Problemen met co-beheer oplossen: Bootstrap met moderne inrichting
Dit artikel helpt u bij het begrijpen en oplossen van problemen die kunnen optreden bij het instellen van co-beheer door pad 2 te volgen: Bootstrap de Configuration Manager-client met moderne inrichting.
Dit scenario treedt op wanneer u nieuwe Windows 10-apparaten hebt die deelnemen aan Microsoft Entra-id en automatisch worden ingeschreven bij Intune, en vervolgens installeert u de Configuration Manager-client om een co-beheerstatus te bereiken.
Voordat u begint
Voordat u begint met het oplossen van problemen, is het belangrijk om basisinformatie over het probleem te verzamelen en ervoor te zorgen dat u alle vereiste configuratiestappen volgt. Dit helpt u beter inzicht te krijgen in het probleem en de tijd te verkorten om een oplossing te vinden. Volg hiervoor deze controlelijst met vragen voor het oplossen van problemen:
- Welke hybride identiteitsoptie van Microsoft Entra hebt u geselecteerd?
- Wat is uw huidige MDM-instantie?
- Hebt u verbeterde HTTP ingesteld?
- Hebt u de cloudservices in Azure gemaakt?
- Hebt u de cloudbeheergateway (CMG) geconfigureerd?
- Hebt u clientgerichte rollen geconfigureerd voor CMG-verkeer?
- Hebt u de Configuration Manager-client in Intune geïnstalleerd?
De meeste problemen treden op omdat een of meer van deze stappen niet zijn voltooid. Als u merkt dat een stap is overgeslagen of niet is voltooid, controleert u de details van elke stap of raadpleegt u de volgende zelfstudie:
Zelfstudie: Co-beheer inschakelen voor moderne ingerichte clients
Problemen met hybride Microsoft Entra-configuratie oplossen
Als u problemen ondervindt die van invloed zijn op de hybride identiteit van Microsoft Entra of Microsoft Entra Connect, raadpleegt u de volgende handleidingen voor probleemoplossing:
- Installatieproblemen met Microsoft Entra Connect oplossen
- Fouten oplossen tijdens Microsoft Entra Connect-synchronisatie
- Problemen met wachtwoord-hashsynchronisatie oplossen met Microsoft Entra Connect-synchronisatie
- Problemen met naadloze eenmalige aanmelding van Microsoft Entra oplossen
- Problemen met passthrough-verificatie van Microsoft Entra oplossen
- Problemen met eenmalige aanmelding met Active Directory Federation Services oplossen
Raadpleeg de volgende handleidingen voor probleemoplossing als u problemen ondervindt die van invloed zijn op Hybride Join van Microsoft Entra voor beheerde domeinen of federatieve domeinen:
- Problemen met hybride gekoppelde apparaten met Microsoft Entra oplossen
- Probleemoplossing voor apparaten met de opdracht dsregcmd
Veelgestelde vragen
Welke rollen moet ik co-beheer configureren?
Hier volgen de vereiste machtigingen en rollen voor het configureren van co-beheer.
Welk logboek kan ik gebruiken om workloads te valideren en te bepalen waar beleid en apps vandaan komen in een co-beheerscenario?
U kunt het volgende logboekbestand gebruiken op Windows 10-apparaten:
%WinDir%\CCM\logs\CoManagementHandler.log
Hoe kan ik controleren of mijn cloudservice een unieke DNS-naam heeft?
Hiervoor volgt u deze stappen:
- Meld u aan bij Azure Portal, ga naar Alle services>cloudservices (klassiek) en klik vervolgens op Toevoegen.
- Voer in het veld DNS-naam een naam in die u wilt gebruiken.
- Wanneer u een naam hebt die u kunt gebruiken, noteert u deze zonder deze te maken in het deelvenster Cloud Service .
- Maak een CNAME-record waarmee uw domein wordt toegewezen aan <name.cloudapp.net> in zowel interne als externe DNS-servers.
Waar vind ik de MSI van de Configuration Manager-clientinstallatie?
U vindt het ccmsetup.msi bestand in de volgende map op de Configuration Manager-siteserver:
<ConfigMgr installation directory>\bin\i386
Hoe kan ik de implementatie van de Configuration Manager-client van Intune naar de beheerde Windows 10-apparaten controleren?
Volg deze stappen op het Windows 10-apparaat om de implementatie te controleren:
- Open Bestandenverkenner en ga naar
%WinDir%\CCM\logs. - Open het ADALOperationProvider.log-bestand met CMTrace en zoek naar Het ophalen van het Token van Microsoft Entra-id (gebruiker) en het ophalen van het Microsoft Entra ID-token (apparaat) om de tokens te verifiëren.
- Open in CMTrace het CoManagementHandler.log-bestand, zoek naar Apparaat is al ingeschreven bij MDM en Device Provisioned om de inschrijving te controleren.
- Open Configuratiescherm, typ Configuration Manager in het zoekvak en selecteer deze.
- Selecteer het tabblad Algemeen en controleer het toegewezen beheerpunt.
- Selecteer het tabblad Netwerk en controleer het beheerpunt op internet.
Algemene problemen
Configuration Manager staat alleen een HTTPS-beheerpunt toe voor aan Microsoft Entra gekoppelde clients
Dit probleem treedt op als u Configuration Manager current branch versie 1802 of een eerdere versie gebruikt. In deze versies moeten beheerpunten die u inschakelt voor CMG HTTPS zijn. Vanaf versie 1806 kan het beheerpunt HTTP zijn.
Werk bij naar Configuration Manager current branch versie 1806 of een nieuwere versie om het probleem op te lossen.
Of PKI-certificaten nog steeds een geldige optie zijn in plaats van verbeterde HTTP
PKI-certificaten zijn nog steeds een geldige optie voor u, maar ze hebben de volgende vereisten:
- Alle clientcommunicatie wordt uitgevoerd via HTTPS.
- U moet beschikken over geavanceerde controle over de ondertekeningsinfrastructuur.
Zie Verbeterde HTTP voor meer informatie.
Ik kan het tabblad Communicatie van clientcomputer niet vinden in Siteconfiguratie
Vanaf Configuration Manager current branch versie 1906 wordt dit tabblad gewijzigd in Communication Security.
De optie Door Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen gebruiken is ingeschakeld, maar er wordt geen certificaat ontvangen
Dit gedrag is verwacht. Het kan tot 30 minuten duren voordat het beheerpunt het nieuwe certificaat van de site ontvangt en configureert. U kunt het volgende logboek gebruiken om dit bij te houden, te controleren en te controleren:
<ConfigMgr installation directory>\Logs\CloudMgr.log
Records voor de resources en de bijbehorende gegevens van Microsoft Entra-id worden niet gemaakt in de Configuration Manager-database
Wanneer u de Configuration Management-site onboardt naar Microsoft Entra ID, worden de Microsoft Entra-gebruikersbronnen niet gedetecteerd of ingevuld in de Configuration Manager-database. Meestal ontvangt u de 0x87d00231 fout in dit scenario.
Dit probleem treedt op in een van de volgende situaties:
- U hebt de API-machtigingen voor de app-registratie in Azure Portal niet geconfigureerd.
- Microsoft Entra-gebruikersdetectie is niet ingeschakeld of geconfigureerd.
Volg de stappen in Microsoft Entra-gebruikersdetectie om API-machtigingen en Microsoft Entra-gebruikersdetectie te configureren om het probleem op te lossen. U kunt de volgende logboeken gebruiken om de details te controleren:
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.logop de siteserver%WinDir%\CCM\logs\CcmMessaging.logop de client%WinDir%\CCM\logs\LocationServices.logop de client
Notitie
Als de Configuration Manager-site nieuw of onlangs opnieuw is opgebouwd, moet u ook Active Directory-gebruikersdetectie configureren.
CoManagementHandler.log toont de wachtrijinschrijvingstimer om te worden geactiveerd op...
In het ADALOperationProvider.log-bestand op de Windows-apparaten ziet u Het token Microsoft Entra-id (gebruiker) ophalen en het token Microsoft Entra ID (apparaat) ophalen. Het apparaat is echter niet ingeschreven en de laatste regel in CoManagementHandler.log is de wachtrijinschrijvingstimer om...te worden geactiveerd.
Dit gedrag wordt verwacht in current branch versie 1806 en nieuwere versies van Configuration Manager. Vanaf versie 1806 is automatische inschrijving niet direct voor alle clients. Dit gedrag helpt inschrijving beter te schalen voor grote omgevingen. Configuration Manager randomiseert inschrijving op basis van het aantal clients. Als uw omgeving bijvoorbeeld 100.000 clients heeft, kan de inschrijving meerdere dagen plaatsvinden.
Als u co-beheer wilt bewaken, gaat u naar Co-beheer bewaken>in de Configuration Manager-console.
Ik heb de aangepaste clientinstallatieopdracht gekopieerd vanuit de Configuration Manager-console, maar de Configuration Manager-client kan niet worden geïnstalleerd
Dit probleem treedt op in een van de volgende situaties:
- De installatieparameters in de opdracht voldoen niet aan de ondersteunde waarden.
- De lengte van de opdrachtregel is groter dan 1024 tekens.
Als u het probleem wilt oplossen, moet u ervoor zorgen dat de opdracht voldoet aan de vereiste en dat de opdrachtregel niet langer is dan 1024 tekens.
De status van de Configuration Manager-agent is beschadigd in Intune
Intune evalueert de status van de Configuration Manager-agent op basis van de ClientHealthLastSyncTime en ClientHealthStatus waarden in de volgende registersubsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
De gevonden waarde ClientHealthStatus is een combinatie van meerdere vlaggen, waaronder:
- 1: Client geïnstalleerd
- 2: Client geregistreerd
- 4: Geslaagde statusevaluatie
- 8: Clientinstallatie- of upgradefout
- 16: Communicatiefout met een beheerpunt
Hier volgen algemene waarden van ClientHealthStatus:
- 1: De client is geïnstalleerd, maar is niet geregistreerd
- 3: Client geïnstalleerd en geregistreerd, maar heeft nog geen geslaagde statusevaluatie gerapporteerd
- 5: De client is geïnstalleerd, momenteel niet geregistreerd en heeft een geslaagde statusevaluatie verzonden (eerder)
- 7: Client in orde
- 23: Client was in orde, maar had een communicatiefout met een beheerpunt
Als de ClientHealthStatus waarde 7 (in orde) is, beschouwt Intune de Configuration Manager-client als in orde als de ClientHealthLastSyncTime waarde niet ouder is dan 30 dagen.
Als de ClientHealthStatus waarde niet 7 (niet in orde) is, beschouwt Intune de Configuration Manager-client als in orde als de ClientHealthLastSyncTime waarde niet ouder is dan 48 uur.
De ClientHealthLastSyncTime waarde wordt bijgewerkt door het onderdeel Clientmelding van de Configuration Manager-client en het logboekbestand wordt CcmNotificationAgent.log.
Als u dit probleem wilt oplossen, controleert u het CcmNotificationAgent.log bestand als het ClientHealthLastSyncTime bestand niet up-to-date is. Dit is een voorbeeld:
Het bijwerken van MDM_ConfigSetting.ClientHealthLastSyncTime met de waarde 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)
Als de ClientHealthLastSyncTime waarde up-to-date is, maar de laatste check-in-time van de Configuration Manager-agent 2-1-1900 is in Intune, betekent dit dat de workload van het nalevingsbeleid voor apparaten wordt beheerd door Configuration Manager. In dit geval schakelt u de workload van het nalevingsbeleid over naar Intune of Test intune.
Het CMG-verbindingspunt wordt weergegeven als verbroken
Het probleem treedt op vanwege een machtigingsprobleem tussen het externe sitesysteem waar de CMG-verbindingspuntrol is geïnstalleerd en de primaire site.
Het externe sitesysteem verzamelt het TrafficData rapport van de CMG en stuurt de gegevens vervolgens via statusberichten naar de primaire site. Hier volgt een voorbeeldlogboekfragment van SMS_Cloud_ProxyConnector.log:
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - statusbericht dat moet worden verzonden: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~</ProxyTrafficStateDetails>~~~
Omdat het externe sitesysteem ook een beheerpunt is, worden deze statusberichten verplaatst naar een postvak UIT dat wordt geopend door MP File Dispatch Manager waarmee de bestanden naar de primaire site worden verzonden. Hier volgt een voorbeeldlogboekfragment van mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Verplaatsen 1 *. SMX-bestand(en) van C:\SMS\MP\OUTBOXES\statemsg.box\ naar \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Verplaatst bestand C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX naar \\PS.contoso.com\SMS_PS1\Inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX
Wanneer er een machtigingsprobleem is, heeft MP File Dispatch Manager geen toegang tot de postvakken in de primaire site en wordt de volgende fout in mpfdm.log in het logboek opgeslagen:
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: Kan geen verbinding maken met de bron van het Postvak IN, slaapstand 30 seconden en probeer het opnieuw.
U kunt het probleem oplossen door het computeraccount van het externe sitesysteem toe te voegen aan de groep Lokale beheerders op de primaire site.
Clients kunnen het beheerpunt niet vinden met behulp van de CMG en u ontvangt fout 403
Wanneer dit probleem optreedt, wordt de volgende fout geregistreerd in LocationServices.log op de client:
[CCMHTTP] FOUTINFORMATIE: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
Daarnaast wordt de volgende fout vastgelegd in SMS_Cloud_ProxyConnector.log op de CMG-verbindingspuntserver:
MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SiteSIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
Als de CMG-verbindingspuntserver een geldig certificaat voor clientverificatie heeft, is de meest mogelijke oorzaak dat de certificaatintrekkingslijst (CRL) voor het certificaat niet kan worden gevalideerd. Als dit het geval is, ontvangt u de 0x87d0027e fout en wordt de volgende fout geregistreerd in het CAPI2-gebeurtenislogboek:
De intrekkingsfunctie kan het intrekken niet controleren omdat de intrekkingsserver offline is. 80092013
Als u uitgebreide logboekregistratie inschakelt door de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging registerwaarde in te stellen op 1, worden foutvermeldingen die lijken op het volgende geregistreerd in SMS_Cloud_ProxyConnector.log:
Certificaat voor ketenbuild is mislukt: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Status keten 0: RevocationStatusUnknown
Status keten 1: OfflineRevocation
Build van keten is mislukt: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Status keten 0: RevocationStatusUnknown
Status keten 1: OfflineRevocation
Niet toegestaan certificaat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Gefilterd certificaataantal met toegestane basis-CA en heeft een persoonlijke sleutel: 0
Gefilterd certificaataantal met clientverificatie: 0
Het is raadzaam om in plaats van CRL-controle automatisch uit te schakelen, controleert u eerst of deze werkt. Als u echter niet kunt dat CRL-controle correct werkt, schakelt u de CRL-controle tijdelijk uit op CMG-verbindingspunten. Hiermee kan een clientcertificaat worden geselecteerd zonder CRL-controle uit te voeren en communicatie met het beheerpunt mogelijk te maken.
Meer informatie
Zie de volgende artikelen voor meer informatie over het oplossen van problemen met co-beheer:
- Problemen met co-beheer oplossen: bestaande door Configuration Manager beheerde apparaten automatisch inschrijven bij Intune
- Problemen met workloads voor co-beheer oplossen
Zie de volgende artikelen voor meer informatie over co-beheer van Intune en Configuration Manager: