WAP не может опубликовать сервер NDES после того, как Windows Phone пытается получить сертификат, как это определено Intune/SCCM

В настоящее время у меня есть следующая настройка, все серверы Windows 2012 R2:

• Intune подписка
• Прокси-сервер веб-приложения
• Оффлайн CA
• Выдача CA
• Сервер NDES с SCCM CRP
• SCCM 2012 R2
• Устройство Windows Phone 8.1

Моя проблема заключается в следующем: я создал профиль корневого CA и профиль SCEP в SCCM, развернул его в пользовательской коллекции Intune. Когда я пытаюсь подключиться к серверу NDES ( https://ndes.bla.com/) из Windows Phone 8.1, я могу успешно загрузить страницы. После того, как я выполняю присоединение к рабочему месту на устройстве Windows Phone 8.1, в какой-то момент WAP больше не пересылает запросы на сервер NDES, а время ожидания истекает. Это приводит к тому, что устройство не получит сертификат от сервера NDES. Любой запрос, который я отправляю на https://ndes.bla.com/ сбой от WP8.1 или любого другого браузера, другие опубликованные веб-сайты на сервере WAP (например, https://fs.bla.com/) продолжают отвечать, Перезапуск прокси-службы веб-приложений на WAP-сервере позволяет мне снова получать доступ к NDES (в том числе с устройства), пока я снова не присоединюсь к устройству Windows Phone 8.1.

В HTTPERR1.log на WAP-сервере показаны следующие записи:

2014-08-14 23:31:10 xxx.xxx.xxx.xxx 56872 yyy.yyy.yyy.yyy 443 HTTP / 1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=PKIOperation&message=MIJLHAYJKo ( усечено , общая сумма запроса 2048 байт) 2qNaTJX / kpZ - - Client_Reset -

2014-08-14 23:32:10 xxx.xxx.xxx.xxx 56873 yyy.yyy.yyy.yyy 443 HTTP / 1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=PKIOperation&message=MIJLHAYJK ( усечено , общий объем запроса 2048 байт) tJQKpRz2qNaTJX / kpZ - - Client_Reset -

2014-08-15 01:29:04 xxx.xxx.xxx.xxx 56953 yyy.yyy.yyy.yyy 443 HTTP / 1.1 GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=MDM - - Client_Reset -

Но только после того, как я попытался активировать Windows Phone, если я предварительно выполню ручное GET с телефона, это позволит мне загрузить файлы, тогда первые два также могут быть обрезаны в журналах...

• Использование общедоступных сертификатов CA на сервере WAP и сервере NDES.
• Развертывание профиля SCEP успешно выполняется, когда клиенты находятся в локальной сети, таким образом обходя сервер WAP.
• Я добавил MaxFieldLength и MaxRequestBytes в 65534 к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters на WAP-сервере.
• Из внутреннего успешного развертывания сертификата клиента, я хотел бы видеть полный запрос, поэтому я могу попробовать его вручную из внешнего подключения, любые советы по этому поводу будут приветствоваться.