Felsöka samhantering: Bootstrap med modern etablering

Den här artikeln hjälper dig att förstå och felsöka problem som kan uppstå när du konfigurerar samhantering genom att använda sökväg 2: Bootstrap configuration manager-klienten med modern etablering.

Det här scenariot inträffar när du har nya Windows 10-enheter som ansluter till Microsoft Entra-ID och automatiskt registrerar sig i Intune, och sedan installerar du Configuration Manager-klienten för att nå ett samhanteringstillstånd.

Innan du börjar

Innan du börjar felsöka är det viktigt att samla in grundläggande information om problemet och se till att du följer alla nödvändiga konfigurationssteg. Detta hjälper dig att bättre förstå problemet och minska tiden för att hitta en lösning. Det gör du genom att följa den här checklistan med förfelningsfrågor:

• Vilket Hybrididentitetsalternativ för Microsoft Entra valde du?
• Vilken är din nuvarande MDM-utfärdare?
• Har du konfigurerat förbättrad HTTP?
• Skapade du molntjänsterna i Azure?
• Har du konfigurerat molnhanteringsgatewayen (CMG)?
• Konfigurerade du klientinriktade roller för CMG-trafik?
• Har du installerat Configuration Manager-klienten i Intune?

De flesta problem uppstår eftersom en eller flera av de här stegen inte har slutförts. Om du upptäcker att ett steg hoppades över eller inte slutfördes kan du kontrollera informationen om varje steg eller se följande självstudie:

Självstudie: Aktivera samhantering för moderna etablerade klienter

Felsöka Microsoft Entra-hybridkonfiguration

Om du har problem som påverkar antingen Microsoft Entra-hybrididentiteten eller Microsoft Entra Connect kan du läsa följande felsökningsguider:

• Felsöka installationsproblem med Microsoft Entra Connect
• Felsöka fel under Microsoft Entra Connect-synkronisering
• Felsöka synkronisering av lösenordshash med Microsoft Entra ID Connect-synkronisering
• Felsöka sömlös enkel inloggning med Microsoft Entra
• Felsöka Direktautentisering för Microsoft Entra
• Felsöka problem med enkel inloggning med Active Directory Federation Services (AD FS)

Om du har problem som påverkar Microsoft Entra-hybridanslutning för hanterade domäner eller federerade domäner kan du läsa följande felsökningsguider:

• Felsöka Microsoft Entra hybridanslutna enheter
• Felsöka enheter med kommandot dsregcmd

Vanliga frågor och svar

Vilka roller behöver jag för att konfigurera samhantering?

Här är de behörigheter och roller som krävs för att konfigurera samhantering.

Vilken logg kan jag använda för att verifiera arbetsbelastningar och avgöra var principer och appar kommer ifrån i ett samhanteringsscenario?

Du kan använda följande loggfil på Windows 10-enheter:

%WinDir%\CCM\logs\CoManagementHandler.log

Hur gör jag för att verifiera att min molntjänst har ett unikt DNS-namn?

För att göra detta följer du stegen nedan:

1. Logga in på Azure Portal, gå till Alla tjänster>Cloud Services (klassisk) och klicka sedan på Lägg till.
2. I fältet i DNS-namn anger du ett namn som du vill använda.
3. När du har ett namn som är tillgängligt för dig att använda kan du notera det utan att skapa det i fönstret Molntjänst .
4. Skapa en CNAME-post som mappar din domän till <name.cloudapp.net> på både interna och externa DNS-servrar.

Var hittar jag konfigurations-MSI för Configuration Manager-klienten?

Du hittar ccmsetup.msi-filen i följande mapp på Configuration Manager-platsservern:

<ConfigMgr installation directory>\bin\i386

Hur gör jag för att verifiera konfigurationshanterarens klientdistribution från Intune till de hanterade Windows 10-enheterna?

Följ dessa steg på Windows 10-enheten för att verifiera distributionen:

1. Öppna Utforskaren och gå till %WinDir%\CCM\logs.
2. Öppna ADALOperationProvider.log-filen med CMTrace och leta efter Hämta Microsoft Entra-ID-token (användare) och Hämta Microsoft Entra-ID-token (enhet) för att verifiera token.
3. I CMTrace öppnar du filen CoManagementHandler.log. Leta efter Enheten har redan registrerats med MDM och Device Provisioned för att verifiera registreringen.
4. Öppna Kontrollpanelen, skriv Configuration Manager i sökrutan och välj den.
5. Välj fliken Allmänt och kontrollera den tilldelade hanteringsplatsen.
6. Välj fliken Nätverk och verifiera den Internetbaserade hanteringsplatsen.

Vanliga problem

Configuration Manager tillåter endast en HTTPS-aktiverad hanteringsplats för Microsoft Entra-anslutna klienter

Det här problemet uppstår om du använder Configuration Manager nuvarande grenversion 1802 eller en tidigare version. I dessa versioner måste hanteringsplatser som du aktiverar för CMG vara HTTPS. Från och med version 1806 kan hanteringsplatsen vara HTTP.

Åtgärda problemet genom att uppdatera till Den aktuella grenversionen av Configuration Manager 1806 eller en senare version.

Om PKI-certifikat fortfarande är ett giltigt alternativ i stället för utökad HTTP

PKI-certifikat är fortfarande ett giltigt alternativ för dig, men de har följande krav:

• All klientkommunikation sker via HTTPS.
• Du måste ha avancerad kontroll över signeringsinfrastrukturen.

Mer information finns i Förbättrad HTTP.

Jag hittar inte fliken Klientdatorkommunikation i Platskonfiguration

Från och med Den aktuella grenversionen av Configuration Manager 1906 byter den här fliken namn till Kommunikationssäkerhet.

Alternativet Använd Configuration Manager-genererade certifikat för HTTP-platssystem är aktiverat, men inget certifikat tas emot

Detta är ett förväntat beteende. Det kan ta upp till 30 minuter innan hanteringsplatsen tar emot och konfigurerar det nya certifikatet från platsen. Du kan använda följande logg för att spåra, övervaka och verifiera detta:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Poster för resurserna och deras associerade information från Microsoft Entra-ID skapas inte i Configuration Manager-databasen

När du registrerar configuration management-platsen till Microsoft Entra-ID identifieras inte Microsoft Entra-användarresurserna eller fylls i i Configuration Manager-databasen. Vanligtvis får du felet 0x87d00231 i det här scenariot.

Det här problemet uppstår i någon av följande situationer:

• Du har inte konfigurerat API-behörigheterna för appregistreringen i Azure Portal.
• Microsoft Entra-användaridentifiering är inte aktiverat eller konfigurerat.

Åtgärda problemet genom att följa stegen i Microsoft Entra-användaridentifiering för att konfigurera API-behörigheter och Microsoft Entra-användaridentifiering. Du kan använda följande loggar för att kontrollera information:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log på platsservern
• %WinDir%\CCM\logs\CcmMessaging.log på klienten
• %WinDir%\CCM\logs\LocationServices.log på klienten

Kommentar

Om Configuration Manager-platsen är ny eller nyligen återskapad måste du även konfigurera Active Directory User Discovery.

CoManagementHandler.log visar köregistreringstimern som ska utlösas...

Filen ADALOperationProvider.log på Windows-enheterna visar Hämta Microsoft Entra-ID-token (användare) och Hämta Microsoft Entra-ID-token (enhet). Enheten har dock inte registrerats och den sista raden i CoManagementHandler.log är Köregistreringstimer att utlösa på....

Det här beteendet förväntas i Den aktuella grenversionen av Configuration Manager 1806 och senare versioner. Från och med version 1806 är automatisk registrering inte omedelbar för alla klienter. Det här beteendet hjälper registrering att skala bättre för stora miljöer. Configuration Manager randomiserar registreringen baserat på antalet klienter. Om din miljö till exempel har 100 000 klienter kan registreringen ske under flera dagar.

Om du vill övervaka samhantering går du till Övervakning>av samhantering i Configuration Manager-konsolen.

Jag kopierade det anpassade klientinstallationskommandot från Configuration Manager-konsolen, men Configuration Manager-klienten kan inte installeras

Det här problemet uppstår i någon av följande situationer:

• Installationsparametrarna i kommandot överensstämmer inte med de värden som stöds.
• Längden på kommandoraden är större än 1 024 tecken.

Åtgärda problemet genom att kontrollera att kommandot uppfyller kravet och att kommandoraden inte är längre än 1 024 tecken.

Configuration Manager-agenttillståndet är inte felfri i Intune

Intune utvärderar Configuration Manager-agenttillståndet baserat på ClientHealthLastSyncTime värdena och ClientHealthStatus i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Värdet som hittas i ClientHealthStatus är en kombination av flera flaggor som omfattar:

• 1: Klienten har installerats
• 2: Klient registrerad
• 4: Lyckad hälsoutvärdering
• 8: Fel vid klientinstallation eller uppgradering
• 16: Kommunikationsfel med en hanteringsplats

Följande är vanliga värden för ClientHealthStatus:

• 1: Klienten har installerats, men har inte registrerats
• 3: Klienten har installerats och registrerats, men har ännu inte rapporterat någon lyckad hälsoutvärdering
• 5: Klienten har installerats, inte registrerats för tillfället och skickat en lyckad hälsoutvärdering (tidigare)
• 7: Klienten är felfri
• 23: Klienten var felfri men hade ett kommunikationsfel med en hanteringsplats

Om värdet ClientHealthStatus är 7 (felfritt) anser Intune att Configuration Manager-klienten är felfri om den ClientHealthLastSyncTime inte är äldre än 30 dagar.

Om värdet ClientHealthStatus inte är 7 (inte felfri) betraktar Intune Configuration Manager-klienten som felfri om den ClientHealthLastSyncTime inte är äldre än 48 timmar.

Värdet ClientHealthLastSyncTime uppdateras av komponenten Klientmeddelande i Configuration Manager-klienten och loggfilen är CcmNotificationAgent.log.

Om du vill felsöka det här problemet kontrollerar du CcmNotificationAgent.log filen om den ClientHealthLastSyncTime inte är uppdaterad. Här är ett exempel:

Uppdaterar MDM_ConfigSetting.ClientHealthLastSyncTime med värdet 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

ClientHealthLastSyncTime Om värdet är uppdaterat, men den senaste incheckningstiden för Configuration Manager-agenten är 2/1/1900 i Intune, innebär det att arbetsbelastningen för enhetsefterlevnadsprinciper hanteras av Configuration Manager. I det här fallet växlar du arbetsbelastningen efterlevnadsprinciper till Intune eller Pilot Intune.

CMG-anslutningspunkten visas som frånkopplad

Problemet uppstår på grund av ett behörighetsproblem mellan fjärrplatssystemet där CMG-anslutningspunktsrollen är installerad och den primära platsen.

Fjärrplatssystemet samlar in TrafficData rapporten från CMG och skickar sedan data till den primära platsen via tillståndsmeddelanden. Här är ett exempel på ett loggfragment med SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData – tillståndsmeddelande att skicka: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Eftersom fjärrplatssystemet också är en hanteringsplats flyttas dessa tillståndsmeddelanden till en utkorg som nås av MP File Dispatch Manager som skickar filerna till den primära platsen. Här är ett exempel på ett loggfragment med mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Flytta 1 *. SMX-filer från C:\SMS\MP\OUTBOXES\statemsg.box\ till \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Moved file C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX to \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

När det finns ett behörighetsproblem kan MP File Dispatch Manager inte komma åt inkorgarna på den primära platsen och loggar följande fel i mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**FEL: Det går inte att ansluta till inkorgskällan, viloläge 30 sekunder och försök igen.

Åtgärda problemet genom att lägga till datorkontot för fjärrplatssystemet i gruppen Lokala administratörer på den primära platsen.

Klienter kan inte hitta hanteringsplatsen med hjälp av CMG och du får fel 403

När det här problemet uppstår loggas följande fel i LocationServices.log på klienten:

[CCMHTTP] FELINFORMATION: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Dessutom loggas följande fel i SMS_Cloud_ProxyConnector.log på CMG-anslutningspunktsservern:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Om CMG-anslutningspunktservern har ett giltigt klientautentiseringscertifikat är den största möjliga orsaken att det inte går att verifiera listan över återkallade certifikat (CRL) för certifikatet. Om så är fallet får du 0x87d0027e felet och följande fel loggas i CAPI2-händelseloggen:

Återkallningsfunktionen kunde inte göra en återkallningskontroll eftersom återkallningsservern var offline. 80092013

Om du aktiverar utförlig loggning genom att ange HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging registervärdet till 1 loggas dessutom felposter som liknar följande i SMS_Cloud_ProxyConnector.log:

Certifikat för kedjebygge misslyckades: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Status för kedja 0: RevocationStatusUnknown
Status för kedja 1: OfflineÅterkallning
Kedjebygge misslyckades certifikat: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Status för kedja 0: RevocationStatusUnknown
Status för kedja 1: OfflineÅterkallning
Ej tillåtet certifikat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Filtrerat certifikatantal med tillåten rot-CA och har privat nyckel: 0
Filtrerat certifikatantal med klientautentisering: 0

Vi rekommenderar att du, i stället för att automatiskt inaktivera CRL-kontroll, först ser till att det fungerar. Men om du inte kan få CRL-kontrollen att fungera korrekt inaktiverar du tillfälligt CRL-sökning efter CMG-anslutningspunkter. Detta gör att ett klientcertifikat kan väljas utan att utföra CRL-kontroll och möjliggör kommunikation med hanteringsplatsen.

Mer information

Mer information om hur du felsöker samhanteringsproblem finns i följande artiklar:

• Felsöka samhantering: Registrera befintliga Configuration Manager-hanterade enheter automatiskt i Intune
• Felsöka samhanteringsarbetsbelastningar

Mer information om samhantering med Intune och Configuration Manager finns i följande artiklar:

• Översikt över samhantering i Windows 10
• Komma igång: Vägar till samhantering
• Snabbstarter för samhantering
• Självstudie: Aktivera samhantering för befintliga Configuration Manager-klienter
• Förbereda Internetbaserade enheter för samhantering