L'uso dell'agente MBAM per il deposito delle chiavi di ripristino di BitLocker genera criteri eccessivi in Configuration Manager versione 2103
Si applica a: Configuration Manager (Current Branch, versione 2103)
Riepilogo di KB10372804
Usando lo Invoke-MbamClientDeployment.ps1 script di PowerShell o metodi alternativi che usano l'API dell'agente di MBAM per eseguire il deposito delle chiavi di ripristino in un punto di gestione in Configuration Manager current branch, la versione 2103 genera una grande quantità di criteri destinati a tutti i dispositivi che possono causare tempeste di criteri. Ciò comporta una grave riduzione delle prestazioni nelle Configuration Manager, principalmente con SQL e i punti di gestione.
Aggiornare le informazioni per Microsoft Endpoint Configuration Manager versione 2103
Un aggiornamento per risolvere questo problema è disponibile nel nodo Aggiornamenti e manutenzione della console di Configuration Manager per gli ambienti che hanno installato l'aggiornamento cumulativo seguente.
- KB10036164: Aggiornamento cumulativo per Microsoft Endpoint Configuration Manager versione 2103
Per determinare se si è interessati da questo problema, è possibile eseguire la query SQL seguente sul database di ogni sito primario.
SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0
Importante
Questo aggiornamento impedisce la creazione di criteri eccessivi, ma non rimuove tali criteri creati in precedenza. Se la query precedente restituisce una grande quantità di righe, contattare supporto tecnico Microsoft per assistenza nella rimozione di questi criteri.
Aggiornare le informazioni di sostituzione
Questo aggiornamento sostituisce l'aggiornamento seguente.
- KB10216365: Impossibile spostare il database del sito nel gruppo di disponibilità SQL Always On in Configuration Manager versione 2103
Informazioni sul riavvio
Questo aggiornamento non richiede il riavvio del computer.
Informazioni aggiuntive sull'installazione
Dopo aver installato questo aggiornamento in un sito primario, i siti secondari preesistenti devono essere aggiornati manualmente. Per aggiornare un sito secondario nella console di Configuration Manager, selezionare Amministrazione>Configurazione> sitoSiti>Ripristina sito secondario e quindi selezionare il sito secondario. Il sito primario reinstalla quindi il sito secondario usando i file aggiornati. Le configurazioni e le impostazioni per il sito secondario non sono interessate da questa reinstallazione. I siti secondari nuovi, aggiornati e reinstallati in tale sito primario ricevono automaticamente questo aggiornamento.
Eseguire il comando SQL Server seguente nel database del sito per verificare se la versione di aggiornamento di un sito secondario corrisponde a quella del sito primario padre:
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
- Se viene restituito il valore 1, il sito è aggiornato, con tutti gli hotfix applicati nel sito primario padre.
- Se viene restituito il valore 0, il sito non ha installato tutte le correzioni applicate al sito primario ed è consigliabile usare l'opzione Ripristina sito secondario per aggiornare il sito secondario.
Informazioni sui file
Le informazioni sui file sono disponibili nel file di testo KB10372804_FileList.txt scaricabile.
Cronologia delle versioni
- 26 luglio 2021: versione iniziale dell'hotfix
Riferimenti
Come abilitare BitLocker usando MBAM come parte di una distribuzione di Windows