Die Verwendung des MBAM-Agents zum Escrow von BitLocker-Wiederherstellungsschlüsseln generiert übermäßige Richtlinien in Configuration Manager Version 2103
Gilt für: Configuration Manager (Current Branch, Version 2103)
Zusammenfassung von KB10372804
Mithilfe des Invoke-MbamClientDeployment.ps1 PowerShell-Skripts oder alternativer Methoden, die die MBAM-Agent-API verwenden, um Wiederherstellungsschlüssel an einen Verwaltungspunkt in Configuration Manager Current Branch zu übergeben, generiert Version 2103 eine große Menge an Richtlinien, die auf alle Geräte ausgerichtet sind und richtlinienstürme verursachen können. Dies führt zu einer starken Leistungsbeeinträchtigung in Configuration Manager, hauptsächlich bei SQL und Verwaltungspunkten.
Updateinformationen für Microsoft Endpoint Configuration Manager, Version 2103
Ein Update zur Behebung dieses Problems ist im Knoten Aktualisierungen und Wartung der Configuration Manager-Konsole für Umgebungen verfügbar, in denen das folgende Updaterollup installiert wurde.
- KB10036164: Updaterollup für Microsoft Endpoint Configuration Manager Version 2103
Um festzustellen, ob sie von diesem Problem betroffen sind, können Sie die folgende SQL-Abfrage für die Datenbank jedes primären Standorts ausführen.
SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0
Wichtig
Dieses Update verhindert die Erstellung übermäßiger Richtlinien, entfernt jedoch keine zuvor erstellten Richtlinien. Wenn die obige Abfrage eine große Anzahl von Zeilen zurückgibt, wenden Sie sich an Microsoft-Support, um Unterstützung beim Entfernen dieser Richtlinien zu erhalten.
Aktualisieren von Ersatzinformationen
Dieses Update ersetzt das folgende Update.
- KB10216365: Verschieben der Standortdatenbank in SQL Always On Verfügbarkeitsgruppe in Configuration Manager Version 2103 nicht möglich
Informationen zum Neustart
Für dieses Update ist kein Neustart des Computers erforderlich.
Zusätzliche Installationsinformationen
Nachdem Sie dieses Update an einem primären Standort installiert haben, müssen bereits vorhandene sekundäre Standorte manuell aktualisiert werden. Um einen sekundären Standort in der Configuration Manager-Konsole zu aktualisieren, wählen SieVerwaltungsstandortkonfiguration>>Standorte>Sekundären Standort wiederherstellen und dann den sekundären Standort aus. Der primäre Standort installiert diesen sekundären Standort dann mithilfe der aktualisierten Dateien neu. Konfigurationen und Einstellungen für den sekundären Standort sind von dieser Neuinstallation nicht betroffen. Die neuen, aktualisierten und neu installierten sekundären Standorte unter diesem primären Standort erhalten dieses Update automatisch.
Führen Sie den folgenden SQL Server Befehl für die Standortdatenbank aus, um zu überprüfen, ob die Updateversion eines sekundären Standorts mit der des übergeordneten primären Standorts übereinstimmt:
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
- Wenn der Wert 1 zurückgegeben wird, ist der Standort auf dem neuesten Stand, wobei alle Hotfixes an seinem übergeordneten primären Standort angewendet werden.
- Wenn der Wert 0 zurückgegeben wird, hat der Standort nicht alle Fixes installiert, die auf den primären Standort angewendet wurden, und Sie sollten die Option Sekundären Standort wiederherstellen verwenden, um den sekundären Standort zu aktualisieren.
Dateiinformationen
Dateiinformationen sind in der herunterladbaren KB10372804_FileList.txt Textdatei verfügbar.
Releaseverlauf
- 26. Juli 2021: Erstes Hotfixrelease
References
Aktivieren von BitLocker mithilfe von MBAM als Teil einer Windows-Bereitstellung