Rozwiązywanie problemów ze współzarządzaniem: Uruchamianie przy użyciu nowoczesnej aprowizacji

Ten artykuł pomaga zrozumieć i rozwiązać problemy, które mogą wystąpić podczas konfigurowania współzarządzania, wykonując ścieżkę 2: Uruchamianie klienta Configuration Manager przy użyciu nowoczesnej aprowizacji.

Ten scenariusz występuje, gdy masz nowe urządzenia Windows 10, które dołączają do Tożsamość Microsoft Entra i automatycznie rejestrują się w Intune, a następnie instalujesz klienta Configuration Manager w celu osiągnięcia stanu współzarządzania.

Przed rozpoczęciem

Przed rozpoczęciem rozwiązywania problemów należy zebrać podstawowe informacje o problemie i upewnić się, że są wykonywane wszystkie wymagane kroki konfiguracji. Pomaga to lepiej zrozumieć problem i skrócić czas znajdowania rozwiązania. Aby to zrobić, postępuj zgodnie z tą listą kontrolną pytań wstępnych dotyczących rozwiązywania problemów:

• Którą Microsoft Entra opcję tożsamości hybrydowej wybrano?
• Jaki jest twój bieżący urząd MDM?
• Czy skonfigurowano rozszerzony protokół HTTP?
• Czy utworzono usługi w chmurze na platformie Azure?
• Czy skonfigurowano bramę zarządzania chmurą (CMG)?
• Czy skonfigurowano role klienta dla ruchu cmg?
• Czy zainstalowano klienta Configuration Manager w Intune?

Większość problemów występuje, ponieważ co najmniej jeden z tych kroków nie został ukończony. Jeśli okaże się, że krok został pominięty lub nie został ukończony pomyślnie, sprawdź szczegóły każdego kroku lub zapoznaj się z następującym samouczkiem:

Samouczek: włączanie współzarządzania dla nowoczesnych aprowizowanych klientów

Rozwiązywanie problemów z konfiguracją Microsoft Entra hybrydowej

Jeśli występują problemy wpływające na tożsamość hybrydową Microsoft Entra lub Microsoft Entra Connect, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

• Rozwiązywanie problemów z instalacją programu Microsoft Entra Connect
• Rozwiązywanie problemów z błędami podczas synchronizacji programu Microsoft Entra Connect
• Rozwiązywanie problemów z synchronizacją skrótów haseł za pomocą usługi Microsoft Entra Connect Sync
• Rozwiązywanie problemów Microsoft Entra bezproblemowym logowaniem jednokrotnym
• Rozwiązywanie problemów z uwierzytelnianiem z przekazywaniem Microsoft Entra
• Rozwiązywanie problemów z logowaniem jednokrotnym w usłudze Active Directory Federation Services

Jeśli występują problemy wpływające na Microsoft Entra przyłączanie hybrydowe dla domen zarządzanych lub domen federacyjnych, zapoznaj się z następującymi przewodnikami rozwiązywania problemów:

• Rozwiązywanie problemów Microsoft Entra urządzeń przyłączonych hybrydowo
• Rozwiązywanie problemów z urządzeniami za pomocą polecenia dsregcmd

Często zadawane pytania

Jakie role należy skonfigurować do współzarządzania?

Poniżej przedstawiono wymagane uprawnienia i role do konfigurowania współzarządzania.

Jakiego dziennika można użyć do weryfikowania obciążeń i określania, skąd pochodzą zasady i aplikacje w scenariuszu współzarządzania?

Na urządzeniach Windows 10 można użyć następującego pliku dziennika:

%WinDir%\CCM\logs\CoManagementHandler.log

Jak mogę sprawdzić, czy moja usługa w chmurze ma unikatową nazwę DNS?

Aby to zrobić, wykonaj następujące kroki.

1. Zaloguj się do Azure Portal, przejdź do pozycji Wszystkie usługi>Cloud Services (klasyczny), a następnie kliknij przycisk Dodaj.
2. W polu nazwa DNS wprowadź nazwę, która ma być używana.
3. Jeśli masz nazwę, która jest dostępna do użycia, zanotuj ją bez tworzenia jej w okienku Usługi w chmurze .
4. Utwórz rekord CNAME, który mapuje domenę na <name.cloudapp.net> zarówno na wewnętrznych, jak i zewnętrznych serwerach DNS.

Gdzie mogę znaleźć Configuration Manager konfiguracji klienta msi?

Plik ccmsetup.msi można znaleźć w następującym folderze na serwerze lokacji Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Jak mogę zweryfikować wdrożenie klienta Configuration Manager z Intune do zarządzanych urządzeń Windows 10?

Aby zweryfikować wdrożenie, wykonaj następujące kroki na urządzeniu Windows 10:

1. Otwórz Eksplorator plików i przejdź do pozycji %WinDir%\CCM\logs.
2. Otwórz plik ADALOperationProvider.log za pomocą narzędzia CMTrace i poszukaj tokenu Getting Tożsamość Microsoft Entra (User) i Getting Tożsamość Microsoft Entra (device), aby zweryfikować tokeny.
3. W usłudze CMTrace otwórz plik CoManagementHandler.log, poszukaj pozycji Urządzenie jest już zarejestrowane w usłudze MDM i Device Provisioned , aby zweryfikować rejestrację.
4. Otwórz Panel sterowania, wpisz Configuration Manager w polu wyszukiwania, a następnie wybierz go.
5. Wybierz kartę Ogólne i sprawdź przypisany punkt zarządzania.
6. Wybierz kartę Sieć i sprawdź internetowy punkt zarządzania.

Typowe problemy

Configuration Manager zezwala tylko na punkt zarządzania z obsługą protokołu HTTPS dla klientów przyłączonych Microsoft Entra

Ten problem występuje, jeśli używasz Configuration Manager bieżącej gałęzi w wersji 1802 lub starszej. W tych wersjach punkty zarządzania włączone dla usługi CMG muszą mieć wartość HTTPS. Począwszy od wersji 1806, punktem zarządzania może być HTTP.

Aby rozwiązać ten problem, zaktualizuj do Configuration Manager bieżącej wersji gałęzi 1806 lub nowszej.

Czy certyfikaty infrastruktury kluczy publicznych są nadal prawidłową opcją, a nie rozszerzonym protokołem HTTP

Certyfikaty infrastruktury kluczy publicznych są nadal prawidłową opcją, ale mają następujące wymagania:

• Cała komunikacja z klientem odbywa się za pośrednictwem protokołu HTTPS.
• Musisz mieć zaawansowaną kontrolę nad infrastrukturą podpisywania.

Aby uzyskać więcej informacji, zobacz Rozszerzony protokół HTTP.

Nie mogę znaleźć karty Komunikacja komputera klienckiego w konfiguracji lokacji

Począwszy od Configuration Manager bieżącej wersji gałęzi 1906, ta karta została zmieniona na Zabezpieczenia komunikacji.

Opcja Użyj certyfikatów wygenerowanych Configuration Manager dla systemów lokacji HTTP jest włączona, ale nie odebrano certyfikatu

Ta sytuacja jest oczekiwana. Odebranie i skonfigurowanie nowego certyfikatu z lokacji przez punkt zarządzania może potrwać do 30 minut. Możesz użyć następującego dziennika, aby śledzić, monitorować i weryfikować następujące kwestie:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Rekordy zasobów i skojarzone z nimi informacje z Tożsamość Microsoft Entra nie są tworzone w bazie danych Configuration Manager

Podczas dołączania lokacji zarządzania konfiguracją do Tożsamość Microsoft Entra zasoby Microsoft Entra użytkowników nie są odnajdywane ani wypełniane w bazie danych Configuration Manager. Zazwyczaj w tym scenariuszu występuje błąd 0x87d00231.

Ten problem występuje w jednej z następujących sytuacji:

• Nie skonfigurowano pomyślnie uprawnień interfejsu API dla rejestracji aplikacji w Azure Portal.
• Microsoft Entra odnajdywanie użytkowników nie jest włączone ani skonfigurowane.

Aby rozwiązać ten problem, wykonaj kroki opisane w Microsoft Entra odnajdywania użytkowników, aby skonfigurować uprawnienia interfejsu API i Microsoft Entra odnajdywanie użytkowników. Aby sprawdzić szczegóły, możesz użyć następujących dzienników:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log na serwerze lokacji
• %WinDir%\CCM\logs\CcmMessaging.log na kliencie
• %WinDir%\CCM\logs\LocationServices.log na kliencie

Uwaga

Jeśli witryna Configuration Manager jest nowa lub niedawno odbudowana, należy również skonfigurować odnajdywanie użytkowników usługi Active Directory.

CoManagementHandler.log wyświetla czasomierz rejestracji usługi kolejkowania, który ma zostać wyzwolony...

Plik ADALOperationProvider.log na urządzeniach z systemem Windows zawiera token Getting Tożsamość Microsoft Entra (User) i Getting Tożsamość Microsoft Entra (device). Urządzenie nie jest jednak zarejestrowane, a ostatnim wierszem w CoManagementHandler.log jest czasomierz rejestracji kolejkowania, który ma zostać wyzwolony...

To zachowanie jest oczekiwane w Configuration Manager bieżącej wersji gałęzi 1806 i nowszych. Począwszy od wersji 1806, automatyczna rejestracja nie jest natychmiastowa dla wszystkich klientów. To zachowanie pomaga w lepszym skalowaniu rejestracji w dużych środowiskach. Configuration Manager losowe rejestrowanie na podstawie liczby klientów. Jeśli na przykład środowisko ma 100 000 klientów, rejestracja może nastąpić w ciągu kilku dni.

Aby monitorować współzarządzanie, przejdź do obszaru Monitorowaniewspółzarządzania> w konsoli Configuration Manager.

Skopiowano niestandardowe polecenie instalacji klienta z konsoli Configuration Manager, ale nie można zainstalować klienta Configuration Manager

Ten problem występuje w jednej z następujących sytuacji:

• Parametry instalacji w poleceniu nie są zgodne z obsługiwanymi wartościami.
• Długość wiersza polecenia jest większa niż 1024 znaki.

Aby rozwiązać ten problem, upewnij się, że polecenie spełnia wymaganie, a wiersz polecenia nie ma więcej niż 1024 znaków.

Configuration Manager stan agenta jest w złej kondycji w Intune

Intune ocenia stan agenta Configuration Manager na ClientHealthLastSyncTime podstawie wartości i ClientHealthStatus w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Poniżej przedstawiono możliwe wartości :ClientHealthStatus

• 1: Zainstalowany klient
• 2: Zarejestrowano klienta
• 5: Klient został zainstalowany, ale nie uruchomiono jeszcze oceny kondycji
• 7: Klient w dobrej kondycji
• 8. Błąd instalacji lub uaktualnienia klienta
• 16: Błąd komunikacji w punkcie zarządzania

ClientHealthStatus Jeśli wartość to 7 (w dobrej kondycji), Intune uważa klienta Configuration Manager za w dobrej kondycjiClientHealthLastSyncTime, jeśli wartość nie jest starsza niż 30 dni.

ClientHealthStatus Jeśli wartość nie jest równa 7 (w złej kondycji), Intune uważa klienta Configuration Manager za w dobrej kondycji, jeśli ClientHealthLastSyncTime wartość nie jest starsza niż 48 godzin.

Wartość jest aktualizowana ClientHealthLastSyncTime przez składnik powiadomienie klienta klienta Configuration Manager klienta, a plik dziennika jest CcmNotificationAgent.log.

Aby rozwiązać ten problem, sprawdź plik CcmNotificationAgent.log, jeśli ClientHealthLastSyncTime plik nie jest aktualny. Oto przykład:

Aktualizowanie MDM_ConfigSetting.ClientHealthLastSyncTime o wartości 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

ClientHealthLastSyncTime Jeśli wartość jest aktualna, ale ostatni czas zaewidencjonowania agenta Configuration Manager wynosi 2/1/1900 w Intune, oznacza to, że obciążenie zasad zgodności urządzeń jest zarządzane przez Configuration Manager. W takim przypadku przełącz obciążenie zasad zgodności na Intune lub Intune pilotażowe.

Punkt połączenia cmg jest wyświetlany jako rozłączony

Problem występuje z powodu problemu z uprawnieniami między zdalnym systemem lokacji, w którym zainstalowano rolę punktu połączenia CMG, a lokacją główną.

Zdalny system lokacji TrafficData zbiera raport z grupy cmg, a następnie wysyła dane do lokacji głównej za pośrednictwem komunikatów o stanie. Oto przykładowy fragment kodu dziennika SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData — komunikat o stanie do wysłania: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~

Ponieważ zdalny system lokacji jest również punktem zarządzania, te komunikaty o stanie są przenoszone do skrzynki odbiorczej dostępnej przez Menedżera wysyłania plików MP, który wysyła pliki do lokacji głównej. Oto przykładowy fragment kodu dziennika mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Moving 1 *. Pliki SMX z C:\SMS\MP\OUTBOXES\statemsg.box\ do \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Przeniesiony plik C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX do \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Jeśli występuje problem z uprawnieniami, menedżer wysyłania plików MP nie może uzyskać dostępu do skrzynek odbiorczych w lokacji głównej i rejestruje następujący błąd w mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**BŁĄD: Nie można nawiązać połączenia ze źródłem skrzynki odbiorczej, uśpić 30 sekund i spróbować ponownie.

Aby rozwiązać ten problem, dodaj konto komputera zdalnego systemu lokacji do grupy Administratorzy lokalni w lokacji głównej.

Klienci nie mogą zlokalizować punktu zarządzania przy użyciu cmg, a zostanie wyświetlony błąd 403

W przypadku wystąpienia tego problemu następujący błąd jest rejestrowany LocationServices.log na kliencie:

[CCMHTTP] INFORMACJE O BŁĘDZIE: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Ponadto następujący błąd jest rejestrowany SMS_Cloud_ProxyConnector.log na serwerze punktów połączenia CMG:

MessageID: <identyfikator RequestURI> identyfikatora: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Jeśli serwer punktów połączenia cmg ma prawidłowy certyfikat uwierzytelniania klienta, najbardziej możliwą przyczyną jest niepowodzenie weryfikacji listy odwołania certyfikatów (CRL) dla certyfikatu. W takim przypadku zostanie wyświetlony błąd 0x87d0027e, a następujący błąd zostanie zarejestrowany w dzienniku zdarzeń CAPI2:

Funkcja odwołania nie może sprawdzić odwołania, ponieważ serwer odwołania był w trybie offline. 80092013

Ponadto jeśli włączysz pełne rejestrowanie, ustawiając HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging wartość rejestru na 1, wpisy błędów podobne do następujących są rejestrowane w SMS_Cloud_ProxyConnector.log:

Certyfikat kompilacji łańcucha nie powiódł się: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Stan łańcucha 0: RevocationStatusUnknown
Stan łańcucha 1: OfflineRevocation
Certyfikat kompilacji łańcucha nie powiódł się: 54E09FEA31FE83F9A8A5389B8D08B34D42FB3CF
Stan łańcucha 0: RevocationStatusUnknown
Stan łańcucha 1: OfflineRevocation
Niedozwolony certyfikat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Filtrowana liczba certyfikatów z dozwolonym głównym urzędem certyfikacji i kluczem prywatnym: 0
Filtrowana liczba certyfikatów przy użyciu uwierzytelniania klienta: 0

Zalecamy, aby zamiast automatycznego wyłączania sprawdzania listy CRL najpierw upewnić się, że działa. Jeśli jednak nie możesz poprawnie sprawdzić listy CRL, tymczasowo wyłącz sprawdzanie listy CRL dla punktów połączenia CMG. Umożliwia to wybranie certyfikatu klienta bez przeprowadzania sprawdzania listy CRL i umożliwia komunikację z punktem zarządzania.

Więcej informacji

Aby uzyskać więcej informacji na temat rozwiązywania problemów ze współzarządzaniem, zobacz następujące artykuły:

• Rozwiązywanie problemów ze współzarządzaniem: automatyczne rejestrowanie istniejących urządzeń zarządzanych Configuration Manager w Intune
• Rozwiązywanie problemów z obciążeniami współzarządzania

Aby uzyskać więcej informacji na temat współzarządzania Intune i Configuration Manager, zobacz następujące artykuły:

• Omówienie współzarządzania Windows 10
• Wprowadzenie: Ścieżki do współzarządzania
• Przewodniki Szybki start dotyczące współzarządzania
• Samouczek: włączanie współzarządzania istniejącymi klientami Configuration Manager
• Jak przygotować urządzenia internetowe do współzarządzania