Rozwiązywanie problemów ze współzarządzaniem: uruchamianie przy użyciu nowoczesnej aprowizacji
Ten artykuł pomaga zrozumieć i rozwiązać problemy, które mogą wystąpić podczas konfigurowania współzarządzania, przechodząc do ścieżki 2: Bootstrap klienta programu Configuration Manager z nowoczesną aprowizowaniem.
Ten scenariusz występuje, gdy masz nowe urządzenia z systemem Windows 10, które dołączają do usługi Microsoft Entra ID i automatycznie rejestrują się w usłudze Intune, a następnie instalujesz klienta programu Configuration Manager w celu osiągnięcia stanu współzarządzania.
Przed rozpoczęciem
Przed rozpoczęciem rozwiązywania problemów ważne jest zebranie podstawowych informacji o problemie i upewnienie się, że zostały zastosowane wszystkie wymagane kroki konfiguracji. Pomaga to lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania. Aby to zrobić, postępuj zgodnie z tą listą kontrolną pytań wstępnych dotyczących rozwiązywania problemów:
- Która opcja tożsamości hybrydowej firmy Microsoft Entra została wybrana?
- Jaki jest bieżący urząd MDM?
- Czy skonfigurowaliśmy rozszerzony protokół HTTP?
- Czy utworzono usługi w chmurze na platformie Azure?
- Czy skonfigurowano bramę zarządzania chmurą (CMG)?
- Czy skonfigurowaliśmy role klienta dla ruchu CMG?
- Czy zainstalowano klienta programu Configuration Manager w usłudze Intune?
Większość problemów występuje, ponieważ co najmniej jeden z tych kroków nie został ukończony. Jeśli okaże się, że krok został pominięty lub nie został ukończony pomyślnie, sprawdź szczegóły każdego kroku lub zapoznaj się z następującym samouczkiem:
Samouczek: włączanie współzarządzania dla nowoczesnych aprowizowanych klientów
Rozwiązywanie problemów z hybrydową konfiguracją firmy Microsoft Entra
Jeśli występują problemy, które mają wpływ na tożsamość hybrydową firmy Microsoft Entra lub Microsoft Entra Connect, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:
- Rozwiązywanie problemów z instalacją programu Microsoft Entra Connect
- Rozwiązywanie problemów z błędami podczas synchronizacji programu Microsoft Entra Connect
- Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi synchronizacji programu Microsoft Entra Connect
- Rozwiązywanie problemów z bezproblemowym logowaniem jednokrotnym usługi Microsoft Entra
- Rozwiązywanie problemów z uwierzytelnianiem z przekazywanie w usłudze Microsoft Entra
- Rozwiązywanie problemów z logowaniem jednokrotnym w usługach Active Directory Federation Services
Jeśli występują problemy, które mają wpływ na dołączanie hybrydowe firmy Microsoft Entra dla domen zarządzanych lub domen federacyjnych, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:
- Rozwiązywanie problemów z urządzeniami przyłączonymi hybrydowo Microsoft Entra
- Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd
Często zadawane pytania
Jakie role muszę skonfigurować współzarządzanie?
Poniżej przedstawiono wymagane uprawnienia i role do konfigurowania współzarządzania.
Jakiego dziennika można użyć do weryfikowania obciążeń i określania, skąd pochodzą zasady i aplikacje w scenariuszu współzarządzania?
Na urządzeniach z systemem Windows 10 można użyć następującego pliku dziennika:
%WinDir%\CCM\logs\CoManagementHandler.log
Jak mogę sprawdzić, czy moja usługa w chmurze ma unikatową nazwę DNS?
W tym celu wykonaj następujące kroki:
- Zaloguj się w witrynie Azure Portal, przejdź do pozycji Wszystkie usługi>w chmurze (wersja klasyczna), a następnie kliknij przycisk Dodaj.
- W polu Nazwa DNS wprowadź nazwę, której chcesz użyć.
- Jeśli masz nazwę, która jest dostępna do użycia, zanotuj ją bez tworzenia jej w okienku Usługa w chmurze.
- Utwórz rekord CNAME, który mapuje domenę na <name.cloudapp.net> zarówno na wewnętrzne, jak i zewnętrzne serwery DNS.
Gdzie można znaleźć instalatora usługi zarządzanej klienta programu Configuration Manager?
Plik ccmsetup.msi można znaleźć w następującym folderze na serwerze lokacji programu Configuration Manager:
<ConfigMgr installation directory>\bin\i386
Jak mogę zweryfikować wdrożenie klienta programu Configuration Manager z usługi Intune na zarządzanych urządzeniach z systemem Windows 10?
Aby zweryfikować wdrożenie, wykonaj następujące kroki na urządzeniu z systemem Windows 10:
- Otwórz Eksplorator plików i przejdź do
%WinDir%\CCM\logswitryny . - Otwórz plik ADALOperationProvider.log za pomocą narzędzia CMTrace i poszukaj tokenu Uzyskiwanie tokenu Identyfikator entra firmy Microsoft (użytkownika) i Uzyskiwanie tokenu identyfikatora entra firmy Microsoft (urządzenia), aby zweryfikować tokeny.
- W programie CMTrace otwórz plik CoManagementHandler.log, wyszukaj pozycję Urządzenie jest już zarejestrowane w usłudze MDM i Device Provisioned , aby zweryfikować rejestrację.
- Otwórz Panel sterowania, wpisz Configuration Manager w polu wyszukiwania, a następnie wybierz go.
- Wybierz kartę Ogólne i sprawdź przypisany punkt zarządzania.
- Wybierz kartę Sieć i sprawdź internetowy punkt zarządzania.
Typowe problemy
Program Configuration Manager zezwala tylko na punkt zarządzania z obsługą protokołu HTTPS dla klientów dołączonych do firmy Microsoft Entra
Ten problem występuje, jeśli używasz programu Configuration Manager current Branch w wersji 1802 lub starszej. W tych wersjach punkty zarządzania włączone dla usługi CMG muszą być https. Począwszy od wersji 1806, punkt zarządzania może być HTTP.
Aby rozwiązać ten problem, zaktualizuj program Configuration Manager do bieżącej gałęzi w wersji 1806 lub nowszej.
Czy certyfikaty PKI są nadal prawidłową opcją zamiast rozszerzonego protokołu HTTP
Certyfikaty PKI są nadal prawidłową opcją, ale mają następujące wymagania:
- Cała komunikacja klienta odbywa się za pośrednictwem protokołu HTTPS.
- Musisz mieć zaawansowaną kontrolę nad infrastrukturą podpisywania.
Aby uzyskać więcej informacji, zobacz Ulepszony protokół HTTP.
Nie mogę znaleźć karty Komunikacja komputera klienckiego w konfiguracji lokacji
Począwszy od bieżącej gałęzi programu Configuration Manager w wersji 1906, ta karta została zmieniona na Zabezpieczenia komunikacji.
Opcja Użyj certyfikatów wygenerowanych przez program Configuration Manager dla systemów lokacji HTTP jest włączona, ale żaden certyfikat nie jest odbierany
To zachowanie jest oczekiwane. Odebranie i skonfigurowanie nowego certyfikatu z lokacji może potrwać do 30 minut. Do śledzenia, monitorowania i weryfikowania tego dziennika można użyć następującego dziennika:
<ConfigMgr installation directory>\Logs\CloudMgr.log
Rekordy zasobów i skojarzonych z nimi informacji z identyfikatora Entra firmy Microsoft nie są tworzone w bazie danych programu Configuration Manager
Po dołączeniu lokacji zarządzania konfiguracją do identyfikatora entra firmy Microsoft zasoby użytkownika Microsoft Entra nie są odnajdywane ani wypełniane w bazie danych programu Configuration Manager. Zazwyczaj w tym scenariuszu występuje błąd 0x87d00231.
Ten problem występuje w jednej z następujących sytuacji:
- Nie skonfigurowaliśmy pomyślnie uprawnień interfejsu API do rejestracji aplikacji w witrynie Azure Portal.
- Odnajdywanie użytkowników firmy Microsoft Entra nie jest włączone ani skonfigurowane.
Aby rozwiązać ten problem, wykonaj kroki opisane w temacie Microsoft Entra user Discovery , aby skonfigurować uprawnienia interfejsu API i odnajdywanie użytkowników firmy Microsoft Entra. Aby sprawdzić szczegóły, możesz użyć następujących dzienników:
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.logna serwerze lokacji%WinDir%\CCM\logs\CcmMessaging.logna kliencie%WinDir%\CCM\logs\LocationServices.logna kliencie
Uwaga 16.
Jeśli lokacja programu Configuration Manager jest nowa lub niedawno przebudowana, należy również skonfigurować odnajdywanie użytkowników usługi Active Directory.
CoManagementHandler.log pokazuje czasomierz rejestracji kolejkowania do uruchomienia w...
Plik ADALOperationProvider.log na urządzeniach z systemem Windows zawiera token Uzyskiwanie tokenu identyfikatora Entra (użytkownika) firmy Microsoft i Token pobierania identyfikatora Entra (urządzenia) firmy Microsoft. Jednak urządzenie nie jest zarejestrowane, a ostatni wiersz w CoManagementHandler.log to kolejkowanie czasomierza rejestracji do uruchomienia o....
To zachowanie jest oczekiwane w programie Configuration Manager w wersji 1806 lub nowszej. Począwszy od wersji 1806, automatyczna rejestracja nie jest natychmiastowa dla wszystkich klientów. To zachowanie pomaga lepiej skalować rejestrację w przypadku dużych środowisk. Program Configuration Manager losuje rejestrację na podstawie liczby klientów. Jeśli na przykład środowisko ma 100 000 klientów, rejestracja może wystąpić w ciągu kilku dni.
Aby monitorować współzarządzanie, przejdź do sekcji Monitorowanie>współzarządzania w konsoli programu Configuration Manager.
Skopiowano dostosowane polecenie instalacji klienta z konsoli programu Configuration Manager, ale nie można zainstalować klienta programu Configuration Manager
Ten problem występuje w jednej z następujących sytuacji:
- Parametry instalacji w poleceniu nie są zgodne z obsługiwanymi wartościami.
- Długość wiersza polecenia jest większa niż 1024 znaki.
Aby rozwiązać ten problem, upewnij się, że polecenie spełnia wymagania, a wiersz polecenia nie przekracza 1024 znaków.
Stan agenta programu Configuration Manager jest w złej kondycji w usłudze Intune
Usługa Intune ocenia stan agenta programu Configuration Manager na ClientHealthLastSyncTime podstawie wartości i ClientHealthStatus w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
Wartość znaleziona w pliku ClientHealthStatus to kombinacja wielu flag, które obejmują:
- 1: Zainstalowany klient
- 2: Zarejestrowany klient
- 4. Pomyślna ocena kondycji
- 8: Błąd instalacji lub uaktualniania klienta
- 16: Błąd komunikacji z punktem zarządzania
Poniżej przedstawiono typowe wartości elementu ClientHealthStatus:
- 1: Klient jest zainstalowany, ale nie został zarejestrowany
- 3: Klient został zainstalowany i zarejestrowany, ale nie zgłosił jeszcze pomyślnej oceny kondycji
- 5: Klient jest zainstalowany, obecnie niezarejestrowany i wysłał pomyślną ocenę kondycji (wcześniej)
- 7: Klient w dobrej kondycji
- 23: Klient był w dobrej kondycji, ale miał błąd komunikacji z punktem zarządzania
ClientHealthStatus Jeśli wartość to 7 (w dobrej kondycji), usługa Intune uzna klienta programu Configuration Manager za w dobrej kondycji, jeśli ClientHealthLastSyncTime wartość nie jest starsza niż 30 dni.
ClientHealthStatus Jeśli wartość nie jest równa 7 (w złej kondycji), usługa Intune uważa, że klient programu Configuration Manager jest w dobrej kondycji, jeśli ClientHealthLastSyncTime nie jest starszy niż 48 godzin.
Wartość ClientHealthLastSyncTime jest aktualizowana przez składnik powiadomienia klienta klienta programu Configuration Manager, a plik dziennika jest CcmNotificationAgent.log.
Aby rozwiązać ten problem, sprawdź plik CcmNotificationAgent.log, jeśli ClientHealthLastSyncTime plik nie jest aktualny. Oto przykład:
Aktualizowanie MDM_ConfigSetting.ClientHealthLastSyncTime z wartością 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)
ClientHealthLastSyncTime Jeśli wartość jest aktualna, ale czas ostatniego zaewidencjonowania agenta programu Configuration Manager to 2/1/1900 w usłudze Intune, oznacza to, że obciążenie zasad zgodności urządzeń jest zarządzane przez program Configuration Manager. W takim przypadku przełącz obciążenie zasad zgodności na usługę Intune lub pilotaż usługi Intune.
Punkt połączenia CMG jest wyświetlany jako odłączony
Problem występuje z powodu problemu z uprawnieniami między zdalnym systemem lokacji, w którym zainstalowano rolę punktu połączenia CMG i lokację główną.
Zdalny system lokacji zbiera TrafficData raport z cmG, a następnie wysyła dane do lokacji głównej za pośrednictwem komunikatów o stanie. Oto przykładowy fragment kodu dziennika SMS_Cloud_ProxyConnector.log:
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData — komunikat o stanie do wysłania: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~
Ponieważ zdalny system lokacji jest również punktem zarządzania, te komunikaty o stanie są przenoszone do skrzynki odbiorczej, która jest dostępna przez Menedżera wysyłania plików MP, który wysyła pliki do lokacji głównej. Oto przykładowy fragment kodu dziennika mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Przenoszenie 1 *. Pliki SMX z C:\SMS\MP\OUTBOXES\statemsg.box\ do \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Przeniesiony plik C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX do \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX
Jeśli występuje problem z uprawnieniami, Menedżer wysyłania plików MP nie może uzyskać dostępu do skrzynek odbiorczych w lokacji głównej i rejestruje następujący błąd w mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**BŁĄD: Nie można nawiązać połączenia ze źródłem skrzynki odbiorczej, uśpić 30 sekund i spróbować ponownie.
Aby rozwiązać ten problem, dodaj konto komputera zdalnego systemu lokacji do grupy Administratorzy lokalni w lokacji głównej.
Klienci nie mogą zlokalizować punktu zarządzania przy użyciu cmG i występuje błąd 403
W przypadku wystąpienia tego problemu na kliencie jest rejestrowany następujący błąd LocationServices.log:
[CCMHTTP] INFORMACJE O BŁĘDZIE: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
Ponadto następujący błąd jest rejestrowany w SMS_Cloud_ProxyConnector.log na serwerze punktu połączenia CMG:
MessageID: <identyfikator> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
Jeśli serwer punktu połączenia cmG ma prawidłowy certyfikat uwierzytelniania klienta, najbardziej możliwą przyczyną jest niepowodzenie weryfikacji listy odwołania certyfikatów (CRL) dla certyfikatu. W takim przypadku zostanie wyświetlony błąd 0x87d0027e, a w dzienniku zdarzeń CAPI2 jest rejestrowany następujący błąd:
Funkcja odwołania nie mogła sprawdzić odwołania, ponieważ serwer odwołania jest w trybie offline. 80092013
Ponadto jeśli włączysz pełne rejestrowanie, ustawiając HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging wartość rejestru na 1, wpisy błędów podobne do następujących są rejestrowane w SMS_Cloud_ProxyConnector.log:
Certyfikat kompilacji łańcuchowej zakończył się niepowodzeniem: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Stan łańcucha 0: OdwołaniaStatusUnknown
Stan łańcucha 1: Wywołanie offline
Kompilacja łańcucha zakończyła się niepowodzeniem certyfikatu: 54E09FEA31FE83F9A8A5389B8D08B34D42FB3CF
Stan łańcucha 0: OdwołaniaStatusUnknown
Stan łańcucha 1: Wywołanie offline
Niedozwolony certyfikat: 52E140B1D16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Filtrowana liczba certyfikatów z dozwolonym głównym urzędem certyfikacji i ma klucz prywatny: 0
Filtrowana liczba certyfikatów przy użyciu uwierzytelniania klienta: 0
Zalecamy, aby zamiast automatycznie wyłączać sprawdzanie listy CRL, najpierw upewnij się, że działa. Jeśli jednak nie możesz prawidłowo sprawdzić listy CRL, tymczasowo wyłącz sprawdzanie listy CRL dla punktów połączenia CMG. Umożliwia to wybranie certyfikatu klienta bez przeprowadzania sprawdzania listy CRL i umożliwia komunikację z punktem zarządzania.
Więcej informacji
Aby uzyskać więcej informacji na temat rozwiązywania problemów ze współzarządzaniem, zobacz następujące artykuły:
- Rozwiązywanie problemów z współzarządzaniem: automatyczne rejestrowanie istniejących urządzeń zarządzanych przez program Configuration Manager w usłudze Intune
- Rozwiązywanie problemów z obciążeniami współzarządzania
Aby uzyskać więcej informacji na temat współzarządzania w usłudze Intune i programie Configuration Manager, zobacz następujące artykuły: