使用 MBAM 代理托管 BitLocker 恢复密钥会在 Configuration Manager 版本 2103 中生成过多策略

适用于:Configuration Manager (current Branch 版本 2103)

KB10372804 摘要

Invoke-MbamClientDeployment.ps1版本 2103 使用 PowerShell 脚本或替代方法(利用 MBAM 代理 API 将恢复密钥托管到 Configuration Manager Current Branch 中的管理点)生成大量策略,这些策略针对可能导致策略风暴的所有设备。 这会导致Configuration Manager(主要是 SQL 和管理点)的性能严重下降。

Microsoft终结点Configuration Manager版本 2103 的更新信息

Configuration Manager 控制台的“汇报和维护服务”节点中提供了用于解决此问题的更新,适用于已安装以下更新汇总的环境。

  • KB10036164:Microsoft终结点Configuration Manager版本 2103 的更新汇总

若要确定是否受此问题影响,可以针对每个主站点的数据库执行以下 SQL 查询。

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

重要

此更新可防止创建过多的策略,但不会删除以前创建的任何此类策略。 如果上述查询返回大量行,请联系 Microsoft 支持部门 以获取删除这些策略的帮助。

更新替换信息

此更新将替换以下更新。

  • KB10216365:无法将站点数据库移动到 Configuration Manager 版本 2103 中的 SQL Always On可用性组

重启信息

此更新不需要重启计算机。

其他安装信息

在主站点上安装此更新后,必须手动更新预先存在的辅助站点。 若要更新Configuration Manager控制台中的辅助站点,请选择“管理>站点配置>站点>恢复辅助站点”,然后选择辅助站点。 然后,主站点使用更新的文件重新安装该辅助站点。 辅助站点的配置和设置不受此重新安装的影响。 该主站点下的新、升级和重新安装的辅助站点会自动接收此更新。

在站点数据库上运行以下 SQL Server 命令,检查辅助站点的更新版本是否与其父主站点的更新版本匹配:

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
  • 如果返回值 1,则表示站点是最新的,其父主站点上应用了所有修补程序。
  • 如果返回值 0,则表示站点尚未安装应用于主站点的所有修补程序,应使用 “恢复辅助站点 ”选项更新辅助站点。

文件信息

可在可下载 的KB10372804_FileList.txt 文本文件中获取文件信息。

发布历史记录

  • 2021 年 7 月 26 日:初始修补程序版本

参考

如何在 Windows 部署中使用 MBAM 启用 BitLocker

Configuration Manager的汇报和维护