Solución de problemas de administración conjunta: Bootstrap con aprovisionamiento moderno

Este artículo le ayuda a comprender y solucionar problemas que puede encontrar al configurar la administración conjunta mediante la ruta de acceso 2: Arranque del cliente Configuration Manager con el aprovisionamiento moderno.

Este escenario se produce cuando tiene nuevos dispositivos Windows 10 que se unen a Microsoft Entra ID y se inscriben automáticamente en Intune y, a continuación, instala el cliente de Configuration Manager para alcanzar un estado de administración conjunta.

Antes de empezar

Antes de empezar a solucionar problemas, es importante recopilar información básica sobre el problema y asegurarse de seguir todos los pasos de configuración necesarios. Esto le ayuda a comprender mejor el problema y a reducir el tiempo para encontrar una resolución. Para ello, siga esta lista de comprobación de preguntas previas a la solución de problemas:

• ¿Qué Microsoft Entra opción de identidad híbrida seleccionó?
• ¿Cuál es la entidad de MDM actual?
• ¿ Configuró HTTP mejorado?
• ¿ Ha creado los servicios en la nube en Azure?
• ¿Configuró cloud management gateway (CMG)?
• ¿Ha configurado roles orientados al cliente para el tráfico de CMG?
• ¿Ha instalado el cliente de Configuration Manager en Intune?

La mayoría de los problemas se producen porque uno o varios de estos pasos no se completaron. Si detecta que un paso se omitió o no se completó correctamente, compruebe los detalles de cada paso o consulte el siguiente tutorial:

Tutorial: Habilitación de la administración conjunta para clientes aprovisionados modernos

Solución de problemas de configuración de Microsoft Entra híbrida

Si tiene problemas que afectan a Microsoft Entra identidad híbrida o a Microsoft Entra Connect, consulte las siguientes guías de solución de problemas:

• Solución de problemas de instalación de Microsoft Entra Connect
• Solución de problemas de errores durante la sincronización de Microsoft Entra Connect
• Solución de problemas de sincronización de hash de contraseñas con Microsoft Entra Connect Sync
• Solución de problemas de Microsoft Entra inicio de sesión único sin problemas
• Solución de problemas Microsoft Entra autenticación de paso a través
• Solución de problemas de inicio de sesión único con Servicios de federación de Active Directory (AD FS)

Si tiene problemas que afectan a Microsoft Entra unión híbrida para dominios administrados o dominios federados, consulte las siguientes guías de solución de problemas:

• Solución de problemas Microsoft Entra dispositivos unidos a híbridos
• Solución de problemas de dispositivos mediante el comando dsregcmd

Preguntas más frecuentes

¿Qué roles necesito para configurar la administración conjunta?

Estos son los permisos y roles necesarios para configurar la administración conjunta.

¿Qué registro puedo usar para validar cargas de trabajo y determinar de dónde proceden las directivas y las aplicaciones en un escenario de administración conjunta?

Puede usar el siguiente archivo de registro en Windows 10 dispositivos:

%WinDir%\CCM\logs\CoManagementHandler.log

Cómo validar que mi servicio en la nube tiene un nombre DNS único?

Para ello, siga estos pasos:

1. Inicie sesión en el Azure Portal, vaya a Todos los servicios>Cloud Services (clásico) y, a continuación, haga clic en Agregar.
2. En el campo en nombre DNS , escriba un nombre que quiera usar.
3. Cuando tenga un nombre que esté disponible para su uso, tenga en cuenta que no lo crea en el panel Servicio en la nube .
4. Cree un registro CNAME que asigne el dominio a <name.cloudapp.net> en servidores DNS internos y externos.

¿Dónde puedo encontrar el archivo MSI de configuración del cliente de Configuration Manager?

Puede encontrar el archivo ccmsetup.msi en la carpeta siguiente en el servidor de sitio de Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Cómo comprobar la implementación del cliente Configuration Manager de Intune a los dispositivos Windows 10 administrados?

Para comprobar la implementación, siga estos pasos en el dispositivo Windows 10:

1. Abra Explorador de archivos y vaya a %WinDir%\CCM\logs.
2. Abra el archivo de ADALOperationProvider.log con CMTrace y busque Obtener Microsoft Entra ID token (usuario) y Obtener Microsoft Entra ID token (dispositivo) para comprobar los tokens.
3. En CMTrace, abra el archivo CoManagementHandler.log y busque Dispositivo ya inscrito con MDM y Dispositivo aprovisionado para comprobar la inscripción.
4. Abra Panel de control, escriba Configuration Manager en el cuadro de búsqueda y selecciónelo.
5. Seleccione la pestaña General y compruebe el punto de administración asignado.
6. Seleccione la pestaña Red y compruebe el punto de administración basado en Internet.

Problemas comunes

Configuration Manager solo permite un punto de administración habilitado para HTTPS para Microsoft Entra clientes unidos

Este problema se produce si usa Configuration Manager versión de rama actual 1802 o una versión anterior. En estas versiones, los puntos de administración que habilite para CMG deben ser HTTPS. A partir de la versión 1806, el punto de administración puede ser HTTP.

Para corregir el problema, actualice a Configuration Manager rama actual versión 1806 o una versión posterior.

Si los certificados PKI siguen siendo una opción válida en lugar de HTTP mejorado

Los certificados PKI siguen siendo una opción válida para usted, pero tienen los siguientes requisitos:

• Toda la comunicación del cliente se realiza a través de HTTPS.
• Debe tener control avanzado de la infraestructura de firma.

Para obtener más información, vea HTTP mejorado.

No puedo encontrar la pestaña Comunicación del equipo cliente en Configuración del sitio

A partir de Configuration Manager versión 1906 de la rama actual, se cambia el nombre de esta pestaña a Seguridad de la comunicación.

La opción Usar certificados generados por Configuration Manager para sistemas de sitio HTTP está habilitada, pero no se recibe ningún certificado.

Este comportamiento es normal. El punto de administración puede tardar hasta 30 minutos en recibir y configurar el nuevo certificado desde el sitio. Puede usar el siguiente registro para realizar un seguimiento, supervisar y comprobar esto:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Los registros de los recursos y su información asociada de Microsoft Entra ID no se crean en la base de datos de Configuration Manager

Al incorporar el sitio de Configuration Management a Microsoft Entra ID, los recursos de usuario Microsoft Entra no se detectan ni rellenan en la base de datos de Configuration Manager. Normalmente, recibe el error de 0x87d00231 en este escenario.

Este problema se produce en una de las situaciones siguientes:

• No configuró correctamente los permisos de API para el registro de aplicaciones en el Azure Portal.
• Microsoft Entra detección de usuarios no está habilitada ni configurada.

Para solucionar el problema, siga los pasos descritos en Microsoft Entra detección de usuarios para configurar los permisos de API y Microsoft Entra detección de usuarios. Puede usar los registros siguientes para comprobar los detalles:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log en el servidor de sitio
• %WinDir%\CCM\logs\CcmMessaging.log en el cliente
• %WinDir%\CCM\logs\LocationServices.log en el cliente

Nota:

Si el sitio de Configuration Manager es nuevo o se ha vuelto a generar recientemente, también debe configurar la detección de usuarios de Active Directory.

CoManagementHandler.log muestra el temporizador de inscripción en cola para activarse en...

El archivo ADALOperationProvider.log de los dispositivos Windows muestra Getting Microsoft Entra ID (User) token (Getting Microsoft Entra ID token) (Obtener token de Microsoft Entra ID (usuario) y Getting Microsoft Entra ID token (device) (Obtener Microsoft Entra ID (dispositivo). Sin embargo, el dispositivo no está inscrito y la última línea de CoManagementHandler.log es el temporizador de inscripción en cola en el que se activará....

Este comportamiento se espera en Configuration Manager versión de rama actual 1806 y versiones posteriores. A partir de la versión 1806, la inscripción automática no es inmediata para todos los clientes. Este comportamiento ayuda a que la inscripción se escale mejor para entornos grandes. Configuration Manager aleatoriza la inscripción en función del número de clientes. Por ejemplo, si el entorno tiene 100 000 clientes, la inscripción puede producirse durante varios días.

Para supervisar la administración conjunta, vaya a Supervisión>de la administración conjunta en la consola de Configuration Manager.

Copié el comando de instalación de cliente personalizado de la consola de Configuration Manager, pero no se puede instalar el cliente Configuration Manager.

Este problema se produce en una de las situaciones siguientes:

• Los parámetros de instalación del comando no se ajustan a los valores admitidos.
• La longitud de la línea de comandos es mayor que 1024 caracteres.

Para corregir el problema, asegúrese de que el comando cumple el requisito y que la línea de comandos no tiene más de 1024 caracteres.

Configuration Manager estado del agente es incorrecto en Intune

Intune evalúa el estado del agente Configuration Manager en función de los ClientHealthLastSyncTime valores y ClientHealthStatus de la subclave del Registro siguiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

A continuación se muestran los valores posibles de ClientHealthStatus:

• 1: Cliente instalado
• 2: Cliente registrado
• 5: Cliente instalado, pero aún no ha ejecutado la evaluación de estado
• 7: Estado del cliente
• 8: Error de instalación o actualización del cliente
• 16: Error de comunicación en el punto de administración

Si el ClientHealthStatus valor es 7 (correcto), Intune considera que el cliente de Configuration Manager es correcto si no ClientHealthLastSyncTime es anterior a 30 días.

Si el ClientHealthStatus valor no es 7 (incorrecto), Intune considera que el cliente de Configuration Manager es correcto si ClientHealthLastSyncTime no tiene más de 48 horas.

El ClientHealthLastSyncTime componente Notificación de cliente actualiza el valor de Configuration Manager cliente y el archivo de registro se CcmNotificationAgent.log.

Para solucionar este problema, compruebe el archivo CcmNotificationAgent.log si ClientHealthLastSyncTime no está actualizado. A continuación le mostramos un ejemplo:

Actualización de MDM_ConfigSetting.ClientHealthLastSyncTime con el valor 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

Si el ClientHealthLastSyncTime valor está actualizado, pero la última hora de protección del agente de Configuration Manager es 2/1/1900 en Intune, esto significa que Configuration Manager administra la carga de trabajo de directivas de cumplimiento de dispositivos. En este caso, cambie la carga de trabajo de directivas de cumplimiento a Intune o Intune piloto.

El punto de conexión de CMG se muestra como desconectado

El problema se produce debido a un problema de permisos entre el sistema de sitio remoto donde está instalado el rol de punto de conexión de CMG y el sitio principal.

El sistema de sitio remoto recopila el TrafficData informe de CMG y, a continuación, envía los datos al sitio primario a través de mensajes de estado. Este es un fragmento de código de registro de ejemplo de SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - mensaje de estado que se va a enviar: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name=". BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Dado que el sistema de sitio remoto también es un punto de administración, estos mensajes de estado se mueven a una bandeja de salida a la que accede el Administrador de distribución de archivos MP que envía los archivos al sitio principal. Este es un fragmento de código de registro de ejemplo de mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Mover 1 *. Archivos SMX de C:\SMS\MP\OUTBOXES\statemsg.box\ a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Archivo movido C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX a \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Cuando hay un problema de permisos, el Administrador de distribución de archivos MP no puede acceder a las bandejas de entrada del sitio primario y registra el siguiente error en mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: No se puede conectar al origen de la bandeja de entrada, dormir 30 segundos e intentarlo de nuevo.

Para solucionar el problema, agregue la cuenta de equipo del sistema de sitio remoto al grupo Administradores locales del sitio primario.

Los clientes no pueden localizar el punto de administración mediante CMG y recibe el error 403.

Cuando se produce este problema, se registra el siguiente error en LocationServices.log en el cliente:

[CCMHTTP] ERROR INFO: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Además, el siguiente error se registra en SMS_Cloud_ProxyConnector.log en el servidor de punto de conexión de CMG:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Si el servidor de punto de conexión de CMG tiene un certificado de autenticación de cliente válido, la causa más posible es el error al validar la lista de revocación de certificados (CRL) para el certificado. Si este es el caso, recibirá el error 0x87d0027e y el siguiente error se registra en el registro de eventos CAPI2:

La función de revocación no pudo comprobar la revocación porque el servidor de revocación estaba sin conexión. 80092013

Además, si habilita el registro detallado estableciendo el valor del HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registro en 1, las entradas de error similares a las siguientes se registran SMS_Cloud_ProxyConnector.log:

Certificado con error de compilación de cadena: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Estado de la cadena 0: RevocationStatusUnknown
Estado de la cadena 1: OfflineRevocation
Certificado con error de compilación de cadena: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Estado de la cadena 0: RevocationStatusUnknown
Estado de la cadena 1: OfflineRevocation
Certificado no permitido: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB777932B63DE87955BBC4616
Recuento de certificados filtrados con ca raíz permitida y tiene clave privada: 0
Recuento de certificados filtrados con autenticación de cliente: 0

Se recomienda que, en lugar de deshabilitar automáticamente la comprobación de CRL, primero asegúrese de que funciona. Sin embargo, si no puede obtener que la comprobación de CRL funcione correctamente, deshabilite temporalmente la comprobación de CRL para los puntos de conexión de CMG. Esto permite seleccionar un certificado de cliente sin realizar la comprobación de CRL y permite la comunicación con el punto de administración.

Más información

Para obtener más información sobre la solución de problemas de administración conjunta, consulte los artículos siguientes:

• Solución de problemas de administración conjunta: inscriba automáticamente dispositivos administrados Configuration Manager existentes en Intune
• Solución de problemas de cargas de trabajo de administración conjunta

Para obtener más información sobre Intune y la administración conjunta de Configuration Manager, consulte los artículos siguientes:

• Introducción a la administración conjunta de Windows 10
• Introducción: Rutas de acceso a la administración conjunta
• Inicios rápidos para la administración conjunta
• Tutorial: Habilitar la administración conjunta para clientes existentes de Configuration Manager
• Preparación de dispositivos basados en Internet para la administración conjunta