Устранение неполадок совместного управления: начальная загрузка с современной подготовкой

Эта статья поможет вам понять и устранить проблемы, которые могут возникнуть при настройке совместного управления, выбрав путь 2. Начальная загрузка клиента Configuration Manager с помощью современной подготовки.

Этот сценарий возникает, когда у вас есть новые устройства Windows 10, которые присоединяются к Azure Active Directory (Azure AD) и автоматически регистрироваться в Intune, а затем вы устанавливаете клиент Configuration Manager для достижения состояния совместного управления.

Перед началом работы

Прежде чем приступить к устранению неполадок, важно собрать некоторые основные сведения о проблеме и выполнить все необходимые действия по настройке. Это помогает лучше понять проблему и сократить время на поиск решения. Для этого выполните указанный ниже контрольный список вопросов по устранению неполадок.

Большинство проблем возникают из-за того, что один или несколько из этих шагов не были выполнены. Если вы обнаружите, что шаг был пропущен или не был успешно завершен, ознакомьтесь с подробными сведениями о каждом шаге или ознакомьтесь со следующим руководством:

Руководство. Включение совместного управления для современных подготовленных клиентов

Устранение неполадок конфигурации гибридной Azure AD

Если у вас возникли проблемы, влияющие на Azure AD гибридное удостоверение или Azure AD подключение, ознакомьтесь со следующими руководствами по устранению неполадок.

Если возникают проблемы, влияющие на гибридное Azure AD присоединение для управляемых или федеративных доменов, ознакомьтесь со следующими руководствами по устранению неполадок.

Вопросы и ответы

Какие роли необходимы для настройки совместного управления?

Ниже приведены необходимые разрешения и роли для настройки совместного управления.

Какой журнал можно использовать для проверки рабочих нагрузок и определения того, откуда поступают политики и приложения в сценарии совместного управления?

На Windows 10 устройствах можно использовать следующий файл журнала:

%WinDir%\CCM\logs\CoManagementHandler.log

Разделы справки убедиться, что у моей облачной службы есть уникальное DNS-имя?

Для этого выполните следующие действия:

  1. Войдите в портал Azure, перейдите в раздел Все службы>Облачные службы (классическая версия) и нажмите кнопку Добавить.
  2. В поле DNS-имя введите имя, которое нужно использовать.
  3. Если у вас есть имя, которое можно использовать, запишите его, не создавая его в области Облачная служба .
  4. Создайте запись CNAME, которая сопоставляет домен с <name.cloudapp.net> как на внутреннем, так и на внешнем DNS-серверах.

Где можно найти MSI установки клиента Configuration Manager?

Файл ccmsetup.msi можно найти в следующей папке на сервере сайта Configuration Manager:

<ConfigMgr installation directory>\bin\i386

Разделы справки проверить развертывание клиента Configuration Manager из Intune на управляемые устройства Windows 10?

Чтобы проверить развертывание, выполните следующие действия на устройстве Windows 10:

  1. Откройте проводник и перейдите к %WinDir%\CCM\logs.
  2. Откройте файл ADALOperationProvider.log с помощью CMTrace и найдите получение маркера AAD (пользователь) и получение маркера AAD (устройство) для проверки маркеров.
  3. В CMTrace откройте файл CoManagementHandler.log и найдите Устройство уже зарегистрировано в MDM и Device Provisioned , чтобы проверить регистрацию.
  4. Откройте панель управления, введите Configuration Manager в поле поиска и выберите его.
  5. Перейдите на вкладку Общие и проверьте назначенную точку управления.
  6. Перейдите на вкладку Сеть и проверьте интернет-точку управления.

Распространенные проблемы

Configuration Manager разрешает только точку управления с поддержкой HTTPS для клиентов, присоединенных к Azure AD

Эта проблема возникает при использовании Configuration Manager текущей версии ветви 1802 или более ранней версии. В этих версиях точки управления, которые вы включаете для CMG, должны быть HTTPS. Начиная с версии 1806, точка управления может быть HTTP.

Чтобы устранить эту проблему, обновите до Configuration Manager текущей версии ветви 1806 или более поздней.

Является ли PKI-сертификат по-прежнему допустимым вариантом вместо расширенного HTTP

PKI-сертификаты по-прежнему являются допустимым вариантом, но они имеют следующие требования:

  • Все взаимодействие с клиентом выполняется по протоколу HTTPS.
  • Необходимо иметь расширенный контроль над инфраструктурой подписывания.

Дополнительные сведения см. в разделе Расширенный протокол HTTP.

Не удается найти вкладку Взаимодействие с клиентским компьютером в конфигурации сайта

Начиная с Configuration Manager текущей версии ветви 1906, эта вкладка переименована в Безопасность связи.

Параметр Использовать Configuration Manager созданные сертификаты для систем сайта HTTP включен, но сертификат не получен.

Это ожидаемое поведение. Получение и настройка нового сертификата с сайта точкой управления может занять до 30 минут. Для отслеживания, отслеживания и проверки можно использовать следующий журнал:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Записи для ресурсов и связанные с ними сведения из Azure AD не создаются в базе данных Configuration Manager.

При подключении сайта управления конфигурацией к Azure AD ресурсы Azure AD пользователей не обнаруживаются и не заполняются в базе данных Configuration Manager. Обычно в этом сценарии возникает ошибка 0x87d00231.

Эта проблема возникает в одной из следующих ситуаций:

  • Вы не настроите разрешения API для регистрации приложения в портал Azure.
  • Azure AD обнаружение пользователей не включено и не настроено.

Чтобы устранить эту проблему, выполните действия, описанные в разделе Azure AD обнаружение пользователей, чтобы настроить разрешения API и Azure AD обнаружение пользователей. Для проверки сведений можно использовать следующие журналы:

  • <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log на сервере сайта
  • %WinDir%\CCM\logs\CcmMessaging.log на клиенте
  • %WinDir%\CCM\logs\LocationServices.log на клиенте

Примечание.

Если сайт Configuration Manager новый или недавно перестроен, необходимо также настроить обнаружение пользователей Active Directory.

CoManagementHandler.log показывает таймер регистрации в очереди для запуска на...

В файле ADALOperationProvider.log на устройствах Windows отображаются сведения о получении маркера AAD (пользователь) и получении маркера AAD (устройство). Однако устройство не зарегистрировано, и последняя строка в Журнале CoManagementHandler.log — таймер регистрации в очереди для запуска....

Это поведение ожидается в Configuration Manager текущей версии ветви 1806 и более поздних версий. Начиная с версии 1806 автоматическая регистрация не является немедленной для всех клиентов. Такое поведение помогает лучше масштабировать регистрацию для больших сред. Configuration Manager случайным образом определяет регистрацию в зависимости от количества клиентов. Например, если в вашей среде 100 000 клиентов, регистрация может происходить в течение нескольких дней.

Чтобы отслеживать совместное управление, перейдите в раздел Мониторинг>совместного управления в консоли Configuration Manager.

Я скопировал настраиваемую команду установки клиента из консоли Configuration Manager, но не удается установить клиент Configuration Manager

Эта проблема возникает в одной из следующих ситуаций:

Чтобы устранить эту проблему, убедитесь, что команда соответствует требованию, а командная строка содержит не более 1024 символов.

Configuration Manager состояние агента неработоспособно в Intune

Intune оценивает состояние агента Configuration Manager на основе значений ClientHealthLastSyncTime и ClientHealthStatus в следующем подразделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Ниже приведены возможные значения ClientHealthStatus:

  • 1: клиент установлен
  • 2. Зарегистрировано клиентом
  • 5. Клиент установлен, но еще не выполняет оценку работоспособности
  • 7. Работоспособность клиента
  • 8. Ошибка установки или обновления клиента
  • 16. Ошибка связи в точке управления

ClientHealthStatus Если значение равно 7 (работоспособный), Intune считает клиент Configuration Manager работоспособным, если ClientHealthLastSyncTime не старше 30 дней.

ClientHealthStatus Если значение не равно 7 (неработоспособно), Intune считает клиент Configuration Manager работоспособнымClientHealthLastSyncTime, если значение не старше 48 часов.

Значение ClientHealthLastSyncTime обновляется компонентом уведомления клиента Configuration Manager клиента, а файл журнала — CcmNotificationAgent.log.

Чтобы устранить эту проблему, проверьте файл CcmNotificationAgent.log, если ClientHealthLastSyncTime не обновлен. Пример:

Обновление MDM_ConfigSetting.ClientHealthLastSyncTime со значением 2019-04-01T21:42:51Z BgbAgent 02.04.2019 8:42:51 AM 9476 (0x2504)

ClientHealthLastSyncTime Если значение актуально, но время последней проверки агента Configuration Manager — 01.02.1900 в Intune, это означает, что рабочей нагрузкой политик соответствия устройств управляет Configuration Manager. В этом случае переключите рабочую нагрузку политик соответствия на Intune или Пилотная Intune.

Точка подключения CMG отображается как отключенная

Проблема возникает из-за проблемы с разрешениями между системой удаленного сайта, где установлена роль точки подключения ШЛЮЗа управления облачными клиентами, и основным сайтом.

Система удаленного TrafficData сайта собирает отчет из CMG, а затем отправляет данные на первичный сайт через сообщения о состоянии. Ниже приведен пример фрагмента журнала SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData — сообщение о состоянии для отправки: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests= "0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~

Так как система удаленного сайта также является точкой управления, эти сообщения о состоянии перемещаются в папку исходящих, к которому обращается диспетчер диспетчера файлов MP, который отправляет файлы на первичный сайт. Ниже приведен пример фрагмента журнала mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~ Перемещение 1 *. SMX-файлы из C:\SMS\MP\OUTBOXES\statemsg.box\ в \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Файл C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX в \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

Если возникает проблема с разрешениями, диспетчер диспетчера файлов MP не может получить доступ к папкам "Входящие" на первичном сайте и регистрирует следующую ошибку в mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ОШИБКА: не удается подключиться к источнику папки "Входящие", в спящем режиме 30 секунд и повторите попытку.

Чтобы устранить эту проблему, добавьте учетную запись компьютера удаленной системы сайта в группу Локальные администраторы на основном сайте.

Клиенты не могут найти точку управления с помощью CMG, и вы получаете сообщение об ошибке 403

При возникновении этой проблемы в LocationServices.log на клиенте регистрируется следующая ошибка:

[CCMHTTP] СВЕДЕНИЯ ОБ ОШИБКЕ: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Кроме того, в SMS_Cloud_ProxyConnector.log на сервере точки подключения CMG регистрируется следующая ошибка:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 мс SMS_CLOUD_PROXYCONNECTOR

Если сервер точки подключения CMG имеет действительный сертификат проверки подлинности клиента, наиболее возможной причиной является неуспешная проверка списка отзыва сертификатов (CRL) для сертификата. В этом случае вы получите сообщение об ошибке 0x87d0027e, а следующая ошибка регистрируется в журнале событий CAPI2:

Функции отзыва не удалось проверить отзыв, так как сервер отзыва находился в автономном режиме. 80092013

Кроме того, если включить подробное ведение журнала, задав HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging для реестра значение 1, в SMS_Cloud_ProxyConnector.log регистрируются записи ошибок, похожие на следующие:

Сертификат о сбое сборки цепочки: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Состояние цепочки 0: RevocationStatusUnknown
Состояние цепочки 1: OfflineRevocation
Сертификат о сбое сборки цепочки: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Состояние цепочки 0: RevocationStatusUnknown
Состояние цепочки 1: OfflineRevocation
Недопустимый сертификат: 52E140B1DD16A556AB77932B63DE8795BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Число отфильтрованных сертификатов с разрешенным корневым ЦС и закрытым ключом: 0
Число отфильтрованных сертификатов с проверкой подлинности клиента: 0

Вместо автоматического отключения проверки списка отзыва сертификатов рекомендуется сначала убедиться, что она работает. Однако если вы не можете получить проверку списка отзыва сертификатов для правильной работы, временно отключите проверку CRL для точек подключения CMG. Это позволяет выбрать сертификат клиента без проверки списка отзыва сертификатов и обеспечивает обмен данными с точкой управления.

Дополнительные сведения

Дополнительные сведения об устранении неполадок совместного управления см. в следующих статьях:

Дополнительные сведения о совместном управлении Intune и Configuration Manager см. в следующих статьях: