Compartir a través de

Solución de problemas de administración conjunta: Arranque con aprovisionamiento moderno

  • Artículo

Este artículo le ayuda a comprender y solucionar problemas que pueden surgir al configurar la administración conjunta mediante la ruta de acceso 2: Arranque el cliente de Configuration Manager con aprovisionamiento moderno.

Este escenario se produce cuando tiene nuevos dispositivos Windows 10 que se unen a Microsoft Entra ID e inscriben automáticamente en Intune y, a continuación, instala el cliente de Configuration Manager para llegar a un estado de administración conjunta.

Antes de comenzar

Antes de empezar a solucionar problemas, es importante recopilar información básica sobre el problema y asegurarse de seguir todos los pasos de configuración necesarios. Esto le ayuda a comprender mejor el problema y a reducir el tiempo para encontrar una resolución. Para ello, siga esta lista de comprobación de preguntas previas a la solución de problemas:

La mayoría de los problemas se producen porque no se completaron uno o varios de estos pasos. Si encuentra que se omitió un paso o no se completó correctamente, compruebe los detalles de cada paso o consulte el siguiente tutorial:

Tutorial: Habilitación de la administración conjunta para clientes aprovisionados modernos

Solución de problemas de configuración híbrida de Microsoft Entra

Si tiene problemas que afectan a la identidad híbrida de Microsoft Entra o a Microsoft Entra Connect, consulte las siguientes guías de solución de problemas:

Si tiene problemas que afectan a la unión híbrida de Microsoft Entra para dominios administrados o dominios federados, consulte las siguientes guías de solución de problemas:

Preguntas más frecuentes

¿Qué roles necesito configurar la administración conjunta?

Estos son los permisos y roles necesarios para configurar la administración conjunta.

¿Qué registro puedo usar para validar las cargas de trabajo y determinar de dónde proceden las directivas y las aplicaciones en un escenario de administración conjunta?

Puedes usar el siguiente archivo de registro en dispositivos Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Cómo validar que mi servicio en la nube tiene un nombre DNS único?

Para ello, siga estos pasos:

  1. Inicie sesión en Azure Portal, vaya a Todos los servicios>en la nube (clásico) y haga clic en Agregar.
  2. En el campo nombre DNS , escriba un nombre que quiera usar.
  3. Cuando tenga un nombre que esté disponible para su uso, anote sin crearlo en el panel Servicio en la nube.
  4. Cree un registro CNAME que asigne el dominio a <name.cloudapp.net> tanto en servidores DNS internos como externos.

¿Dónde puedo encontrar el MSI de configuración del cliente de Configuration Manager?

Puede encontrar el archivo ccmsetup.msi en la carpeta siguiente en el servidor de sitio de Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Cómo comprobar la implementación de cliente de Configuration Manager desde Intune en los dispositivos Windows 10 administrados?

Para comprobar la implementación, siga estos pasos en el dispositivo Windows 10:

  1. Abra Explorador de archivos y vaya a %WinDir%\CCM\logs.
  2. Abra el archivo ADALOperationProvider.log con CMTrace y busque Obtención del token de Id. de Entra (usuario) de Microsoft y Obtención del token de Id. de Microsoft Entra (dispositivo) para comprobar los tokens.
  3. En CMTrace, abra el archivo CoManagementHandler.log, busque Dispositivo ya inscrito con MDM y Device Provisioned para comprobar la inscripción.
  4. Abra Panel de control, escriba Configuration Manager en el cuadro de búsqueda y selecciónelo.
  5. Seleccione la pestaña General y compruebe el punto de administración asignado.
  6. Seleccione la pestaña Red y compruebe el punto de administración basado en Internet.

Problemas comunes

Configuration Manager solo permite un punto de administración habilitado para HTTPS para clientes unidos a Microsoft Entra

Este problema se produce si usa la versión 1802 de la rama actual de Configuration Manager o una versión anterior. En estas versiones, los puntos de administración que habilite para CMG deben ser HTTPS. A partir de la versión 1806, el punto de administración puede ser HTTP.

Para corregir el problema, actualice a la versión 1806 de la rama actual de Configuration Manager o a una versión posterior.

Si los certificados PKI siguen siendo una opción válida en lugar de HTTP mejorado

Los certificados PKI siguen siendo una opción válida para usted, pero tienen los siguientes requisitos:

  • Toda la comunicación de cliente se realiza a través de HTTPS.
  • Debe tener un control avanzado de la infraestructura de firma.

Para obtener más información, consulte HTTP mejorado.

No puedo encontrar la pestaña Comunicación del equipo cliente en Configuración del sitio

A partir de la versión 1906 de la rama actual de Configuration Manager, se cambia el nombre de esta pestaña a Communication Security.

La opción Usar certificados generados por Configuration Manager para sistemas de sitio HTTP está habilitada, pero no se recibe ningún certificado.

Este comportamiento es normal. El punto de administración puede tardar hasta 30 minutos en recibir y configurar el nuevo certificado desde el sitio. Puede usar el siguiente registro para realizar un seguimiento, supervisarlo y comprobarlo:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Los registros de los recursos y su información asociada de Microsoft Entra ID no se crean en la base de datos de Configuration Manager.

Al incorporar el sitio de administración de configuración a Microsoft Entra ID, los recursos de usuario de Microsoft Entra no se detectan ni se rellenan en la base de datos de Configuration Manager. Normalmente, recibirá el error 0x87d00231 en este escenario.

Este problema se produce en una de las situaciones siguientes:

  • No configuró correctamente los permisos de API para el registro de aplicaciones en Azure Portal.
  • La detección de usuarios de Microsoft Entra no está habilitada ni configurada.

Para corregir el problema, siga los pasos descritos en Detección de usuarios de Microsoft Entra para configurar permisos de API y Detección de usuarios de Microsoft Entra. Puede usar los registros siguientes para comprobar los detalles:

  • <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log en el servidor de sitio
  • %WinDir%\CCM\logs\CcmMessaging.log en el cliente
  • %WinDir%\CCM\logs\LocationServices.log en el cliente

Nota:

Si el sitio de Configuration Manager es nuevo o recientemente recompilado, también debe configurar la detección de usuarios de Active Directory.

CoManagementHandler.log muestra el temporizador de inscripción en cola en el que se activará...

El archivo ADALOperationProvider.log en los dispositivos Windows muestra cómo obtener el token de Id. de Entra (usuario) de Microsoft y Obtener el token de id. de Microsoft Entra (dispositivo). Sin embargo, el dispositivo no está inscrito y la última línea de CoManagementHandler.log es Queuing enrollment timer to fire at....

Este comportamiento se espera en la versión 1806 y posteriores de la rama actual de Configuration Manager. A partir de la versión 1806, la inscripción automática no es inmediata para todos los clientes. Este comportamiento ayuda a la inscripción a escalar mejor para entornos grandes. Configuration Manager aleatoriza la inscripción en función del número de clientes. Por ejemplo, si el entorno tiene 100 000 clientes, la inscripción puede producirse durante varios días.

Para supervisar la administración conjunta, vaya a Supervisión>de la administración conjunta en la consola de Configuration Manager.

He copiado el comando de instalación de cliente personalizado desde la consola de Configuration Manager, pero no se puede instalar el cliente de Configuration Manager.

Este problema se produce en una de las situaciones siguientes:

  • Los parámetros de instalación del comando no se ajustan a los valores admitidos.
  • La longitud de la línea de comandos es mayor que 1024 caracteres.

Para corregir el problema, asegúrese de que el comando cumple el requisito y la línea de comandos no tiene más de 1024 caracteres de longitud.

El estado del agente de Configuration Manager es incorrecto en Intune

Intune evalúa el estado del agente de Configuration Manager en función de los ClientHealthLastSyncTime valores y ClientHealthStatus de la siguiente subclave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

El valor que se encuentra en ClientHealthStatus es una combinación de varias marcas que incluyen:

  • 1: Cliente instalado
  • 2: Cliente registrado
  • 4: Evaluación correcta del estado
  • 8: Error de instalación o actualización del cliente
  • 16: Error de comunicación con un punto de administración

A continuación se muestran los valores comunes de ClientHealthStatus:

  • 1: Cliente instalado, pero no se ha registrado
  • 3: El cliente se instaló y registró, pero aún no ha notificado una evaluación de estado correcta
  • 5: Cliente instalado, no registrado actualmente y enviado una evaluación correcta del estado (anteriormente)
  • 7: El cliente está en buen estado
  • 23: El cliente estaba en buen estado, pero tenía un error de comunicación con un punto de administración

Si el ClientHealthStatus valor es 7 (correcto), Intune considera que el cliente de Configuration Manager es correcto si no ClientHealthLastSyncTime tiene más de 30 días.

Si el ClientHealthStatus valor no es 7 (incorrecto), Intune considera que el cliente de Configuration Manager es correcto si no ClientHealthLastSyncTime tiene más de 48 horas.

El ClientHealthLastSyncTime componente de notificación de cliente del cliente de Configuration Manager actualiza el valor y el archivo de registro se CcmNotificationAgent.log.

Para solucionar este problema, compruebe el archivo CcmNotificationAgent.log si no ClientHealthLastSyncTime está actualizado. Este es un ejemplo:

Actualización de MDM_ConfigSetting.ClientHealthLastSyncTime con el valor 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

Si el ClientHealthLastSyncTime valor está actualizado, pero la última hora de registro del agente de Configuration Manager es 2/1/1900 en Intune, esto significa que configuration Manager administra la carga de trabajo de directivas de cumplimiento de dispositivos. En este caso, cambie la carga de trabajo de directivas de cumplimiento a Intune o Intune piloto.

El punto de conexión de CMG se muestra como desconectado

El problema se produce debido a un problema de permisos entre el sistema de sitio remoto donde se instala el rol de punto de conexión de CMG y el sitio primario.

El sistema de sitio remoto recopila el TrafficData informe de CMG y, a continuación, envía los datos al sitio primario a través de mensajes de estado. Este es un fragmento de código de registro de ejemplo de SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData: mensaje de estado que se va a enviar: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Dado que el sistema de sitio remoto también es un punto de administración, estos mensajes de estado se mueven a una bandeja de salida a la que accede el Administrador de distribución de archivos de MP que envía los archivos al sitio primario. Este es un fragmento de código de registro de ejemplo de mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Mover 1 *. Archivos SMX de C:\SMS\MP\OUTBOXES\statemsg.box\ a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Archivo movido C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Cuando se produce un problema de permisos, el Administrador de distribución de archivos de MP no puede acceder a las bandejas de entrada en el sitio primario y registra el siguiente error en mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: no se puede conectar al origen de la bandeja de entrada, suspender 30 segundos e intentarlo de nuevo.

Para corregir el problema, agregue la cuenta de equipo del sistema de sitio remoto al grupo Administradores locales del sitio primario.

Los clientes no pueden encontrar el punto de administración mediante CMG y recibe el error 403

Cuando se produce este problema, se registra el siguiente error en LocationServices.log en el cliente:

[CCMHTTP] INFORMACIÓN DE ERROR: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Además, se registra el siguiente error en SMS_Cloud_ProxyConnector.log en el servidor de punto de conexión de CMG:

MessageID: ID> RequestURI: <https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Si el servidor de punto de conexión de CMG tiene un certificado de autenticación de cliente válido, la causa más posible es que no se valide la lista de revocación de certificados (CRL) para el certificado. Si este es el caso, recibe el error 0x87d0027e y se registra el siguiente error en el registro de eventos CAPI2:

La función de revocación no pudo comprobar la revocación porque el servidor de revocación estaba sin conexión. 80092013

Además, si habilita el registro detallado estableciendo el valor del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registro en 1, las entradas de error similares a las siguientes se registran en SMS_Cloud_ProxyConnector.log:

Certificado de error de compilación de cadena: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Estado de la cadena 0: RevocationStatusUnknown
Estado de la cadena 1: OfflineRevocation
Error de compilación de cadena: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Estado de la cadena 0: RevocationStatusUnknown
Estado de la cadena 1: OfflineRevocation
Certificado no permitido: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
El recuento de certificados filtrados con la ENTIDAD de certificación raíz permitida y tiene una clave privada: 0
Recuento de certificados filtrados con autenticación de cliente: 0

Se recomienda que, en lugar de deshabilitar automáticamente la comprobación de CRL, primero asegúrese de que funciona. Sin embargo, si no puede obtener la comprobación de CRL para que funcione correctamente, deshabilite temporalmente la comprobación de CRL para los puntos de conexión de CMG. Esto permite seleccionar un certificado de cliente sin realizar la comprobación de CRL y permite la comunicación con el punto de administración.

Más información

Para obtener más información sobre cómo solucionar problemas de administración conjunta, consulte los siguientes artículos:

Para obtener más información sobre la administración conjunta de Intune y Configuration Manager, consulte los siguientes artículos: