Problembehandlung bei der Co-Verwaltung: Bootstrap mit moderner Bereitstellung
Dieser Artikel hilft Ihnen, Probleme zu verstehen und zu beheben, die beim Einrichten der Co-Verwaltung auftreten können, indem Sie Pfad 2: Bootstrap des Configuration Manager-Clients mit moderner Bereitstellung ausführen.
Dieses Szenario tritt auf, wenn Sie über neue Windows 10-Geräte verfügen, die Microsoft Entra-ID beitreten und sich automatisch bei Intune registrieren und dann den Configuration Manager-Client installieren, um einen Co-Management-Zustand zu erreichen.
Vor der Installation
Bevor Sie mit der Problembehandlung beginnen, ist es wichtig, einige grundlegende Informationen zum Problem zu sammeln und sicherzustellen, dass Sie alle erforderlichen Konfigurationsschritte ausführen. Dies hilft Ihnen, das Problem besser zu verstehen und die Zeit zu reduzieren, um eine Lösung zu finden. Befolgen Sie dazu diese Checkliste der Fragen zur Vorabbehandlung:
- Welche Hybrididentitätsoption von Microsoft Entra haben Sie ausgewählt?
- Was ist Ihre aktuelle MDM-Autorität?
- Haben Sie erweitertes HTTP eingerichtet?
- Haben Sie die Clouddienste in Azure erstellt?
- Haben Sie das Cloudverwaltungsgateway (CMG) konfiguriert?
- Haben Sie clientseitige Rollen für CMG-Datenverkehr konfiguriert?
- Haben Sie den Configuration Manager-Client in Intune installiert?
Die meisten Probleme treten auf, da mindestens eine dieser Schritte nicht abgeschlossen wurde. Wenn Sie feststellen, dass ein Schritt übersprungen oder nicht erfolgreich abgeschlossen wurde, überprüfen Sie die Details der einzelnen Schritte, oder lesen Sie das folgende Lernprogramm:
Lernprogramm: Aktivieren der Co-Verwaltung für moderne bereitgestellte Clients
Problembehandlung bei der Hybridkonfiguration von Microsoft Entra
Wenn Probleme auftreten, die sich auf die Hybrididentität von Microsoft Entra oder Microsoft Entra Connect auswirken, finden Sie in den folgenden Anleitungen zur Problembehandlung:
- Beheben von Problemen mit der Installation von Microsoft Entra Connect
- Beheben von Fehlern während der Microsoft Entra Connect-Synchronisierung
- Problembehandlung für die Kennworthashsynchronisierung mit der Microsoft Entra Connect-Synchronisierung
- Beheben von Problemen mit dem nahtlosen einmaligen Anmelden von Microsoft Entra
- Behandeln von Problemen mit der Microsoft Entra-Passthrough-Authentifizierung
- Behandeln von Problemen mit einmaligem Anmelden mit Active Directory-Verbunddienste (AD FS)
Wenn Probleme auftreten, die sich auf die Hybridverknappung von Microsoft Entra für verwaltete Domänen oder Verbunddomänen auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:
- Problembehandlung für in Microsoft Entra eingebundene Hybridgeräte
- Problembehandlung von Geräten mit dem Befehl „dsregcmd“
Häufig gestellte Fragen
Welche Rollen muss ich für die Gemeinsame Verwaltung konfigurieren?
Hier sind die erforderlichen Berechtigungen und Rollen zum Konfigurieren der Co-Verwaltung.
Welches Protokoll kann ich verwenden, um Workloads zu überprüfen und zu bestimmen, wo Richtlinien und Apps in einem Co-Management-Szenario stammen?
Sie können die folgende Protokolldatei auf Windows 10-Geräten verwenden:
%WinDir%\CCM\logs\CoManagementHandler.log
Gewusst wie überprüfen, ob mein Clouddienst über einen eindeutigen DNS-Namen verfügt?
Gehen Sie dazu wie folgt vor:
- Melden Sie sich bei der Azure-Portal an, wechseln Sie zu "Alle Dienste>Cloud Services (Klassisch)", und klicken Sie dann auf "Hinzufügen".
- Geben Sie im Feld "DNS-Name " einen Namen ein, den Sie verwenden möchten.
- Wenn Sie über einen Namen verfügen, der für Sie verwendet werden kann, notieren Sie ihn, ohne ihn im Clouddienstbereich zu erstellen.
- Erstellen Sie einen CNAME-Eintrag, der Ihre Domäne name.cloudapp.net sowohl auf internen als auch auf externen DNS-Servern zuordnet><.
Wo finde ich das Configuration Manager-Clientsetup MSI?
Sie finden die ccmsetup.msi Datei im folgenden Ordner auf dem Configuration Manager-Standortserver:
<ConfigMgr installation directory>\bin\i386
Gewusst wie die Configuration Manager-Clientbereitstellung von Intune auf die verwalteten Windows 10-Geräte überprüfen?
Führen Sie die folgenden Schritte auf dem Windows 10-Gerät aus, um die Bereitstellung zu überprüfen:
- Öffnen Sie Explorer, und wechseln Sie zu
%WinDir%\CCM\logs. - Öffnen Sie die ADALOperationProvider.log Datei mit CMTrace, und suchen Sie nach dem Abrufen des Microsoft Entra ID(Benutzer)-Tokens und dem Abrufen des Microsoft Entra ID (Gerät)-Tokens , um die Token zu überprüfen.
- Öffnen Sie in CMTrace die CoManagementHandler.log-Datei, suchen Sie nach "Gerät" ist bereits bei MDM und "Device Provisioned" registriert, um die Registrierung zu überprüfen.
- Öffnen Sie Systemsteuerung, geben Sie Configuration Manager in das Suchfeld ein, und wählen Sie ihn aus.
- Wählen Sie die Registerkarte "Allgemein " aus, und überprüfen Sie den Zugewiesenen Verwaltungspunkt.
- Wählen Sie die Registerkarte "Netzwerk " aus, und überprüfen Sie den internetbasierten Verwaltungspunkt.
Häufige Probleme
Configuration Manager lässt nur einen HTTPS-aktivierten Verwaltungspunkt für in Microsoft Entra eingebundene Clients zu.
Dieses Problem tritt auf, wenn Sie Configuration Manager current branch Version 1802 oder eine frühere Version verwenden. In diesen Versionen müssen Verwaltungspunkte, die Sie für CMG aktivieren, HTTPS sein. Ab Version 1806 kann der Verwaltungspunkt HTTP sein.
Um das Problem zu beheben, aktualisieren Sie auf Configuration Manager current branch Version 1806 oder eine höhere Version.
Gibt an, ob PKI-Zertifikate immer noch eine gültige Option anstelle von erweitertem HTTP sind.
PKI-Zertifikate sind weiterhin eine gültige Option für Sie, aber sie haben die folgenden Anforderungen:
- Die gesamte Clientkommunikation erfolgt über HTTPS.
- Sie müssen die erweiterte Kontrolle über die Signaturinfrastruktur haben.
Weitere Informationen finden Sie unter Enhanced HTTP.
Ich kann die Registerkarte "Kommunikation auf Clientcomputern" in der Standortkonfiguration nicht finden.
Ab Configuration Manager, version 1906, wird diese Registerkarte in "Kommunikationssicherheit" umbenannt.
Die Option "Configuration Manager-generierte Zertifikate für HTTP-Standortsysteme verwenden" ist aktiviert, es wird jedoch kein Zertifikat empfangen.
Dies ist das erwartete Verhalten. Es kann bis zu 30 Minuten dauern, bis der Verwaltungspunkt das neue Zertifikat von der Website empfängt und konfiguriert. Sie können das folgende Protokoll verwenden, um Folgendes zu verfolgen, zu überwachen und zu überprüfen:
<ConfigMgr installation directory>\Logs\CloudMgr.log
Datensätze für die Ressourcen und die zugehörigen Informationen aus der Microsoft Entra-ID werden nicht in der Configuration Manager-Datenbank erstellt.
Wenn Sie die Konfigurationsverwaltungswebsite in die Microsoft Entra-ID integrieren, werden die Microsoft Entra-Benutzerressourcen nicht in der Configuration Manager-Datenbank ermittelt oder aufgefüllt. In der Regel erhalten Sie den 0x87d00231 Fehler in diesem Szenario.
Dieses Problem tritt in einer der folgenden Situationen auf:
- Sie haben die API-Berechtigungen für die App-Registrierung im Azure-Portal nicht erfolgreich konfiguriert.
- Microsoft Entra User Discovery ist nicht aktiviert oder konfiguriert.
Um das Problem zu beheben, führen Sie die Schritte in Microsoft Entra User Discovery aus, um API-Berechtigungen und Microsoft Entra-Benutzerermittlung zu konfigurieren. Sie können die folgenden Protokolle verwenden, um Details zu überprüfen:
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.logauf dem Standortserver%WinDir%\CCM\logs\CcmMessaging.logauf dem Client%WinDir%\CCM\logs\LocationServices.logauf dem Client
Notiz
Wenn der Configuration Manager-Standort neu oder kürzlich neu erstellt wurde, müssen Sie auch active Directory User Discovery konfigurieren.
CoManagementHandler.log zeigt den Queuing-Registrierungszeitgeber zum Auslösen an...
Die ADALOperationProvider.log Datei auf den Windows-Geräten zeigt das Token "Microsoft Entra ID (Benutzer)" und "Abrufen von Microsoft Entra ID (Gerät)".The ADALOperationProvider.log file on the Windows devices shows Getting Microsoft Entra ID (User) token. Das Gerät ist jedoch nicht registriert, und die letzte Zeile in CoManagementHandler.log ist der Zeitgeber für die Queuing-Registrierung, um zu ... auszulösen.
Dieses Verhalten wird in Der aktuellen Verzweigungsversion 1806 und höheren Versionen von Configuration Manager erwartet. Ab Version 1806 ist die automatische Registrierung für alle Clients nicht sofort. Dieses Verhalten trägt dazu bei, dass die Registrierung für große Umgebungen besser skaliert wird. Configuration Manager randomisiert die Registrierung basierend auf der Anzahl der Clients. Wenn Ihre Umgebung beispielsweise über 100.000 Clients verfügt, kann die Registrierung über mehrere Tage erfolgen.
Um die Co-Verwaltung zu überwachen, wechseln Sie zur Monitoring>Co-Management in der Configuration Manager-Konsole.
Ich habe den benutzerdefinierten Clientinstallationsbefehl aus der Configuration Manager-Konsole kopiert, der Configuration Manager-Client kann jedoch nicht installiert werden.
Dieses Problem tritt in einer der folgenden Situationen auf:
- Die Installationsparameter im Befehl entsprechen nicht den unterstützten Werten.
- Die Länge der Befehlszeile ist größer als 1.024 Zeichen.
Um das Problem zu beheben, stellen Sie sicher, dass der Befehl die Anforderung erfüllt und die Befehlszeile nicht mehr als 1.024 Zeichen lang ist.
Der Konfigurations-Manager-Agentstatus ist in Intune fehlerhaft.
Intune wertet den Konfigurations-Manager-Agentstatus basierend auf den ClientHealthLastSyncTime Werten ClientHealthStatus im folgenden Registrierungsunterschlüssel aus:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
Der gefundene ClientHealthStatus Wert ist eine Kombination aus mehreren Flags, die Folgendes umfassen:
- 1: Client installiert
- 2: Registrierter Kunde
- 4: Erfolgreiche Gesundheitsbewertung
- 8: Clientinstallations- oder Upgradefehler
- 16: Kommunikationsfehler mit einem Verwaltungspunkt
Im Folgenden finden Sie allgemeine Werte von ClientHealthStatus:
- 1: Client installiert, aber nicht registriert
- 3: Der Client wurde installiert und registriert, hat aber noch keine erfolgreiche Integritätsbewertung gemeldet.
- 5: Client installiert, derzeit nicht registriert und eine erfolgreiche Integritätsbewertung gesendet (zuvor)
- 7: Client fehlerfrei
- 23: Der Kunde war fehlerfrei, hatte aber einen Kommunikationsfehler mit einem Verwaltungspunkt.
Wenn der ClientHealthStatus Wert 7 (fehlerfrei) ist, betrachtet Intune den Configuration Manager-Client als fehlerfrei, wenn dies ClientHealthLastSyncTime nicht älter als 30 Tage ist.
Wenn der ClientHealthStatus Wert nicht 7 (nicht fehlerfrei) ist, betrachtet Intune den Configuration Manager-Client als fehlerfrei, wenn dies ClientHealthLastSyncTime nicht älter als 48 Stunden ist.
Der ClientHealthLastSyncTime Wert wird von der Clientbenachrichtigungskomponente des Configuration Manager-Clients aktualisiert, und die Protokolldatei wird CcmNotificationAgent.log.
Um dieses Problem zu beheben, überprüfen Sie die CcmNotificationAgent.log Datei, wenn die ClientHealthLastSyncTime Datei nicht auf dem neuesten Stand ist. Hier ist ein Beispiel:
Aktualisieren MDM_ConfigSetting.ClientHealthLastSyncTime mit Dem Wert 2019-04-01T21:42:51Z BgbAgent 4/2/2/2019 8:42:51 AM 9476 (0x2504)
Wenn der ClientHealthLastSyncTime Wert auf dem neuesten Stand ist, aber die letzte Eincheckzeit des Configuration Manager-Agents 2/1/1900 in Intune ist, bedeutet dies, dass die Workload der Gerätecompliancerichtlinien vom Configuration Manager verwaltet wird. Wechseln Sie in diesem Fall die Workload der Compliancerichtlinien auf Intune oder Pilot Intune.
Der CMG-Verbindungspunkt wird als getrennt angezeigt
Das Problem tritt aufgrund eines Berechtigungsproblems zwischen dem Remotestandortsystem auf, bei dem die CMG-Verbindungspunktrolle installiert ist, und dem primären Standort.
Das Remotestandortsystem sammelt den TrafficData Bericht aus der CMG und sendet dann die Daten über Statusmeldungen an den primären Standort. Hier ist ein Beispielprotokollausschnitt von SMS_Cloud_ProxyConnector.log:
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - zu sendende Statusmeldung: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~
Da das Remotestandortsystem auch ein Verwaltungspunkt ist, werden diese Statusmeldungen in einen Postausgang verschoben, auf den der MP File Dispatch Manager zugegriffen wird, der die Dateien an den primären Standort sendet. Hier ist ein Beispielprotokollausschnitt von mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Verschieben 1 *. SMX-Dateien aus C:\SMS\MP\OUTBOXES\statemsg.box\ bis \\PS.contoso.com\SMS_PS1\posteingang\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Verschobene Datei C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX zu \\PS.contoso.com\SMS_PS1\posteingang\auth\statesys.box\incoming\___CMUp5onztqe.SMX
Wenn ein Berechtigungsproblem auftritt, kann der MP File Dispatch Manager nicht auf die Posteingänge auf der primären Website zugreifen und protokolliert den folgenden Fehler in mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: Es kann keine Verbindung zur Posteingangsquelle hergestellt werden, 30 Sekunden ruhen und es erneut versuchen.
Um das Problem zu beheben, fügen Sie das Computerkonto des Remotestandortsystems der Gruppe "Lokale Administratoren" auf dem primären Standort hinzu.
Clients können den Verwaltungspunkt nicht mithilfe der CMG finden, und Sie erhalten Fehler 403.
Wenn dieses Problem auftritt, wird der folgende Fehler in LocationServices.log auf dem Client protokolliert:
[CCMHTTP] FEHLERINFO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
Darüber hinaus wird der folgende Fehler in SMS_Cloud_ProxyConnector.log auf dem CMG-Verbindungspunktserver protokolliert:
MessageID: ID> RequestURI: <https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
Wenn der CMG-Verbindungspunktserver über ein gültiges Clientauthentifizierungszertifikat verfügt, ist die ursache, dass die Zertifikatsperrliste (Certificate Revocation List, CRL) für das Zertifikat nicht überprüft wird. Wenn dies der Fall ist, erhalten Sie den 0x87d0027e Fehler, und der folgende Fehler wird im CAPI2-Ereignisprotokoll protokolliert:
Die Widerrufsfunktion konnte den Widerruf nicht prüfen, weil der Widerrufsserver offline war. 80092013
Wenn Sie die ausführliche Protokollierung durch Festlegen des HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registrierungswerts auf 1 aktivieren, werden fehlereinträge, die wie folgt aussehen, in SMS_Cloud_ProxyConnector.log protokolliert:
Fehler des Chainbuilds: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Chain 0-Status: RevocationStatusUnknown
Chain 1-Status: OfflineRevocation
Fehler beim Kettenbuildzertifikat: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Chain 0-Status: RevocationStatusUnknown
Chain 1-Status: OfflineRevocation
Nicht zulässiges Zertifikat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Gefilterte Zertifikatanzahl mit zulässiger Stammzertifizierungsstelle und besitzt privaten Schlüssel: 0
Gefilterte Zertifikatanzahl mit Clientauthentifizierung: 0
Es wird empfohlen, die CRL-Überprüfung nicht automatisch zu deaktivieren, sondern zuerst sicherzustellen, dass sie funktioniert. Wenn Sie jedoch keine CRL-Überprüfung erhalten können, um ordnungsgemäß zu funktionieren, deaktivieren Sie vorübergehend die CRL-Überprüfung auf CMG-Verbindungspunkte. Auf diese Weise kann ein Clientzertifikat ausgewählt werden, ohne die CRL-Überprüfung durchzuführen und die Kommunikation mit dem Verwaltungspunkt zu ermöglichen.
Weitere Informationen
Weitere Informationen zur Problembehandlung bei Co-Management-Problemen finden Sie in den folgenden Artikeln:
- Problembehandlung bei der Co-Verwaltung: Automatische Registrierung vorhandener configuration Manager-verwalteter Geräte in Intune
- Problembehandlung bei Co-Management-Workloads
Weitere Informationen zur Co-Verwaltung von Intune und Configuration Manager finden Sie in den folgenden Artikeln: