Устранение неполадок совместного управления: начальная загрузка с помощью современной подготовки

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления, выполнив путь 2. Загрузка клиента Configuration Manager с современной подготовкой.

Этот сценарий возникает, когда у вас есть новые устройства Windows 10, которые присоединяются к идентификатору Microsoft Entra ID и автоматически регистрируются в Intune, а затем устанавливается клиент Configuration Manager для достижения состояния совместного управления.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и убедиться, что вы выполните все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время, чтобы найти решение. Для этого выполните этот контрольный список предварительных вопросов по устранению неполадок:

• Какой вариант гибридного удостоверения Microsoft Entra вы выбрали?
• Что такое текущий центр MDM?
• Вы настроили расширенный ПРОТОКОЛ HTTP?
• Вы создали облачные службы в Azure?
• Вы настроили шлюз управления облаком (CMG)?
• Вы настроили роли, доступные для клиента, для трафика CMG?
• Вы установили клиент Configuration Manager в Intune?

Большинство проблем возникают из-за того, что один или несколько этих шагов не были выполнены. Если вы обнаружили, что шаг был пропущен или не выполнен успешно, проверьте сведения о каждом шаге или ознакомьтесь со следующим руководством.

Руководство. Включение совместного управления для современных подготовленных клиентов

Устранение неполадок гибридной конфигурации Microsoft Entra

Если возникают проблемы, влияющие на гибридное удостоверение Microsoft Entra или Microsoft Entra Connect, ознакомьтесь со следующими руководствами по устранению неполадок:

• Устранение неполадок с установкой Microsoft Entra Connect
• Устранение ошибок во время синхронизации Microsoft Entra Connect
• Устранение неполадок с синхронизацией хэшированных паролей в службе синхронизации Microsoft Entra Connect
• Устранение неполадок с простым единым входом через Microsoft Entra
• Устранение неполадок в работе сквозной аутентификации Microsoft Entra
• Устранение неполадок единого входа с помощью службы федерации Active Directory (AD FS)

Если возникают проблемы, влияющие на гибридное присоединение Microsoft Entra для управляемых доменов или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок:

• Устранение неполадок на устройствах, присоединенных к Microsoft Entra гибридным способом
• Устранение неполадок с устройствами с помощью команды dsregcmd

Часто задаваемые вопросы

Какие роли необходимо настроить совместное управление?

Ниже приведены необходимые разрешения и роли для настройки совместного управления.

Какой журнал можно использовать для проверки рабочих нагрузок и определения того, откуда приходят политики и приложения в сценарии совместного управления?

На устройствах с Windows 10 можно использовать следующий файл журнала:

%WinDir%\CCM\logs\CoManagementHandler.log

Разделы справки убедитесь, что у облачной службы есть уникальное DNS-имя?

Для этого выполните следующие шаги.

1. Войдите в портал Azure, перейдите в раздел "Все службы> Облачные службы (классическая модель)", а затем нажмите кнопку "Добавить".
2. В поле DNS-имени введите имя, которое вы хотите использовать.
3. Если у вас есть имя, доступное для использования, запишите его, не создавая его в области облачных служб .
4. Создайте запись CNAME, которая сопоставляет домен с <name.cloudapp.net> как на внутренних, так и на внешних DNS-серверах.

Где можно найти MSI установки клиента Configuration Manager?

Файл ccmsetup.msi можно найти в следующей папке на сервере сайта Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Разделы справки проверить развертывание клиента Configuration Manager из Intune на управляемые устройства Windows 10?

Чтобы проверить развертывание, выполните следующие действия на устройстве с Windows 10:

1. Откройте проводник и перейдите к ней%WinDir%\CCM\logs.
2. Откройте файл ADALOperationProvider.log с помощью CMTrace и найдите маркер получения маркера идентификатора (пользователя) Microsoft Entra ID и получения маркера идентификатора Microsoft Entra (устройство), чтобы проверить маркеры.
3. В CMTrace откройте файл CoManagementHandler.log, найдите устройство, которое уже зарегистрировано с помощью MDM и устройства, подготовленных для проверки регистрации.
4. Откройте панель управления, введите Configuration Manager в поле поиска и выберите его.
5. Перейдите на вкладку "Общие" и проверьте назначенную точку управления.
6. Выберите вкладку "Сеть" и проверьте точку управления на основе Интернета.

Распространенные проблемы

Configuration Manager разрешает только точку управления с поддержкой HTTPS для клиентов, присоединенных к Microsoft Entra

Эта проблема возникает при использовании Configuration Manager current branch версии 1802 или более ранней версии. В этих версиях точки управления, которые можно включить для CMG, должны быть HTTPS. Начиная с версии 1806 точка управления может быть HTTP.

Чтобы устранить проблему, обновите до Configuration Manager current branch версии 1806 или более поздней версии.

Является ли PKI-сертификат допустимым вариантом вместо расширенного HTTP

PKI-сертификаты по-прежнему являются допустимым вариантом для вас, но они имеют следующие требования:

• Все взаимодействие с клиентом выполняется по протоколу HTTPS.
• Необходимо иметь расширенный контроль над инфраструктурой подписывания.

Дополнительные сведения см. в разделе "Расширенный HTTP".

Не удается найти вкладку "Обмен данными с клиентским компьютером" в разделе "Конфигурация сайта"

Начиная с Configuration Manager current branch версии 1906, эта вкладка переименована в Безопасность связи.

Включен параметр "Использовать созданные Configuration Manager сертификаты для систем сайта HTTP", но сертификат не получен.

Это поведение является ожидаемым. Для получения и настройки нового сертификата на сайте может потребоваться до 30 минут. Для отслеживания, мониторинга и проверки можно использовать следующий журнал:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Записи для ресурсов и связанных с ними сведений из идентификатора Microsoft Entra не создаются в базе данных Configuration Manager

При подключении сайта управления конфигурацией к идентификатору Microsoft Entra пользовательские ресурсы Microsoft Entra не обнаруживаются или заполняются в базе данных Configuration Manager. Как правило, в этом сценарии возникает ошибка 0x87d00231.

Эта проблема возникает в одной из следующих ситуаций:

• Вы не успешно настроите разрешения API для регистрации приложения в портал Azure.
• Обнаружение пользователей Microsoft Entra не включено или настроено.

Чтобы устранить проблему, выполните действия, описанные в microsoft Entra user Discovery , чтобы настроить разрешения API и обнаружение пользователей Microsoft Entra. Для проверки сведений можно использовать следующие журналы:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log на сервере сайта
• %WinDir%\CCM\logs\CcmMessaging.log на клиенте
• %WinDir%\CCM\logs\LocationServices.log на клиенте

Примечание.

Если сайт Configuration Manager создан или недавно перестроен, необходимо также настроить обнаружение пользователей Active Directory.

CoManagementHandler.log показан таймер регистрации очередей для пожара на...

Файл ADALOperationProvider.log на устройствах Windows отображает маркер получения маркера идентификатора (пользователя) Microsoft Entra ID и получения маркера идентификатора microsoft entra (device). Однако устройство не зарегистрировано, а последняя строка в CoManagementHandler.log — таймер регистрации очередей для запуска в....

Это поведение ожидается в Configuration Manager current branch версии 1806 и более поздних версий. Начиная с версии 1806 автоматическая регистрация не является немедленной для всех клиентов. Это поведение помогает лучше масштабировать регистрацию для больших сред. Configuration Manager случайным образом определяет регистрацию на основе количества клиентов. Например, если в вашей среде есть 100 000 клиентов, регистрация может произойти в течение нескольких дней.

Чтобы отслеживать совместное управление, перейдите к разделу "Мониторинг>совместного управления" в консоли Configuration Manager.

Я скопировал настраиваемую команду установки клиента из консоли Configuration Manager, но не удается установить клиент Configuration Manager.

Эта проблема возникает в одной из следующих ситуаций:

• Параметры установки в команде не соответствуют поддерживаемым значениям.
• Длина командной строки превышает 1024 символов.

Чтобы устранить проблему, убедитесь, что команда соответствует требованию, и командная строка не превышает 1024 символов.

Состояние агента Configuration Manager неработоспособно в Intune

Intune оценивает состояние агента Configuration Manager на ClientHealthLastSyncTime основе значений и ClientHealthStatus значений в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Значение, найденное в ClientHealthStatus сочетании нескольких флагов, которые включают:

• 1. Установленный клиент
• 2. Зарегистрированный клиент
• 4. Успешная оценка работоспособности
• 8. Ошибка установки или обновления клиента
• 16. Ошибка связи с точкой управления

Ниже приведены распространенные значения ClientHealthStatus:

• 1. Клиент установлен, но не зарегистрирован
• 3. Клиент установлен и зарегистрирован, но еще не сообщил об успешной оценке работоспособности.
• 5. Клиент установлен, не зарегистрирован и отправлен успешной оценки работоспособности (ранее)
• 7. Работоспособный клиент
• 23. Клиент был работоспособным, но имел ошибку связи с точкой управления

ClientHealthStatus Если значение равно 7 (работоспособно), Intune считает клиент Configuration Manager работоспособным, если ClientHealthLastSyncTime он не старше 30 дней.

ClientHealthStatus Если значение не равно 7 (неработоспособно), Intune считает клиент Configuration Manager работоспособным, если ClientHealthLastSyncTime значение не старше 48 часов.

Значение ClientHealthLastSyncTime обновляется компонентом уведомления клиента клиента Configuration Manager, а файл журнала CcmNotificationAgent.log.

Чтобы устранить эту проблему, проверьте файл CcmNotificationAgent.log, если он ClientHealthLastSyncTime не обновлен. Рассмотрим пример:

Обновление MDM_ConfigSetting.ClientHealthLastSyncTime со значением 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

ClientHealthLastSyncTime Если значение актуально, но последнее время проверки агента Configuration Manager равно 2/1/1900 в Intune, это означает, что рабочая нагрузка политик соответствия устройств управляется Configuration Manager. В этом случае переключите рабочую нагрузку политик соответствия на Intune или Pilot Intune.

Точка подключения CMG отображается как отключенная

Проблема возникает из-за проблем с разрешениями между удаленной системой сайта, в которой установлена роль точки подключения CMG и первичный сайт.

Удаленная система сайта собирает TrafficData отчет из CMG, а затем отправляет данные на первичный сайт через сообщения о состоянии. Ниже приведен пример фрагмента журнала SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData — сообщение о состоянии для отправки: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/~~ />EndPoints~~</ProxyTrafficStateDetails>>~~~<~~

Так как удаленная система сайта также является точкой управления, эти сообщения о состоянии перемещаются в папку", доступ к которому осуществляется диспетчером файлов MP, который отправляет файлы на первичный сайт. Ниже приведен пример фрагмента журнала mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~ Перемещение 1 *. SMX-файлы из C:\SMS\MP\OUTBOXES\statemsg.box\ в папку \\PS.contoso.com\SMS_PS1\входящие\входящие\входящие\папки\входящие\входящие\папки \\SMS\MP\OUTBOXES\statemsg.box.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Перемещенный файл C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX до \\PS.contoso.com\SMS_PS1\___CMUp5onztqe входящие\входящие\SMX

При возникновении проблемы с разрешением диспетчер диспетчера файлов MP не удается получить доступ к почтовым ящикам на основном сайте и регистрирует следующую ошибку в mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: не удается подключиться к источнику папки "Входящие", 30 секунд и повторите попытку.

Чтобы устранить проблему, добавьте учетную запись компьютера удаленной системы сайта в группу локальных администраторов на основном сайте.

Клиенты не могут найти точку управления с помощью CMG, и вы получите ошибку 403.

При возникновении этой проблемы следующая ошибка регистрируется LocationServices.log на клиенте:

[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Кроме того, следующая ошибка регистрируется в SMS_Cloud_ProxyConnector.log на сервере точки подключения CMG:

MessageID: ID> RequestURI: <https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 мс SMS_CLOUD_PROXYCONNECTOR

Если сервер точки подключения CMG имеет действительный сертификат проверки подлинности клиента, наиболее возможной причиной является сбой проверки списка отзыва сертификатов (CRL) для сертификата. Если это так, вы получите ошибку 0x87d0027e, а следующая ошибка регистрируется в журнале событий CAPI2:

Функция отзыва не смогла проверить отзыв, потому что сервер отзыва был отключен. 80092013

Кроме того, если включить подробное ведение журнала, задав HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging значение реестра равным 1, записи ошибок, похожие на следующие, регистрируются в SMS_Cloud_ProxyConnector.log:

Сбой сертификата сборки цепочки: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Состояние Chain 0: RevocationStatusUnknown
Состояние chain 1: OfflineRevocation
Сбой сертификата сборки цепочки: 54E09FEA31FE83F9A8AA5389B8D08B34D4D42FB3CF
Состояние Chain 0: RevocationStatusUnknown
Состояние chain 1: OfflineRevocation
Недопустимый сертификат: 52E140B1D1D16A556AB7793B63DE8795BBC4616 52E140B1D1D16A556AB7793B63DE87955BBC4616
Отфильтрованное число сертификатов с разрешенным корневым ЦС и закрытым ключом: 0
Отфильтрованное число сертификатов с проверкой подлинности клиента: 0

Мы рекомендуем вместо автоматической отключения проверки списка отзыва сертификатов сначала убедиться, что она работает. Однако если проверка списка отзыва сертификатов не работает правильно, временно отключите проверку списка отзыва сертификатов для точек подключения CMG. Это позволяет выбрать сертификат клиента без проверки списка отзыва сертификатов и включить связь с точкой управления.

Дополнительная информация

Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

• Устранение неполадок совместного управления: автоматическая регистрация существующих устройств, управляемых Configuration Manager, в Intune
• Устранение неполадок с рабочими нагрузками совместного управления

Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях:

• Обзор совместного управления Windows 10
• Начало работы: пути к совместному управлению
• Краткие руководства по совместному управлению
• Руководство. Включение совместного управления для существующих клиентов Configuration Manager
• Подготовка интернет-устройств для совместного управления