Использование агента MBAM для депонирования ключей восстановления BitLocker создает чрезмерные политики в Configuration Manager версии 2103

Область применения: Configuration Manager (текущая ветвь, версия 2103)

Сводка по KB10372804

Invoke-MbamClientDeployment.ps1 Используя сценарий PowerShell или альтернативные методы, использующие API агента MBAM для депонирования ключей восстановления в точке управления в Configuration Manager текущей ветви, версия 2103 создает большой объем политики, предназначенной для всех устройств, что может вызвать бурю политики. Это приводит к серьезному снижению производительности в Configuration Manager, в первую очередь с SQL и точками управления.

Сведения об обновлении Configuration Manager конечной точки Майкрософт версии 2103

Обновление для устранения этой проблемы доступно в узле Обновления и обслуживание консоли Configuration Manager для сред, в которых установлен следующий накопительный пакет обновления.

  • KB10036164: накопительный пакет обновления для конечной точки Майкрософт Configuration Manager версии 2103

Чтобы определить, связана ли эта проблема, можно выполнить следующий SQL-запрос к базе данных каждого первичного сайта.

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

Важно!

Это обновление предотвращает создание чрезмерных политик, но не удаляет ранее созданные политики. Если приведенный выше запрос возвращает большое количество строк, обратитесь к служба поддержки Майкрософт за помощью в удалении этих политик.

Обновление сведений о замене

Это обновление заменяет приведенное ниже обновление.

  • KB10216365: не удалось переместить базу данных сайта в группу доступности SQL Always On в Configuration Manager версии 2103

Сведения о перезапуске

Это обновление не требует перезагрузки компьютера.

Дополнительные сведения об установке

После установки этого обновления на первичном сайте необходимо вручную обновить существующие вторичные сайты. Чтобы обновить вторичный сайт в консоли Configuration Manager, выберите Администрирование>, конфигурация> сайта. Восстановить>вторичный сайт, а затем выберите дополнительный сайт. Затем первичный сайт переустановит этот вторичный сайт с помощью обновленных файлов. Эта переустановка не влияет на конфигурации и параметры вторичного сайта. Новые, обновленные и переустановленные вторичные сайты на этом первичном сайте автоматически получают это обновление.

Выполните следующую команду SQL Server в базе данных сайта, чтобы проверить, соответствует ли версия обновления вторичного сайта его родительскому первичному сайту:

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
  • Если возвращается значение 1, сайт обновляется со всеми исправлениями, примененными к родительскому первичному сайту.
  • Если возвращается значение 0, сайт не установил все исправления, применяемые к основному сайту, и для обновления вторичного сайта следует использовать параметр Восстановить вторичный сайт .

Сведения о файлах

Сведения о файле доступны в загружаемом KB10372804_FileList.txt текстовом файле.

Журнал выпусков

  • 26 июля 2021 г.: первоначальный выпуск исправления

Ссылки

Включение BitLocker с помощью MBAM в рамках развертывания Windows

Обновления и обслуживание для Configuration Manager