المقصودة. وتتضمن بعض الاستخدامات الأكثر شيوعا مصادقة الخادم ومصادقة العميل وشبكة VPN IPSec والبريد الإلكتروني. وفيما يتعلق ب ISE، تتضمن قيم EKU الأكثر إستخداما مصادقة الخادم و/أو العميل.

على سبيل المثال، عند الاستعراض إلى موقع ويب بنكي آمن، يتم تكوين خادم ويب الذي يعالج الطلب بشهادة تحتوي على نهج تطبيق لمصادقة الخادم. عندما يتلقى الخادم طلب HTTPS، فإنه يرسل شهادة مصادقة الخادم إلى مستعرض ويب المتصل للمصادقة. النقطة المهمة هنا هي أن هذا هو تبادل أحادي الإتجاه من الخادم إلى العميل. فيما يتعلق ب ISE، فإن الاستخدام الشائع لشهادة مصادقة الخادم هو الوصول إلى واجهة المستخدم الرسومية (GUI) للمسؤول. يرسل ISE الشهادة التي تم تكوينها إلى المستعرض المتصل ولا يتوقع إستلام شهادة مرة أخرى من العميل.

عندما يتعلق الأمر بخدمات مثل BYOD التي تستخدم EAP-TLS، فيفضل المصادقة المتبادلة. لتمكين تبادل الشهادات ثنائي الإتجاه هذا، يجب أن يحتوي القالب المستخدم لإنشاء شهادة هوية ISE على نهج تطبيق أدنى لمصادقة الخادم. يستوفي قالب شهادة خادم الويب هذا المتطلب. يجب أن يحتوي قالب الشهادة الذي يقوم بإنشاء شهادات نقطة النهاية على نهج تطبيق أدنى لمصادقة العميل. يستوفي قالب شهادة المستخدم هذا المتطلب. إذا قمت بتكوين ISE لخدمات مثل Inline Policy Enforcement Point (iPEP)، فيجب أن يحتوي القالب المستخدم لإنشاء شهادة هوية خادم ISE على كل من سمات مصادقة العميل والخادم إذا كنت تستخدم إصدار ISE 1.1.x أو إصدار سابق. وهذا يسمح للمسؤول والعقد المضمنة بمصادقة بعضها البعض بشكل متبادل. تمت إزالة التحقق من EKU الخاص ب iPEP في الإصدار 1.2 من ISE، مما يجعل هذا الشرط أقل أهمية.

يمكنك إعادة إستخدام Microsoft CA Web Server وقوالب المستخدم الافتراضيين، أو يمكنك نسخ قالب جديد وإنشاؤه باستخدام العملية المحددة في هذا المستند. استنادا إلى متطلبات الشهادة هذه، يجب تخطيط تكوين CA وشهادات ISE والنقطة الطرفية الناتجة بعناية لتقليل أي تغييرات تكوين غير مرغوب فيها عند تثبيتها في بيئة إنتاج.

تكوين قالب الشهادة

وكما تمت الإشارة إلى ذلك في المقدمة، يستخدم بروتوكول SCEP على نطاق واسع في بيئات شبكات VPN عبر بروتوكول IPSec. ونتيجة لذلك، يقوم تثبيت دور NDES بتكوين الخادم تلقائيا لاستخدام قالب IPSec (الطلب دون اتصال) ل SCEP. ولهذا السبب، فإن إحدى الخطوات الأولى في إعداد مرجع بيانات Microsoft ل BYOD هي إنشاء قالب جديد بنهج التطبيق الصحيح. في عملية نشر مستقلة، يتم تجميع خدمات NDES و Certified Authority على نفس الخادم، ويتم تضمين القوالب وتعديلات السجل المطلوبة على نفس الخادم. في عملية نشر NDES الموزعة، يتم إجراء تعديلات السجل على خادم NDES، ومع ذلك، يتم تحديد القوالب الفعلية على خادم CA الجذر أو الجذر الفرعي المحدد في تثبيت خدمة NDES.

أكمل الخطوات التالية لتكوين قالب الشهادة:

  1. قم بتسجيل الدخول إلى خادم CA كمسؤول.

  2. انقر على بدء > أدوات إدارية > مرجع مصدق.

  3. قم بتوسيع تفاصيل خادم المرجع المصدق وحدد مجلد قوالب الشهادات. يحتوي هذا المجلد على قائمة بالقوالب التي تم تمكينها حاليا.

  4. لإدارة قوالب الشهادات، انقر بزر الماوس الأيمن على المجلد قوالب الشهادات واختر إدارة.

  5. في وحدة تحكم قوالب الشهادات، يتم عرض عدد من القوالب غير النشطة.

  6. لتكوين قالب جديد للاستخدام مع SCEP، انقر بزر الماوس الأيمن فوق قالب موجود بالفعل، مثل المستخدم، واختر تكرار القالب.

  7. أختر Windows 2003 أو Windows 2008، بناء على الحد الأدنى لنظام تشغيل CA في البيئة.

  8. في علامة التبويب عام، قم بإضافة اسم عرض، مثل ISE-BYOD، وفترة الصلاحية، أترك كل الخيارات الأخرى بدون تدقيق.

    ملاحظة: يجب أن تكون فترة صلاحية القالب أقل من أو تساوي فترة صلاحية الشهادات الجذر المصدق والشهادات الوسيطة.

  9. انقر على علامة التبويب اسم الموضوع، وتأكد من تحديد التوريد في الطلب.

  10. انقر فوق علامة التبويب متطلبات الإصدار. توصي Cisco بترك سياسات الإصدار فارغة في بيئة CA هرمية نموذجية.

  11. انقر فوق علامة التبويب الملحقات ونهج التطبيق، ثم تحرير.

  12. انقر فوق إضافة، وتأكد من إضافة مصادقة العميل كنهج تطبيق. وانقر فوق OK.

  13. انقر فوق علامة التبويب الأمان، ثم أضف.... تأكد من أن حساب خدمة SCEP المحدد في تثبيت خدمة NDES له تحكم كامل بالقالب، ثم انقر فوق موافق.

  14. ارجع إلى واجهة GUI الخاصة بمرجع التصديق.

  15. انقر بزر الماوس الأيمن على دليل قوالب الشهادات. انتقل إلى جديد > قالب الشهادة المراد إصداره.

  16. حدد قالب ISE-BYOD الذي تم تكوينه مسبقا، ثم انقر فوق موافق.

    ملاحظة: بدلا من ذلك، يمكنك تمكين القالب عبر واجهة سطر الأوامر باستخدام الأمر certutil -SetCAtemplates+ISE-BYOD.


    يجب إدراج قالب ISE-BYOD الآن في قائمة قوالب الشهادات الممكنة.

تكوين سجل قالب الشهادة

أكمل الخطوات التالية لتكوين مفاتيح سجل قالب الشهادة:

  1. الاتصال بخادم NDES.

  2. انقر على بدء وأدخل regedit في شريط البحث.

  3. انتقل إلى الكمبيوتر > HKEY_LOCAL_MACHINE > البرامج > Microsoft > التشفير > MSCEP.

  4. قم بتغيير مفاتيح EncryptionTemplate وGeneralPurposeTemplate وSignatureTemplate من IPSec (طلب دون اتصال) إلى قالب ISE-BYOD الذي تم إنشاؤه مسبقا.

  5. أعد تشغيل خادم NDES لتطبيق إعداد السجل.

تكوين ISE كوكيل SCEP

في نشر BYOD، لا تتصل نقطة النهاية مباشرة بخادم NDES الخلفي. وبدلا من ذلك، يتم تكوين عقدة سياسة ISE كوكيل SCEP وتتصل بخادم NDES بالنيابة عن نقاط النهاية. تتصل نقاط النهاية مباشرة مع ISE. يمكن تكوين مثيل IIS على خادم NDES لدعم روابط HTTP و/أو HTTPS للأدلة الظاهرية ل SCEP.

أكمل الخطوات التالية لتكوين ISE كوكيل SCEP:

  1. سجل الدخول إلى واجهة المستخدم الرسومية (ISE) باستخدام بيانات اعتماد المسؤول.

  2. انقر على إدارة، شهادات، ثم توصيفات SCEP CA.

  3. انقر فوق إضافة (Add).

  4. أدخل اسم الخادم والوصف.

  5. أدخل عنوان URL لخادم SCEP باستخدام IP أو اسم المجال المؤهل بالكامل (FQDN) (http://10.10.10.10/certsrv/mscep/، على سبيل المثال).

  6. انقر على إختبار الاتصال. يؤدي الاتصال الناجح إلى ظهور رسالة منبثقة إستجابة خادم ناجحة.

  7. طقطقة حفظ in order to طبقت التشكيل.

  8. للتحقق، انقر فوق إدارة وشهادات ومخزن شهادات وتأكد من تنزيل شهادة خادم SCEP NDES RA تلقائيا إلى عقدة ISE.

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

استخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.

ملاحظات أستكشاف الأخطاء وإصلاحها العامة

فيما يلي قائمة بالملاحظات المهمة التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها:

  • قم بتقسيم مخطط شبكة BYOD إلى نقاط طريق منطقية للمساعدة في تحديد نقاط تصحيح الأخطاء والامساك على طول المسار بين نقاط النهاية ISE و NDES و CA.

  • تأكد من مشاركة عقدة ISE و CA في مصدر وقت بروتوكول وقت الشبكة (NTP) الشائع.

  • يجب أن تكون نقاط النهاية قادرة على تعيين الوقت تلقائيا باستخدام خيارات NTP والمنطقة الزمنية التي تم تعلمها من DHCP.

  • يجب أن يكون خادم DNS الخاص بالعميل قادرا على حل FQDN لعقدة ISE.

  • تأكد أنه تم السماح ب TCP 80 و/أو TCP 443 بشكل ثنائي الإتجاه بين ISE وخادم NDES.

  • قم بالاختبار مع جهاز يعمل بنظام التشغيل Windows بسبب التسجيل المحسن من جانب العميل. وبشكل إختياري، أستخدم جهاز iDevice من Apple مع الأداة المساعدة Apple iPhone Configuration Utility لمراقبة سجلات وحدات التحكم من جانب العميل.

  • راقبت ال CA وخادم NDES تطبيق سجل لأخطاء التسجيل، واستخدم Google أو TechNet in order to بحثت هذا خطأ.

  • طوال مرحلة الاختبار، أستخدم HTTP ل SCEP من أجل تسهيل عمليات التقاط الحزم بين ISE و NDES و CA.

  • أستخدم الأداة المساعدة لتفريغ TCP على عقدة خدمة سياسة ISE (PSN)، ومراقبة حركة مرور البيانات من وإلى خادم NDES. ويوجد هذا ضمن العمليات > أدوات التشخيص > الأدوات العامة.

  • ركبت Wireshark على ال CA و NDES نادل، أو استعملت فسحة بين دعامتين على مفتاح وسيط، in order to على قبض SCEP حركة مرور إلى ومن ال ISE PSN.

  • تأكد من تثبيت سلسلة شهادات CA المناسبة على عقدة نهج ISE لمصادقة شهادات العميل.

  • التأكد من تثبيت سلسلة شهادات المرجع المصدق المناسبة تلقائيا على العملاء أثناء عملية الانضمام.

  • قم بمعاينة شهادات هوية ISE والنقطة الطرفية وتأكد من وجود سمات EKU الصحيحة.

  • راقب سجلات المصادقة المباشرة في واجهة المستخدم الرسومية (GUI) لمعيار ISE لإخفاق المصادقة والتفويض.

    ملاحظة: لا يقوم بعض المطالبين بتهيئة تبادل لشهادات العميل إذا كان EKU غير صحيح، مثل شهادة عميل مزودة ب EKU لمصادقة الخادم. لذلك، قد لا تكون حالات فشل المصادقة موجودة دائما في سجلات ISE.

  • عند تثبيت NDES في عملية نشر موزعة، سيتم تخصيص مرجع مصدق جذري أو فرعي عن بعد بواسطة اسم المرجع المصدق أو اسم الكمبيوتر في تثبيت الخدمة. يرسل خادم NDES طلبات تسجيل الشهادة إلى خادم CA الهدف هذا. إذا فشلت عملية تسجيل شهادة نقطة النهاية، فقد تظهر صور الحزم (PCAP) خادم NDES خطأ 404 غير موجود في عقدة ISE. لحل هذه المشكلة، أعد تثبيت خدمة NDES وحدد خيار اسم الكمبيوتر بدلا من اسم المرجع المصدق.

  • تجنب التغييرات في سلسلة SCEP CA بعد تركيب الأجهزة على اللوحة. لا يقوم نظام التشغيل Endpoint OS، مثل Apple iOS، بتحديث ملف تعريف BYOD المثبت مسبقا تلقائيا. في مثال iOS هذا، يجب حذف ملف التعريف الحالي من نقطة النهاية، وإزالة نقطة النهاية من قاعدة بيانات ISE، حتى يمكن تنفيذ الانضمام مرة أخرى.

  • يمكنك تكوين خادم شهادات Microsoft للاتصال بالإنترنت وتحديث الشهادات تلقائيا من برنامج شهادات Microsoft الجذر. إذا قمت بتكوين خيار إسترداد الشبكة هذا في البيئات ذات سياسات الإنترنت المقيدة، فيمكن لخوادم CA/NDES التي لا يمكنها الاتصال بالإنترنت أن تستغرق 15 ثانية للمهلة بشكل افتراضي. ويمكن أن يؤدي ذلك إلى إضافة تأخير لمدة 15 ثانية إلى معالجة طلبات SCEP من وكلاء SCP مثل ISE. تمت برمجة ISE من أجل تعطيل طلبات SCEP بعد 12 ثانية في حالة عدم تلقي إستجابة. لحل هذه المشكلة، قم إما بالسماح بالوصول إلى الإنترنت لخوادم CA/NDES أو تعديل إعدادات مهلة إسترداد الشبكة في نهج الأمان المحلي لخوادم Microsoft CA/NDES. لتحديد موقع هذا التكوين على خادم Microsoft، انتقل إلى ابدأ > أدوات إدارية > نهج الأمان المحلي > سياسات المفتاح العام > إعدادات التحقق من صحة مسار الشهادة > إسترداد الشبكة.  

التسجيل من جانب العميل

فيما يلي قائمة بالتقنيات المفيدة التي يتم إستخدامها لاستكشاف أخطاء التسجيل من جانب العميل وإصلاحها:

  • أدخل الأمر log ٪temp٪\spwProfileLog.txt. لعرض السجلات من جانب العميل لتطبيقات Microsoft Windows.

    ملاحظة: يتم إستخدام WinHTTP للاتصال بين نقطة نهاية Microsoft Windows و ISE. راجع مقالة رسائل الخطأ في Microsoft Windows للحصول على قائمة برموز الأخطاء.

  • أدخل الأمر /sdcards/downloads/spw.log لعرض السجلات من جانب العميل لتطبيقات Android.  

  • بالنسبة إلى Mac OSX، أستخدم تطبيق وحدة التحكم، وابحث عن عملية SPW.

  • بالنسبة لنظام التشغيل Apple iOS، أستخدم مكون Apple 2.0 لعرض الرسائل.

تسجيل ISE

أتمت هذا steps in order to شاهدت ال ISE سجل:

  1. انتقل إلى إدارة > تسجيل > تكوين سجل تصحيح الأخطاء، وحدد عقدة سياسة ISE المناسبة.

  2. قم بتعيين سجلات العميل والتقديم إلى تصحيح الأخطاء أو التتبع، حسب الحاجة.

  3. إعادة إنتاج المشكلة وتوثيق المعلومات الأساسية ذات الصلة لتسهيل البحث، مثل MAC، IP، والمستخدم.

  4. انتقل إلى العمليات > سجلات التنزيل، وحدد عقدة ISE المناسبة.

  5. في علامة التبويب سجلات تصحيح الأخطاء، قم بتنزيل السجلات المسماة ise-psc.log إلى سطح المكتب.

  6. أستخدم محرر ذكي، مثل Notepad ++ لتحليل ملفات السجل.

  7. عند عزل المشكلة، أعد مستويات السجل إلى المستوى الافتراضي.

تسجيل دخول NDES واستكشاف الأخطاء وإصلاحها

لمزيد من المعلومات، ارجع إلى مقالة AD CS: أستكشاف أخطاء خدمة تسجيل أجهزة الشبكة وإصلاحها في Windows Server.

معلومات ذات صلة

TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Todd Pula
    Cisco TAC Engineer.

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات