L’équipe ConfigMgr vient de publier un billet sur son blog concernant un problème pouvant survenir avec les Management Points installés sur Windows Server 2012 et configurés pour servir des requêtes HTTPS sur System Center 2012 Configuration Manager.
Dans le fichier de log MPControl.log, vous trouverez les erreurs suivantes :
Call to HttpSendRequestSync failed for port 443 with status code 403, text: Forbidden
Http test request failed, status code is 403, 'Forbidden'.
Dans les fichiers de journalisation IIS, vous pouvez observer le code d’erreur 403.16 qui correspond à ‘Client certificate is untrusted or invalid’.
Ceci survient si IIS n’est pas configuré pour utiliser la liste de contrôle de certificats (CTL). Sans la CTL, l’authentification des clients en utilisant le certificat, échoue car SChannel.dll considère le certificat comme non fiable. Ceci est la configuration par défaut dans IIS 8.0 avec le paramètre SendTrustedIssuerList=0.
Pour résoudre le problème, vous devez avoir les deux entrées suivantes dans la base de registre du Management Point :
HKLM/system/currentcontrolset/control/securityproviders/schannel/sendtrustedissuerlist=0
HKLM/system/currentcontrolset/control/securityproviders/schannel/ClientauthTrustmode=2
Plus d’information sur : http://blogs.technet.com/b/configurationmgr/archive/2013/08/13/support-tip-a-configmgr-2012-management-point-enabled-for-ssl-fails-with-403-forbidden.aspx
