공동 관리 문제 해결: 최신 프로비저닝을 사용하여 부트스트랩

이 문서는 최신 프로비저닝을 사용하여 Configuration Manager 클라이언트 부트스트랩 경로 2를 수행하여 공동 관리를 설정할 때 발생할 수 있는 문제를 이해하고 해결하는 데 도움이 됩니다.

이 시나리오는 Microsoft Entra ID를 조인하고 Intune에 자동으로 등록하는 새 Windows 10 디바이스가 있는 경우 발생하며, Configuration Manager 클라이언트를 설치하여 공동 관리 상태에 도달합니다.

시작하기 전에

문제 해결을 시작하기 전에 문제에 대한 몇 가지 기본 정보를 수집하고 필요한 모든 구성 단계를 수행해야 합니다. 이렇게 하면 문제를 더 잘 이해하고 해결 방법을 찾는 시간을 줄일 수 있습니다. 이렇게 하려면 문제 해결 전 질문의 다음 검사 목록을 따르세요.

• 어떤 Microsoft Entra 하이브리드 ID 옵션을 선택했나요?
• 현재 MDM 기관은 무엇인가요?
• 향상된 HTTP를 설정했나요?
• Azure에서 클라우드 서비스를 만들셨나요?
• CMG(클라우드 관리 게이트웨이)를 구성했나요?
• CMG 트래픽에 대한 클라이언트 연결 역할을 구성했나요?
• Intune에 Configuration Manager 클라이언트를 설치했나요?

대부분의 문제는 이러한 단계 중 하나 이상이 완료되지 않았기 때문에 발생합니다. 단계를 건너뛰거나 성공적으로 완료되지 않은 경우 각 단계의 세부 정보를 확인하거나 다음 자습서를 참조하세요.

자습서: 최신 프로비전된 클라이언트에 대한 공동 관리 사용

하이브리드 Microsoft Entra 구성 문제 해결

Microsoft Entra 하이브리드 ID 또는 Microsoft Entra Connect에 영향을 주는 문제가 발생하는 경우 다음 문제 해결 가이드를 참조하세요.

• Microsoft Entra Connect 설치 문제 해결
• Microsoft Entra Connect 동기화 중 오류 문제 해결
• Microsoft Entra Connect 동기화를 사용하여 암호 해시 동기화 문제 해결
• Microsoft Entra 원활한 Single Sign-on 문제 해결
• Microsoft Entra 통과 인증 문제 해결
• Active Directory Federation Services의 Single Sign-On 문제 해결

관리되는 도메인 또는 페더레이션된 도메인에 대한 Microsoft Entra 하이브리드 조인에 영향을 주는 문제가 발생하는 경우 다음 문제 해결 가이드를 참조하세요.

• Microsoft Entra 하이브리드 조인 디바이스 문제 해결
• dsregcmd 명령을 사용하여 장치 문제 해결

자주 묻는 질문

공동 관리를 구성하는 데 필요한 역할은 무엇인가요?

공동 관리를 구성하는 데 필요한 권한 및 역할은 다음과 같습니다.

공동 관리 시나리오에서 워크로드의 유효성을 검사하고 정책 및 앱의 위치를 결정하는 데 사용할 수 있는 로그는 무엇인가요?

Windows 10 디바이스에서 다음 로그 파일을 사용할 수 있습니다.

%WinDir%\CCM\logs\CoManagementHandler.log

클라우드 서비스에 고유한 DNS 이름이 있는지 확인할 어떻게 할까요? 있나요?

이렇게 하려면 다음 단계를 수행하세요.

1. Azure Portal에 로그인하고 All Services Cloud Services>(클래식)로 이동한 다음 추가를 클릭합니다.
2. DNS 이름 필드에 사용할 이름을 입력합니다.
3. 사용할 수 있는 이름이 있는 경우 클라우드 서비스 창에서 이름을 만들지 않고 기록해 둡다.
4. 도메인을 내부 및 외부 DNS 서버 모두에서 name.cloudapp.net> 매핑<하는 CNAME 레코드를 만듭니다.

Configuration Manager 클라이언트 설정 MSI는 어디에서 찾을 수 있나요?

Configuration Manager 사이트 서버의 다음 폴더에서 ccmsetup.msi 파일을 찾을 수 있습니다.

<ConfigMgr installation directory>\bin\i386

Intune에서 관리되는 Windows 10 디바이스로 Configuration Manager 클라이언트 배포를 확인할 어떻게 할까요? 있나요?

배포를 확인하려면 Windows 10 디바이스에서 다음 단계를 수행합니다.

1. 파일 탐색기 열고 .%WinDir%\CCM\logs
2. CMTrace를 사용하여 ADALOperationProvider.log 파일을 열고 Microsoft Entra ID(사용자) 토큰 가져오기 및 Microsoft Entra ID(디바이스) 토큰 가져오기를 찾아 토큰을 확인합니다.
3. CMTrace에서 CoManagementHandler.log 파일을 열고 MDM 및 Device Provisioned에 이미 등록된 디바이스를 찾아 등록을 확인합니다.
4. 제어판 열고 검색 상자에 Configuration Manager를 입력한 다음 선택합니다.
5. 일반 탭을 선택하고 할당된 관리 지점을 확인합니다.
6. 네트워크 탭을 선택하고 인터넷 기반 관리 지점을 확인합니다.

일반적인 문제

Configuration Manager는 Microsoft Entra 조인 클라이언트에 대한 HTTPS 사용 관리 지점만 허용합니다.

이 문제는 Configuration Manager 현재 분기 버전 1802 또는 이전 버전을 사용하는 경우에 발생합니다. 이러한 버전에서 CMG에 사용하도록 설정하는 관리 지점은 HTTPS여야 합니다. 버전 1806부터 관리 지점은 HTTP일 수 있습니다.

이 문제를 해결하려면 Configuration Manager 현재 분기 버전 1806 이상으로 업데이트합니다.

PKI 인증서가 향상된 HTTP 대신 유효한 옵션인지 여부

PKI 인증서는 여전히 유효한 옵션이지만 다음과 같은 요구 사항이 있습니다.

• 모든 클라이언트 통신은 HTTPS를 통해 수행됩니다.
• 서명 인프라에 대한 고급 제어 권한이 있어야 합니다.

자세한 내용은 고급 HTTP를 참조하세요.

사이트 구성에서 클라이언트 컴퓨터 통신 탭을 찾을 수 없습니다.

Configuration Manager 현재 분기 버전 1906부터 이 탭의 이름이 Communication Security로 바뀝니다.

HTTP 사이트 시스템 옵션에 Configuration Manager에서 생성된 인증서 사용 옵션을 사용할 수 있지만 인증서가 수신되지 않습니다.

이 동작이 예상됩니다. 관리 지점에서 사이트에서 새 인증서를 받고 구성하는 데 최대 30분이 걸릴 수 있습니다. 다음 로그를 사용하여 이를 추적, 모니터링 및 확인할 수 있습니다.

<ConfigMgr installation directory>\Logs\CloudMgr.log

리소스에 대한 레코드 및 Microsoft Entra ID의 관련 정보는 Configuration Manager 데이터베이스에 만들어지지 않습니다.

구성 관리 사이트를 Microsoft Entra ID에 온보딩하면 Microsoft Entra 사용자 리소스가 검색되거나 Configuration Manager 데이터베이스에 채워지지 않습니다. 일반적으로 이 시나리오에서는 0x87d00231 오류가 발생합니다.

이 문제는 다음 상황 중 하나에서 발생합니다.

• Azure Portal에서 앱 등록에 대한 API 권한을 구성하지 못했습니다.
• Microsoft Entra 사용자 검색을 사용하도록 설정하거나 구성하지 않습니다.

이 문제를 해결하려면 Microsoft Entra 사용자 검색의 단계에 따라 API 권한 및 Microsoft Entra 사용자 검색을 구성합니다. 다음 로그를 사용하여 세부 정보를 확인할 수 있습니다.

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log 사이트 서버에서
• %WinDir%\CCM\logs\CcmMessaging.log 클라이언트에서
• %WinDir%\CCM\logs\LocationServices.log 클라이언트에서

참고 항목

Configuration Manager 사이트가 새로 추가되었거나 최근에 다시 빌드된 경우 Active Directory 사용자 검색도 구성해야 합니다.

CoManagementHandler.log 실행 대기 등록 타이머를 보여 주세요.

Windows 디바이스의 ADALOperationProvider.log 파일에는 Microsoft Entra ID(사용자) 토큰 가져오기 및 Microsoft Entra ID(디바이스) 토큰 가져오기가 표시됩니다. 그러나 디바이스가 등록되지 않으며 CoManagementHandler.log 마지막 줄은 등록 타이머를 대기하고 있습니다.

이 동작은 Configuration Manager 현재 분기 버전 1806 이상 버전에서 필요합니다. 버전 1806부터 모든 클라이언트에 대해 자동 등록이 즉시 수행되지는 않습니다. 이 동작은 대규모 환경에서 등록 크기를 더 잘 조정하는 데 도움이 됩니다. Configuration Manager는 클라이언트 수에 따라 등록을 임의로 지정합니다. 예를 들어 사용자 환경에 100,000개의 클라이언트가 있는 경우 며칠에 걸쳐 등록이 발생할 수 있습니다.

공동 관리를 모니터링하려면 Configuration Manager 콘솔에서 모니터링>공동 관리로 이동합니다.

Configuration Manager 콘솔에서 사용자 지정된 클라이언트 설치 명령을 복사했지만 Configuration Manager 클라이언트를 설치할 수 없습니다.

이 문제는 다음 상황 중 하나에서 발생합니다.

• 명령의 설치 매개 변수가 지원되는 값을 준수하지 않습니다.
• 명령줄의 길이가 1,024자를 초과합니다.

이 문제를 해결하려면 명령이 요구 사항을 충족하고 명령줄 길이가 1,024자를 넘지 않는지 확인합니다.

Intune에서 Configuration Manager 에이전트 상태가 비정상입니다.

Intune은 다음 레지스트리 하위 키의 ClientHealthLastSyncTime 값 및 ClientHealthStatus 값을 기반으로 Configuration Manager 에이전트 상태를 평가합니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

찾 ClientHealthStatus 은 값은 다음을 포함하는 여러 플래그의 조합입니다.

• 1: 클라이언트 설치
• 2: 클라이언트 등록됨
• 4: 성공적인 상태 평가
• 8: 클라이언트 설치 또는 업그레이드 오류
• 16: 관리 지점과의 통신 오류

다음은 다음과 같은 일반적인 값입니다 ClientHealthStatus.

• 1: 클라이언트가 설치되었지만 등록되지 않았습니다.
• 3: 클라이언트가 설치 및 등록되었지만 아직 성공적인 상태 평가를 보고하지 않았습니다.
• 5: 클라이언트가 설치되고, 현재 등록되지 않았으며, 성공적인 상태 평가(이전) 전송됨
• 7: 클라이언트 정상
• 23: 클라이언트가 정상이지만 관리 지점과의 통신 오류가 발생했습니다.

값이 ClientHealthStatus 7(정상)이면 Intune은 Configuration Manager 클라이언트가 30일보다 오래되지 않은 경우 ClientHealthLastSyncTime 정상으로 간주합니다.

값이 ClientHealthStatus 7이 아니면(비정상) Intune은 Configuration Manager 클라이언트가 48시간보다 오래되지 않은 경우 ClientHealthLastSyncTime 정상으로 간주합니다.

값은 ClientHealthLastSyncTime Configuration Manager 클라이언트의 클라이언트 알림 구성 요소에 의해 업데이트되고 로그 파일은 CcmNotificationAgent.log.

이 문제를 해결하려면 CcmNotificationAgent.log 파일이 최신 상태가 아닌지 ClientHealthLastSyncTime 확인합니다. 예를 들어 다음과 같습니다.

MDM_ConfigSetting.ClientHealthLastSyncTime을 값 2019-04-01T21:42:51Z BgbAgent 4/2/2/2019 오전 8:42:51 AM 9476(0x2504) 업데이트

값이 ClientHealthLastSyncTime 최신 상태이지만 Configuration Manager 에이전트 의 마지막 체크 인 시간이 Intune에서 1900 년 2월 1일인 경우 이는 디바이스 준수 정책 워크로드가 Configuration Manager에서 관리됨을 의미합니다. 이 경우 규정 준수 정책 워크로드를 Intune 또는 파일럿 Intune으로 전환 합니다.

CMG 연결 지점이 연결이 끊어진 것으로 표시됨

이 문제는 CMG 연결 지점 역할이 설치된 원격 사이트 시스템과 기본 사이트 간의 권한 문제로 인해 발생합니다.

원격 사이트 시스템은 CMG에서 보고서를 수집 TrafficData 한 다음 상태 메시지를 통해 데이터를 기본 사이트로 보냅니다. 다음은 SMS_Cloud_ProxyConnector.log 샘플 로그 조각입니다.

SMS_CLOUD_PROXYCONNECTOR 6124(0x17ec) ReportTrafficData - 보낼 상태 메시지: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer ="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

원격 사이트 시스템도 관리 지점이므로 이러한 상태 메시지는 기본 사이트로 파일을 보내는 MP 파일 디스패치 관리자가 액세스하는 아웃박스로 이동됩니다. 다음은 mpfdm.log 샘플 로그 조각입니다.

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~ 이동 1 *. C:\SMS\MP\OUTBOXES\statemsg.box\에서 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\으로 SMX 파일.
SMS_MP_FILE_DISPATCH_MANAGER 6584(0x19b8) ~파일 C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX를 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX로 이동

사용 권한 문제가 있는 경우 MP 파일 디스패치 관리자는 기본 사이트의 받은 편지함에 액세스할 수 없으며 mpfdm.log 다음 오류를 기록합니다.

SMS_MP_FILE_DISPATCH_MANAGER 3828(0xef4) ~**오류: 받은 편지함 원본에 연결할 수 없습니다. 30초 동안 절전 모드로 이동하고 다시 시도하십시오.

이 문제를 해결하려면 원격 사이트 시스템의 컴퓨터 계정을 기본 사이트의 로컬 관리자 그룹에 추가합니다.

클라이언트는 CMG를 사용하여 관리 지점을 찾을 수 없으며 오류 403을 수신합니다.

이 문제가 발생하면 클라이언트의 LocationServices.log 다음 오류가 기록됩니다.

[CCMHTTP] 오류 정보: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

또한 CMG 연결 지점 서버의 SMS_Cloud_ProxyConnector.log 다음 오류가 기록됩니다.

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44ms SMS_CLOUD_PROXYCONNECTOR

CMG 연결 지점 서버에 유효한 클라이언트 인증 인증서가 있는 경우 가장 가능한 원인은 인증서에 대한 CRL(인증서 해지 목록)의 유효성을 검사하지 못하는 것입니다. 이 경우 0x87d0027e 오류가 표시되고 CAPI2 이벤트 로그에 다음 오류가 기록됩니다.

해지 서버가 오프라인 상태이므로 해지 함수가 해지를 확인할 수 없습니다. 80092013

또한 레지스트리 값을 1로 설정하여 자세한 정보 로깅을 사용하도록 설정 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging 하면 다음과 유사한 오류 항목이 SMS_Cloud_ProxyConnector.log 기록됩니다.

체인 빌드 실패 인증서: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
체인 0 상태: RevocationStatusUnknown
체인 1 상태: OfflineRevocation
체인 빌드 실패 인증서: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
체인 0 상태: RevocationStatusUnknown
체인 1 상태: OfflineRevocation
허용되지 않는 인증서: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
허용되는 루트 CA 및 프라이빗 키가 있는 필터링된 인증서 수: 0
클라이언트 인증을 사용하여 필터링된 인증서 수: 0

CRL 검사를 자동으로 사용하지 않도록 설정하는 대신 먼저 작동하는지 확인하는 것이 좋습니다. 그러나 CRL 검사를 제대로 수행할 수 없는 경우 CMG 연결 지점에 대한 CRL 검사를 일시적으로 사용하지 않도록 설정합니다. 이렇게 하면 CRL 검사를 수행하지 않고 클라이언트 인증서를 선택할 수 있으며 관리 지점과 통신할 수 있습니다.

자세한 정보

공동 관리 문제 해결에 대한 자세한 내용은 다음 문서를 참조하세요.

• 공동 관리 문제 해결: 기존 Configuration Manager 관리 디바이스를 Intune에 자동 등록
• 공동 관리 워크로드 문제 해결

Intune 및 Configuration Manager 공동 관리에 대한 자세한 내용은 다음 문서를 참조하세요.

• Windows 10 공동 관리 개요
• 시작: 공동 관리 경로
• 공동 관리를 위한 빠른 시작
• 자습서: 기존 Configuration Manager 클라이언트에 대한 공동 관리 사용
• 공동 관리를 위해 인터넷 기반 디바이스를 준비하는 방법