Использование агента MBAM для депонирования ключей восстановления BitLocker создает чрезмерные политики в Configuration Manager версии 2103
Область применения: Configuration Manager (текущая ветвь, версия 2103)
Сводка по KB10372804
Invoke-MbamClientDeployment.ps1 Используя сценарий PowerShell или альтернативные методы, использующие API агента MBAM для депонирования ключей восстановления в точке управления в Configuration Manager текущей ветви, версия 2103 создает большой объем политики, предназначенной для всех устройств, что может вызвать бурю политики. Это приводит к серьезному снижению производительности в Configuration Manager, в первую очередь с SQL и точками управления.
Сведения об обновлении Configuration Manager конечной точки Майкрософт версии 2103
Обновление для устранения этой проблемы доступно в узле Обновления и обслуживание консоли Configuration Manager для сред, в которых установлен следующий накопительный пакет обновления.
- KB10036164: накопительный пакет обновления для конечной точки Майкрософт Configuration Manager версии 2103
Чтобы определить, связана ли эта проблема, можно выполнить следующий SQL-запрос к базе данных каждого первичного сайта.
SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0
Важно!
Это обновление предотвращает создание чрезмерных политик, но не удаляет ранее созданные политики. Если приведенный выше запрос возвращает большое количество строк, обратитесь к служба поддержки Майкрософт за помощью в удалении этих политик.
Обновление сведений о замене
Это обновление заменяет приведенное ниже обновление.
- KB10216365: не удалось переместить базу данных сайта в группу доступности SQL Always On в Configuration Manager версии 2103
Сведения о перезапуске
Это обновление не требует перезагрузки компьютера.
Дополнительные сведения об установке
После установки этого обновления на первичном сайте необходимо вручную обновить существующие вторичные сайты. Чтобы обновить вторичный сайт в консоли Configuration Manager, выберите Администрирование>, конфигурация> сайта. Восстановить>вторичный сайт, а затем выберите дополнительный сайт. Затем первичный сайт переустановит этот вторичный сайт с помощью обновленных файлов. Эта переустановка не влияет на конфигурации и параметры вторичного сайта. Новые, обновленные и переустановленные вторичные сайты на этом первичном сайте автоматически получают это обновление.
Выполните следующую команду SQL Server в базе данных сайта, чтобы проверить, соответствует ли версия обновления вторичного сайта его родительскому первичному сайту:
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
- Если возвращается значение 1, сайт обновляется со всеми исправлениями, примененными к родительскому первичному сайту.
- Если возвращается значение 0, сайт не установил все исправления, применяемые к основному сайту, и для обновления вторичного сайта следует использовать параметр Восстановить вторичный сайт .
Сведения о файлах
Сведения о файле доступны в загружаемом KB10372804_FileList.txt текстовом файле.
Журнал выпусков
- 26 июля 2021 г.: первоначальный выпуск исправления
Ссылки
Включение BitLocker с помощью MBAM в рамках развертывания Windows