共同管理疑难解答：使用新式预配启动

本文通过采用路径 2：使用新式预配启动 Configuration Manager 客户端，帮助你了解和排查在设置共同管理时可能遇到的问题。

当你拥有加入Microsoft Entra ID并自动注册到Intune的新Windows 10设备，然后安装 Configuration Manager 客户端以达到共同管理状态时，会出现这种情况。

准备工作

在开始故障排除之前，请务必收集有关该问题的一些基本信息，并确保遵循所有必需的配置步骤。 这有助于更好地了解问题并减少查找解决方案的时间。 为此，请按照以下故障排除前问题清单进行操作：

• 你选择了哪个Microsoft Entra混合标识选项？
• 你当前的 MDM 机构是什么？
• 是否已 设置增强的 HTTP？
• 是否 在 Azure 中创建云服务？
• 是否 (CMG) 配置云管理网关 ？
• 是否 为 CMG 流量配置了面向客户端的角色？
• 是否在 Intune 中安装了 Configuration Manager 客户端？

出现大多数问题的原因是其中一个或多个步骤未完成。 如果发现某个步骤已跳过或未成功完成，检查每个步骤的详细信息，或参阅以下教程：

教程：为新式预配的客户端启用共同管理

排查混合Microsoft Entra配置问题

如果遇到影响Microsoft Entra混合标识或 Microsoft Entra Connect 的问题，请参阅以下故障排除指南：

• 排查Microsoft Entra Connect 安装问题
• 排查Microsoft Entra Connect 同步期间出现的错误
• 使用 Microsoft Entra Connect Sync 排查密码哈希同步问题
• 排查Microsoft Entra无缝单一登录问题
• 排查Microsoft Entra直通身份验证问题
• 排查Active Directory 联合身份验证服务的单一登录问题

如果遇到影响托管域或联合域Microsoft Entra混合加入的问题，请参阅以下故障排除指南：

• 混合联接设备Microsoft Entra故障排除
• 使用 dsregcmd 命令对设备进行故障排除

常见问题解答

配置共同管理需要哪些角色？

下面是配置共同管理所需的 权限和角色 。

我可以使用什么日志来验证工作负载，并确定策略和应用在共同管理方案中来自何处？

可以在Windows 10设备上使用以下日志文件：

%WinDir%\CCM\logs\CoManagementHandler.log

如何实现验证云服务是否具有唯一的 DNS 名称？

为此，请按照下列步骤操作：

1. 登录到Azure 门户，转到“所有服务>云服务 (经典) ”，然后单击“添加”。
2. 在 DNS 名称 字段中，输入要使用的名称。
3. 如果有可供使用的名称，请记下它，而无需在 “云服务 ”窗格中创建它。
4. 在内部和外部 DNS 服务器中创建一条 CNAME 记录，用于将域映射到 <name.cloudapp.net>。

在哪里可以找到客户端设置 MSI Configuration Manager？

可以在Configuration Manager站点服务器上的以下文件夹中找到ccmsetup.msi文件：

<ConfigMgr installation directory>\bin\i386

如何实现验证从Intune到托管Windows 10设备的Configuration Manager客户端部署？

若要验证部署，请在 Windows 10 设备上执行以下步骤：

1. 打开文件资源管理器，然后转到 %WinDir%\CCM\logs。
2. 使用 CMTrace 打开ADALOperationProvider.log文件，并查找获取Microsoft Entra ID (用户) 令牌和获取Microsoft Entra ID (设备) 令牌以验证令牌。
3. 在 CMTrace 中，打开CoManagementHandler.log文件，查找 “设备已注册 MDM”和“设备预配 ”以验证注册。
4. 打开控制面板，在搜索框中键入Configuration Manager，然后选择它。
5. 选择“ 常规 ”选项卡，并验证 “分配的管理点”。
6. 选择“ 网络 ”选项卡，并验证 基于 Internet 的管理点。

常见问题

Configuration Manager只允许已加入Microsoft Entra客户端使用启用了 HTTPS 的管理点

如果使用当前分支版本 1802 或更低版本Configuration Manager，则会出现此问题。 在这些版本中，为 CMG 启用的管理点必须是 HTTPS。 从版本 1806 开始，管理点可以是 HTTP。

若要解决此问题，请更新到当前分支版本 1806 或更高版本Configuration Manager。

PKI 证书是否仍然是有效的选项，而不是增强的 HTTP

PKI 证书仍然是有效的选项，但它们具有以下要求：

• 所有客户端通信都通过 HTTPS 完成。
• 必须具有对签名基础结构的高级控制。

有关详细信息，请参阅 增强型 HTTP。

在“站点配置”中找不到“客户端计算机通信”选项卡

从 Configuration Manager Current Branch 版本 1906 开始，此选项卡已重命名为通信安全。

已启用“为 HTTP 站点系统使用Configuration Manager生成的证书”选项，但未收到证书

此行为在意料之中。 管理点最多可能需要 30 分钟才能从站点接收和配置新证书。 可以使用以下日志来跟踪、监视和验证这一点：

<ConfigMgr installation directory>\Logs\CloudMgr.log

不会在 Configuration Manager 数据库中创建Microsoft Entra ID资源及其相关信息的记录

将配置管理站点载入Microsoft Entra ID时，Microsoft Entra用户资源不会发现或填充到 Configuration Manager 数据库中。 通常，在此方案中会收到0x87d00231错误。

在下列情况之一中会出现此问题：

• 未在Azure 门户中成功配置应用注册的 API 权限。
• Microsoft Entra用户发现未启用或配置。

若要解决此问题，请按照Microsoft Entra用户发现中的步骤配置 API 权限并Microsoft Entra用户发现。 可以使用以下日志来检查详细信息：

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log 在站点服务器上
• %WinDir%\CCM\logs\CcmMessaging.log 在客户端上
• %WinDir%\CCM\logs\LocationServices.log 在客户端上

注意

如果Configuration Manager站点是新的或最近重建的，则还必须配置 Active Directory 用户发现。

CoManagementHandler.log显示 要触发的队列注册计时器...

Windows 设备上的ADALOperationProvider.log文件显示获取Microsoft Entra ID (用户) 令牌和获取Microsoft Entra ID (设备) 令牌。 但是，设备未注册，CoManagementHandler.log中的最后一行是 排队注册计时器以在...触发。

Configuration Manager当前分支版本 1806 及更高版本中预期会出现此行为。 从版本 1806 开始，并非所有客户端都立即进行自动注册。 此行为有助于在大型环境中更好地缩放注册。 Configuration Manager根据客户端数随机化注册。 例如，如果环境中有 100,000 个客户端，则注册可能会在几天内进行。

若要监视共同管理，请转到 Configuration Manager 控制台中的监视>共同管理。

我从 Configuration Manager 控制台复制了自定义客户端安装命令，但无法安装Configuration Manager客户端

在下列情况之一中会出现此问题：

• 命令中的安装参数不符合 支持的值。
• 命令行的长度大于 1,024 个字符。

若要解决此问题，请确保命令满足要求，并且命令行长度不超过 1,024 个字符。

Configuration Manager代理状态在 Intune 中处于不正常状态

Intune根据ClientHealthLastSyncTime以下注册表子项中的 和 ClientHealthStatus 值评估Configuration Manager代理状态：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

下面是 的 ClientHealthStatus可能值：

• 1：已安装客户端
• 2：客户端已注册
• 5：已安装客户端，但尚未运行运行状况评估
• 7：客户端正常
• 8：客户端安装或升级错误
• 16：管理点中的通信错误

ClientHealthStatus如果值为 7 (正常) ，Intune将Configuration Manager客户端视为正常（如果 ClientHealthLastSyncTime 未超过 30 天）。

ClientHealthStatus如果值不为 7 (不正常) ，Intune将Configuration Manager客户端视为正常（如果 ClientHealthLastSyncTime 时间未超过 48 小时）。

值ClientHealthLastSyncTime由 Configuration Manager 客户端的客户端通知组件更新，日志文件CcmNotificationAgent.log。

若要解决此问题，检查 CcmNotificationAgent.log 文件（如果 ClientHealthLastSyncTime 不是最新的）。 下面是一个示例：

将 MDM_ConfigSetting.ClientHealthLastSyncTime 更新值为 2019-04-01T21：42：51Z BgbAgent 4/2019 8：42：51 AM 9476 (0x2504)

ClientHealthLastSyncTime如果该值是最新的，但Configuration Manager代理的最后检查时间是 Intune 2/1/1900，这意味着设备符合性策略工作负载由 Configuration Manager 管理。 在这种情况下，请将合规性策略工作负载切换到Intune或试点Intune。

CMG 连接点显示为断开连接

出现此问题的原因是安装了 CMG 连接点角色的远程站点系统与主站点之间存在权限问题。

远程站点系统从 CMG 收集 TrafficData 报告，然后通过状态消息将数据发送到主站点。 下面是SMS_Cloud_ProxyConnector.log的示例日志片段：

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - 要发送的状态消息：~~<ProxyTrafficStateDetails ServerName=“PS1DP.CONTOSO.COM” StartTime=“Date1 Time1” EndTime=“Date2 Time2” MaxConcurrentRequests=“2”><EndPoints>~~ <EndPoint Name=“BGB” ProxyServer=“DOMAINCMG.CLOUDAPP.NET” TargetHost=“ps.contoso.com” TotalRequests=“2” TotalRequestsWithBearerToken=“0” MaxConcurrentRequests=“2” TotalRequestBytes=“2594” TotalResponseBytes=“716”FailedRequests=“0”/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~

由于远程站点系统也是一个管理点，因此这些状态消息会移动到由 MP 文件调度管理器访问的发件箱中，该管理器会将文件发送到主站点。 下面是mpfdm.log的示例日志片段：

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~移动 1 *。SMX 文件 (从 C：\SMS\MP\OUTBOXES\statemsg.box\ 到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\的) 。
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~将文件 C：\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX 移动到 \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX

出现权限问题时，MP 文件调度管理器无法访问主站点上的收件箱，并在 mpfdm.log 中记录以下错误：

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**错误：无法连接到收件箱源，请睡眠 30 秒，然后重试。

若要解决此问题，请将远程站点系统的计算机帐户添加到主站点上的“本地管理员”组。

客户端无法使用 CMG 找到管理点，你会收到错误 403

发生此问题时，客户端上LocationServices.log记录以下错误：

[CCMHTTP]错误信息：StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

此外，CMG 连接点服务器上SMS_Cloud_ProxyConnector.log记录以下错误：

MessageID： <ID> RequestURI： https://< FQDN>/SMS_MP/.sms_aut？SITESIGNCERT EndpointName： SMS_MP ResponseHeader： HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize： 5274 ElapsedTime： 44 ms SMS_CLOUD_PROXYCONNECTOR

如果 CMG 连接点服务器具有有效的客户端身份验证证书，则最可能的原因是无法验证证书的证书吊销列表 (CRL) 。 如果是这种情况，则会收到0x87d0027e错误，并且 CAPI2 事件日志中记录了以下错误：

吊销函数无法检查吊销，因为吊销服务器处于脱机状态。 80092013

此外，如果通过将注册表值设置为 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging1 来启用详细日志记录，则会记录类似于以下内容的错误条目SMS_Cloud_ProxyConnector.log：

链生成失败的证书：C019CC17EEFA681D154BA9F24F8EAE9640D54C49
链 0 状态：RevocationStatusUnknown
链 1 状态：脱机调用
链生成失败证书：54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
链 0 状态：RevocationStatusUnknown
链 1 状态：脱机调用
不允许的证书：52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
使用允许的根 CA 筛选的证书计数，并且具有私钥：0
客户端身份验证的筛选证书计数：0

建议先确保它正常工作，而不是自动禁用 CRL 检查。 但是，如果无法使 CRL 检查正常工作，请暂时禁用 CMG 连接点的 CRL 检查。 这样，无需执行 CRL 检查即可选择客户端证书，并启用与管理点的通信。

更多信息

有关排查共同管理问题的详细信息，请参阅以下文章：

• 共同管理疑难解答：自动将现有Configuration Manager管理的设备注册到Intune
• 排查共同管理工作负载问题

有关Intune和Configuration Manager共同管理的详细信息，请参阅以下文章：

• Windows 10共同管理概述
• 入门：共同管理的路径
• 共同管理的快速入门
• 教程：为现有 Configuration Manager 客户端启用共同管理
• 如何准备基于 Internet 的设备进行共同管理