Configuration Manager 客户端纯模式和基于 Internet 的客户端管理问题

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

本节提供一些疑难解答信息以帮助您解决 Configuration Manager 2007 客户端在纯模式站点中操作时发生的特定问题，其中包括解决基于 Internet 的客户端管理的问题。有关影响混合模式和纯模式客户端的问题，请参阅Configuration Manager 客户端一般问题。

有关配置纯模式和基于 Internet 的客户端管理的管理员清单，请参阅下列主题：

• 管理员清单：部署纯模式的 PKI 要求

• 管理员清单：将站点迁移到纯模式

• 管理员清单：为基于 Internet 的客户端管理配置站点

• 管理员清单：为支持基于 Internet 的客户端管理的站点配置客户端计算机

由于缺少一个或多个先决条件，出现纯模式失败或基于 Internet 的客户端管理失败

纯模式和基于 Internet 的客户端管理具有很多先决条件，如果没有满足这些条件，则可能产生很多问题和错误条件。调查特定错误之前，请确保满足了所有这些先决条件。

解决方案

要验证是否已满足所有先决条件，请查看以下各项：

• 纯模式的先决条件

• 基于 Internet 的客户端管理的先决条件

纯模式操作不能与版本 3 证书模板和 Windows Server 2008 一起工作

如果使用 Active Directory 证书服务和 Windows Server 2008，则不要使用版本 3 模板。使用这些证书模板会创建与 Configuration Manager 不兼容的证书。例如，当尝试签署站点策略时，用于申请站点服务器签名证书的版本 3 证书模板将导致组件 SMS_POLICY_PROVIDER 产生状态消息 5115，而不是成功状态消息 5116。有关验证是否成功地使用站点服务器签名证书的详细信息，请参阅如何验证纯模式迁移是否已完成。

可以通过在 Windows Server 2008 证书模板控制台中引用“最低支持的 CA”列来识别版本 3 模板。版本 3 模板在此列中显示为“Windows Server 2008”。复制现有证书模板时，系统将提示您选择模板版本，版本 3 模板显示为“Windows Server 2008，Enterprise Edition”。默认的复制模板是版本 2（选项“Windows Server 2003，Enterprise Edition”），该版本与 Configuration Manager 纯模式兼容。

解决方案

请勿使用版本 3 模板创建支持 Configuration Manager 纯模式的证书。

客户端模式报表为空白并引用纯模式准备工具

在客户端运行 Configuration Manager 纯模式准备工具之前，下列报表不会显示任何客户端数据：

• 不支持纯模式的客户端

• 支持纯模式的客户端的摘要信息

解决方案

此实用程序随 Configuration Manager 2007 客户端安装在 %windir%\system32\CCM 文件夹中。必须在安装了 Configuration Manager 2007 客户端的客户端计算机上使用管理员特权运行该程序。

要运行该实用程序，请运行 CCM 文件夹中的 Sccmnativemodereadiness.exe。

有关详细信息，请参阅如何确定客户端计算机是否已准备好进入纯模式。

客户端在站点迁移到纯模式后不受管理

如果分配到 Configuration Manager 2007 站点的客户端在迁移到纯模式后，部分或全部停止接收策略并且未向站点发送清单信息，则可能是下列一个或多个原因造成的：

• 不符合纯模式先决条件。

• 证书问题阻止了通信。

• 客户端未接收到切换到纯模式通信的说明。

• 迁移尚未完成。

解决方案

如果客户端被分配到了回退状态点，请使用报表来找出特定的纯模式通信问题。有关使用回退状态点报表的详细信息，请参阅下列主题：

• 关于 Configuration Manager 客户端的报表

• 如何创建 Configuration Manager 中的回退状态点

• 如何向 Configuration Manager 客户端计算机分配回退状态点

请参阅下列清单以确保遵循了正确的过程并在必要时解决遗漏的步骤：管理员清单：将站点迁移到纯模式.

纯模式客户端设置不起作用

如果配置“站点属性：站点模式”选项卡中指定的任何客户端设置，这些设置将发布到 Active Directory 域服务并供客户端请求安装使用。要在安装纯模式客户端之后使用这些设置来配置，必须符合下列所有条件：

• 已为 Configuration Manager 2007 扩展了 Active Directory 架构。

• 站点成功发布到 Active Directory 域服务。

• 客户端属于同一 Active Directory 林。

• 未将客户端配置为仅限 Internet 管理。

解决方案

请参阅下表以解决上面列出的每种情形。

情形	解决方案
未针对 Configuration Manager 2007 扩展 Active Directory 架构。	扩展 Active Directory 架构不是纯模式必需的，但如果扩展了该架构，配置纯模式将简单得多。 有关如何扩展 Active Directory 架构的详细信息： 如何为 Configuration Manager 扩展 Active Directory 架构 如果未扩展架构，则在安装期间配置所需的纯模式设置，手动指定 CCMSetup 安装属性或者使用客户端请求安装： 关于 Configuration Manager 客户端安装属性 如何使用客户端请求安装 Configuration Manager 客户端 有关详细信息，请参阅如何配置纯模式。
站点未发布到 Active Directory 域服务。	配置该站点以发布到 Active Directory 域服务： 如何将 Configuration Manager 站点信息发布到 Active Directory 域服务 验证站点信息的发布： 如何验证是否已将站点信息发布到 Active Directory 域服务
客户端不属于与站点服务器林相同的 Active Directory 林。	这些客户端无法访问发布到 Active Directory 域服务的站点设置，因此需要使用 CCMSetup 安装属性进行手动配置或使用客户端请求进行自动配置： 关于 Configuration Manager 客户端安装属性 如何使用客户端请求安装 Configuration Manager 客户端 有关详细信息，请参阅如何配置纯模式。
客户端配置为仅限 Internet 管理。	这些客户端无法访问发布到 Active Directory 域服务的站点设置，因此需要使用 CCMSetup 安装属性进行手动配置： 关于 Configuration Manager 客户端安装属性 有关其他信息，请参阅下列内容： 如何配置纯模式 决定如何为基于 Internet 的客户端管理安装 Configuration Manager 客户端

纯模式客户端找不到 NLB 管理点

在纯模式下，必须使用完全限定的域名 (FQDN) 配置网络负载平衡 (NLB) 管理点，并且纯模式客户端必须能够在 Active Directory 域服务中找到此 FQDN，或者找到服务器定位器点。

解决方案

请参阅下表以解决与上述要求相关的问题。

问题	解决方案
NLB 管理点配置为使用 IP 地址而不是 FQDN。	纯模式不支持此配置，必须将 NLB 管理点配置为使用 FQDN： 如何配置 NLB 管理点的 Intranet FQDN
未针对 Configuration Manager 2007 扩展 Active Directory 架构。	由于纯模式客户端在 DNS 或 WINS 中找不到 NLB 管理点，因此使用 Active Directory 域服务或服务器定位器点来查找 NLB 管理点。 有关详细信息，请参阅Configuration Manager 和服务定位（站点信息和管理点）。 有关如何扩展 Active Directory 架构的详细信息： 如何为 Configuration Manager 扩展 Active Directory 架构 有关安装服务器定位器点的详细信息： 如何在 Configuration Manager 中创建服务器定位器点
客户端来自单独的林或来自工作组。	即使这些客户端的站点正在发布到 Active Directory 域服务，它们也无法在 Active Directory 域服务中找到管理点。在这种情况下，这些客户端必须使用服务器定位器点查找其 NLB 管理点。 有关详细信息，请参阅Configuration Manager 和服务定位（站点信息和管理点）。 有关安装服务器定位器点的详细信息： 如何在 Configuration Manager 中创建服务器定位器点

纯模式客户端因证书错误配置而无法连接到 NLB 管理点

如果纯模式 NLB 管理点的公钥基础结构 (PKI) 证书丢失或配置错误，则客户端将无法连接到该 NLB 管理点。

解决方案

该 NLB 管理点中的每个站点系统服务器都必须具有一个包含 NLB 管理点的 FQDN 和站点系统服务器名称的 PKI 证书。有关详细信息，请参阅主题纯模式的证书要求的“网络负载平衡管理点或网络负载平衡软件更新点”一节中列出的证书要求。

备注

有关在证书的“使用者备用名称”字段中指定多个名称的信息，请参阅 How to Request a Certificate With a Custom Subject Alternative Name（如何请求具有自定义使用者备用名称的证书）(https://go.microsoft.com/fwlink/?LinkId=189292)。

纯模式客户端在使用新站点服务器签名证书时不受管理

如果 Configuration Manager 2007 客户端使用的新站点服务器签名证书与先前站点服务器签名证书所链接的根证书不同，则该客户端在收到使用新证书签名的策略时将不接受新站点服务器签名证书。

如果客户端认为站点服务器签名证书的根证书发生更改，则会发生这种情况，示例情况如下：

• 如果将 Configuration Manager 2007 客户端从一个 Configuration Manager 2007 层次结构移到另一个层次结构（例如公司兼并）。

• 如果将站点配置为使用新站点服务器签名证书，该证书的根证书颁发机构与颁发先前站点服务器签名证书的根证书颁发机构不同。

• 使用新密钥对续订根证书，然后签发新站点服务器签名证书。

此行为可提供安全保护，防止客户端接受来自被泄露的管理点的新站点服务器签名证书。在这种情况下，客户端将不尝试下载新的站点服务器签名证书，并将拒绝已下载的策略，将错误发送给管理点以警告管理员策略授权已失败这一事实。

解决方案

在 Configuration Manager 客户端上删除先前站点服务器签名证书的副本，或者卸载或重新安装该客户端。

有关此方案及补救措施的详细信息，请参阅续订或更改站点服务器签名证书。

纯模式客户端由于具有多个证书而无法与站点通信

当 Configuration Manager 2007 在纯模式下操作时，客户端使用具有客户端身份验证功能的公钥基础结构 (PKI) 证书与站点通信。默认情况下，如果 Configuration Manager 2007 为此通信找到了多个有效的客户端，它将不尝试与其默认管理点通信，因此将不受管理。

可以使用客户端上的 Windows 证书管理单元或 Configuration Manager 2007 报表（如果客户端被分配到了回退状态点）确认计算机上存在多个证书。有关详细信息，请参阅关于 Configuration Manager 客户端的报表。

解决方案

根据关于使用多个证书的特定要求，此问题有不同的解决方案。使用下表来找出适合您的特定要求的正确操作过程。

要求	解决方案
计算机上需要多个证书，Configuration Manager 2007 客户端需要选择一个正确的证书来用于 Configuration Manager 2007 纯模式通信。	配置证书选择条件： 如何指定客户端证书选择条件
计算机上不需要多个证书（例如，这些证书是由于证书部署测试而产生的，或者不再需要用于其原始目的）。	删除不需要的证书，但必须是在验证不再需要这些证书以后。 重要 如果您对于是否需要这些证书尚存疑问，请在删除之前通过导出这些证书并随后安全地存储进行备份。 这样将在本地证书存储中仅留下一个有效客户端证书，计算机将使用该证书进行 Configuration Manager 2007 纯模式通信。
您不在意使用哪一证书进行 Configuration Manager 2007 纯模式通信。	将客户端配置为选择任何包括客户端身份验证功能的有效证书。此外，如果将网络访问保护和 IPsec 强制实施配合使用，则在 Configuration Manager 2007 SP1 和更高版本中选择有效期最长的证书较为合适。 备注 这可以使纯模式通信成功，但与指定证书选择条件相比，其配置可靠性较低，因为纯模式站点系统服务器不信任客户端证书。 更多信息： 如何指定客户端证书选择条件

防火墙或代理服务器阻止 Internet 客户端与基于 Internet 的站点进行通信

必须正确配置前端或后端防火墙以允许 Internet 客户端与基于 Internet 的站点系统进行双向通信。

解决方案

请参阅下列主题，获取与基于 Internet 的客户端管理相关联的端口列表：

• 确定基于 Internet 的客户端管理所需的端口

请参阅下列主题，了解关于干扰防火墙或代理服务器的外部依赖关系的信息：

• 基于 Internet 的客户端管理的先决条件

Internet 客户端未使用新代理服务器详细信息

备注

已通过 Configuration Manager 2007 SP1 客户端解决此问题。

使用代理服务器访问其基于 Internet 的站点的 Configuration Manager 2007 客户端不能动态拾取对代理服务器配置的更改，例如新代理服务器名称或凭据更改。

当 Configuration Manager 2007 客户端检测到网络更改或重新启动时，将使用新的代理服务器详细信息。因此，您很可能仅在基于 Internet 的客户端上看到这种情况。

解决方案

使用下列任一方法加速发现新的代理服务器详细信息：

• 断开然后重新连接客户端。

• 释放然后续订客户端的 IP 地址。

• 重新启动客户端计算机上的 SMS 代理主机服务。

• 重新启动客户端计算机。

对于长期解决方案，请将客户端升级到 Configuration Manager 2007 SP1。

低权限用户看不到客户端的“Internet”选项卡上的代理服务器设置

在 Windows XP 和 Windows Server 2003 中，Configuration Manager 2007 客户端上 Configuration Manager 中的“Internet”选项卡将“代理设置”部分下的配置选项显示为只读。然而，在运行 Windows Vista 的计算机上，即使选项已配置也不会显示。

解决方案

无。如果需要确认 Internet 客户端的代理设置，请以高权限用户身份访问此选项卡。例如，以本地管理员身份登录，然后查看 Configuration Manager 的属性并单击“Internet”选项卡。

在删除基于 Internet 的管理点设置后，客户端无法与 Intranet 上的默认管理点进行通信

如果在客户端连接到 Internet 时删除为其配置的基于 Internet 的管理点，并且未使用其他基于 Internet 的管理点替换它，则在重新启动客户端服务（SMS 代理主机）之前，该客户端将无法与其默认管理点通信，在 Intranet 上也不受管理。

解决方案

要解决此问题，请执行下列操作之一：

• 重新启动客户端服务（SMS 代理主机）。此操作需要本地管理员权限。

• 重新启动计算机。

播发无法在 Internet 上运行

当您正在使用基于 Internet 的客户端管理功能时，播发无法在 Internet 上运行。但是，其他功能（例如硬件清单和软件更新）可以在 Internet 上成功执行。

解决方案

请参阅 https://go.microsoft.com/fwlink/?LinkId=112041（页面可能为英文）。

另请参阅

概念

管理员清单：为支持基于 Internet 的客户端管理的站点配置客户端计算机
管理员清单：将站点迁移到纯模式
纯模式的先决条件
Configuration Manager 客户端部署的新增功能

其他资源

部署 Configuration Manager 站点以支持基于 Internet 的客户端
如何配置纯模式
规划和部署 Configuration Manager 2007 的客户端
Configuration Manager 客户端问题疑难解答

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。