排查共同管理问题：使用新式预配启动

本文通过采用路径 2： 使用新式预配启动 Configuration Manager 客户端，帮助你了解和排查在设置共同管理时可能会遇到的问题。

如果你拥有加入 Microsoft Entra ID 并自动注册到 Intune 的新 Windows 10 设备，然后安装 Configuration Manager 客户端以达到共同管理状态，则会出现这种情况。

开始之前

在开始故障排除之前，请务必收集有关该问题的一些基本信息，并确保遵循所有必需的配置步骤。 这有助于更好地了解问题并缩短查找解决方法的时间。 为此，请遵循以下故障排除前问题的清单：

• 选择了哪个 Microsoft Entra 混合标识选项 ？
• 当前的 MDM 机构是什么？
• 是否 设置了增强型 HTTP？
• 是否 在 Azure 中创建云服务？
• 是否 配置了云管理网关（CMG）？
• 是否 为 CMG 流量配置面向客户端的角色？
• 是否 在 Intune 中安装 Configuration Manager 客户端？

大多数问题都是因为其中一个或多个步骤未完成而发生。 如果发现跳过或未成功完成步骤，请检查每个步骤的详细信息，或查看以下教程：

教程：为新式预配客户端启用共同管理

混合Microsoft Entra 配置疑难解答

如果遇到影响 Microsoft Entra 混合标识或 Microsoft Entra Connect 的问题，请参阅以下故障排除指南：

• 排查 Microsoft Entra Connect 安装问题
• 排查Microsoft Entra Connect 同步期间的错误
• 排查使用 Microsoft Entra Connect 同步进行密码哈希同步的问题
• 排查 Microsoft Entra 无缝单一登录
• 对 Microsoft Entra 直通身份验证进行故障排除
• 排查Active Directory 联合身份验证服务的单一登录问题

如果遇到影响托管域或联合域Microsoft Entra 混合加入的问题，请参阅以下故障排除指南：

• 对加入 Microsoft Entra 混合的设备进行故障排除
• 使用 dsregcmd 命令对设备进行故障排除

常见问题解答

配置共同管理需要哪些角色？

下面是配置共同管理所需的 权限和角色 。

可以使用哪些日志来验证工作负载并确定策略和应用在共同管理方案中来自何处？

可以在 Windows 10 设备上使用以下日志文件：

%WinDir%\CCM\logs\CoManagementHandler.log

如何实现验证云服务是否具有唯一的 DNS 名称？

为此，请按照下列步骤进行操作：

1. 登录到Azure 门户，转到“所有服务>云服务（经典版），然后单击”添加”。
2. 在 DNS 名称 字段中，输入要使用的名称。
3. 如果有一个可供你使用的名称，请注意它而不在 云服务 窗格中创建它。
4. 创建一条 CNAME 记录，用于将域映射到内部和外部 DNS 服务器中的 name.cloudapp.net>。<

在哪里可以找到 Configuration Manager 客户端设置 MSI？

可以在 Configuration Manager 站点服务器上的以下文件夹中找到 ccmsetup.msi 文件：

<ConfigMgr installation directory>\bin\i386

如何实现验证从 Intune 到托管 Windows 10 设备的 Configuration Manager 客户端部署？

若要验证部署，请按照 Windows 10 设备上的以下步骤操作：

1. 打开文件资源管理器，然后转到%WinDir%\CCM\logs。
2. 使用 CMTrace 打开ADALOperationProvider.log文件，查找 获取Microsoft Entra ID（用户）令牌和获取Microsoft Entra ID（设备）令牌 以验证令牌。
3. 在 CMTrace 中，打开CoManagementHandler.log文件，查找 设备已注册 MDM 和设备预配 ，以验证注册。
4. 打开控制面板，在搜索框中键入 Configuration Manager，然后选择它。
5. 选择“常规”选项卡，并验证分配的管理点。
6. 选择“ 网络 ”选项卡，并验证 基于 Internet 的管理点。

常见问题

Configuration Manager 仅允许Microsoft已加入 Entra 的客户端启用 HTTPS 的管理点

如果使用 Configuration Manager Current Branch 版本 1802 或更低版本，则会出现此问题。 在这些版本中，为 CMG 启用的管理点必须是 HTTPS。 从版本 1806 开始，管理点可以是 HTTP。

若要解决此问题，请更新到 Configuration Manager Current Branch 版本 1806 或更高版本。

PKI 证书是否仍然是有效选项，而不是增强型 HTTP

PKI 证书仍然是有效的选项，但它们具有以下要求：

• 所有客户端通信都是通过 HTTPS 完成的。
• 必须对签名基础结构拥有高级控制。

有关详细信息，请参阅 增强型 HTTP。

在站点配置中找不到“客户端计算机通信”选项卡

从 Configuration Manager Current Branch 版本 1906 开始，此选项卡已重命名为 通信安全。

“为 HTTP 站点系统”选项启用“使用 Configuration Manager 生成的证书”选项，但未收到任何证书

这是预期的行为。 管理点最多可能需要 30 分钟才能从站点接收和配置新证书。 可以使用以下日志来跟踪、监视和验证以下内容：

<ConfigMgr installation directory>\Logs\CloudMgr.log

不会在 Configuration Manager 数据库中创建来自 Microsoft Entra ID 的资源及其关联信息的记录

将 Configuration Management 站点载入到 Microsoft Entra ID 时，不会发现Microsoft Entra 用户资源或将其填充到 Configuration Manager 数据库中。 通常，在此方案中收到0x87d00231错误。

此问题发生在以下情况之一：

• 未在Azure 门户中成功配置应用注册的 API 权限。
• Microsoft未启用或配置 Entra 用户发现。

若要解决此问题，请按照 Microsoft Entra 用户发现中的步骤配置 API 权限并Microsoft Entra 用户发现。 可以使用以下日志来检查详细信息：

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log 站点服务器上的
• %WinDir%\CCM\logs\CcmMessaging.log 在客户端上
• %WinDir%\CCM\logs\LocationServices.log 在客户端上

注意

如果 Configuration Manager 站点是新的或最近重建的，则还必须配置 Active Directory 用户发现。

CoManagementHandler.log显示 队列注册计时器在...

Windows 设备上的ADALOperationProvider.log文件显示 “获取Microsoft Entra ID（用户）令牌和获取Microsoft Entra ID（设备）令牌。 但是，设备未注册，CoManagementHandler.log中的最后一行是 队列注册计时器在...中触发。

Configuration Manager Current Branch 版本 1806 及更高版本中预期会出现此行为。 从版本 1806 开始，所有客户端都不立即自动注册。 此行为有助于更好地为大型环境进行注册。 Configuration Manager 根据客户端数随机分配注册。 例如，如果环境有 100,000 个客户端，则注册可能会在几天内发生。

若要监视共同管理，请转到 Configuration Manager 控制台中的“监视>共同管理”。

我从 Configuration Manager 控制台复制了自定义客户端安装命令，但无法安装 Configuration Manager 客户端

此问题发生在以下情况之一：

• 命令中的安装参数不符合 支持的值。
• 命令行的长度大于 1,024 个字符。

若要解决此问题，请确保命令满足要求，并且命令行长度不超过 1,024 个字符。

Intune 中的 Configuration Manager 代理状态不正常

Intune 基于 ClientHealthLastSyncTime 以下注册表子项中的值 ClientHealthStatus 评估 Configuration Manager 代理状态：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

找到 ClientHealthStatus 的值是多个标志的组合，其中包括：

• 1：已安装客户端
• 2：客户端已注册
• 4：成功的运行状况评估
• 8：客户端安装或升级错误
• 16：与管理点的通信错误

以下是常见的值 ClientHealthStatus：

• 1：已安装客户端，但尚未注册
• 3：客户端已安装并注册，但尚未报告成功的运行状况评估
• 5：客户端已安装，当前未注册，并发送了成功的运行状况评估（以前）
• 7：客户端正常
• 23：客户端正常，但管理点出现通信错误

ClientHealthStatus如果值为 7（正常），则 Intune 将 Configuration Manager 客户端视为正常（ClientHealthLastSyncTime如果时间不超过 30 天）。

ClientHealthStatus如果值不为 7（不正常），Intune 会将 Configuration Manager 客户端视为正常（ClientHealthLastSyncTime如果时间不超过 48 小时）。

该值 ClientHealthLastSyncTime 由 Configuration Manager 客户端的客户端通知 组件更新，日志文件CcmNotificationAgent.log。

若要解决此问题，请检查CcmNotificationAgent.log文件（如果 ClientHealthLastSyncTime 不是最新的）。 下面是一个示例：

更新值为 2019-04-01T21：42：51Z BgbAgent 2019/2/8：42：51 AM 9476 的 MDM_ConfigSetting clientHealthLastSyncTime（0x2504）

ClientHealthLastSyncTime如果该值是最新的，但 Configuration Manager 代理的最后签入时间为 Intune 中的 2/1/1/1900，则表示设备符合性策略工作负荷由 Configuration Manager 管理。 在这种情况下， 请将符合性策略工作负荷切换到 Intune 或试点 Intune。

CMG 连接点显示为断开连接

发生此问题的原因是安装 CMG 连接点角色的远程站点系统与主站点之间存在权限问题。

远程站点系统从 CMG 收集 TrafficData 报告，然后通过状态消息将数据发送到主站点。 下面是SMS_Cloud_ProxyConnector.log的示例日志片段：

SMS_CLOUD_PROXYCONNECTOR 6124 （0x17ec） ReportTrafficData - 要发送的状态消息： ~~<ProxyTrafficStateDetails ServerName=“PS1DP.CONTOSO.COM” StartTime=“Date1 Time1” EndTime=“Date2 Time2” MaxConcurrentRequests=“2”><EndPoints>~~ <EndPoint Name=“BGB” ProxyServer =“DOMAINCMG.CLOUDAPP.NET” TargetHost=“ps.contoso.com” TotalRequests=“2” TotalRequestsWithBearerToken=“0” MaxConcurrentRequests=“2” TotalRequestBytes=“2594” TotalResponseBytes=“716” FailedRequests=“0”/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~

由于远程站点系统也是管理点，因此这些状态消息将移动到 MP 文件调度管理器访问的发件箱中，以便将文件发送到主站点。 下面是mpfdm.log的示例日志片段：

SMS_MP_FILE_DISPATCH_MANAGER 7044 （0x1b84） ~移动 1 *.SMX 文件（s） 从 C：\SMS\MP\OUTBOXES\statemsg.box\ 到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\。
SMS_MP_FILE_DISPATCH_MANAGER 6584 （0x19b8） ~已将文件 C：\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX 移动到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

出现权限问题时，MP 文件调度管理器无法访问主站点上的收件箱，并在mpfdm.log中记录以下错误：

SMS_MP_FILE_DISPATCH_MANAGER 3828 （0xef4） ~**ERROR：无法连接到收件箱源，请休眠 30 秒，然后重试。

若要解决此问题，请将远程站点系统的计算机帐户添加到主站点上的本地管理员组。

客户端无法使用 CMG 找到管理点，并且收到错误 403

出现此问题时，客户端上LocationServices.log记录以下错误：

[CCMHTTP]错误信息：StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

此外，CMG 连接点服务器上SMS_Cloud_ProxyConnector.log记录以下错误：

MessageID：ID> RequestURI：<https://< FQDN>/SMS_MP/.sms_aut？SITESIGNCERT EndpointName： SMS_MP ResponseHeader： HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize： 5274 ElapsedTime： 44 ms SMS_CLOUD_PROXYCONNECTOR

如果 CMG 连接点服务器具有有效的客户端身份验证证书，则最可能的原因是无法验证证书的证书吊销列表（CRL）。 如果是这种情况，则会收到0x87d0027e错误，并且以下错误记录在 CAPI2 事件日志中：

由于吊销服务器离线，吊销功能无法检查吊销。 80092013

此外，如果通过将注册表值设置为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging 1 来启用详细日志记录，则会在SMS_Cloud_ProxyConnector.log中记录类似于以下内容的错误条目：

链生成失败的证书：C019CC17EEFA681D154BA9F24F8EAE9640D54C49
链 0 状态：RevocationStatusUnknown
链 1 状态：脱机吊销
链生成失败证书：54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
链 0 状态：RevocationStatusUnknown
链 1 状态：脱机吊销
不允许证书：52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
使用允许的根 CA 筛选的证书计数，并且具有私钥：0
使用客户端身份验证筛选的证书计数：0

我们建议你首先确保它正常工作，而不是自动禁用 CRL 检查。 但是，如果无法让 CRL 检查正常工作，请暂时禁用 CMG 连接点的 CRL 检查。 这样一来，无需执行 CRL 检查即可选择客户端证书，并启用与管理点的通信。

详细信息

有关排查共同管理问题的详细信息，请参阅以下文章：

• 共同管理疑难解答：将现有的 Configuration Manager 托管设备自动注册到 Intune
• 排查共同管理工作负荷问题

有关 Intune 和 Configuration Manager 共同管理的详细信息，请参阅以下文章：

• Windows 10 共同管理概述
• 入门：共同管理的路径
• 共同管理的快速入门
• 教程：为现有 Configuration Manager 客户端启用共同管理
• 如何准备基于 Internet 的设备进行共同管理