Felsöka samhantering: Bootstrap med modern etablering
Den här artikeln hjälper dig att förstå och felsöka problem som kan uppstå när du konfigurerar samhantering genom att använda sökväg 2: Bootstrap Configuration Manager-klienten med modern etablering.
Det här scenariot inträffar när du har nya Windows 10 enheter som ansluter Microsoft Entra ID och automatiskt registrerar till Intune, och sedan installerar Configuration Manager-klienten för att nå ett samhanteringstillstånd.
Innan du börjar
Innan du börjar felsöka är det viktigt att samla in grundläggande information om problemet och se till att du följer alla nödvändiga konfigurationssteg. Detta hjälper dig att bättre förstå problemet och minska tiden för att hitta en lösning. Det gör du genom att följa den här checklistan med förfelsökningsfrågor:
- Vilket Microsoft Entra hybrididentitetsalternativ valde du?
- Vilken är din nuvarande MDM-utfärdare?
- Har du konfigurerat förbättrad HTTP?
- Skapade du molntjänsterna i Azure?
- Konfigurerade du molnhanteringsgatewayen (CMG)?
- Konfigurerade du klientinriktade roller för CMG-trafik?
- Installerade du Configuration Manager-klienten i Intune?
De flesta problem uppstår eftersom en eller flera av de här stegen inte har slutförts. Om du upptäcker att ett steg hoppades över eller inte slutfördes korrekt kontrollerar du informationen för varje steg eller läser följande självstudie:
Självstudie: Aktivera samhantering för moderna etablerade klienter
Felsöka hybridkonfiguration av Microsoft Entra
Om du har problem som påverkar antingen Microsoft Entra hybrididentitet eller Microsoft Entra Connect kan du läsa följande felsökningsguider:
- Felsöka installationsproblem med Microsoft Entra Connect
- Felsöka fel under Microsoft Entra Connect-synkronisering
- Felsöka synkronisering av lösenordshash med Microsoft Entra Connect Sync
- Felsöka Microsoft Entra sömlös enkel inloggning
- Felsöka Microsoft Entra direktautentisering
- Felsöka problem med enkel inloggning med Active Directory Federation Services (AD FS)
Om du har problem som påverkar Microsoft Entra hybridanslutning för hanterade domäner eller federerade domäner kan du läsa följande felsökningsguider:
Vanliga frågor och svar
Vilka roller behöver jag för att konfigurera samhantering?
Här är de behörigheter och roller som krävs för att konfigurera samhantering.
Vilken logg kan jag använda för att verifiera arbetsbelastningar och avgöra var principer och appar kommer ifrån i ett samhanteringsscenario?
Du kan använda följande loggfil på Windows 10 enheter:
%WinDir%\CCM\logs\CoManagementHandler.log
Hur gör jag för att verifiera att min molntjänst har ett unikt DNS-namn?
Gör så här:
- Logga in på Azure Portal, gå till Alla tjänster>Cloud Services (klassisk) och klicka sedan på Lägg till.
- I fältet i DNS-namn anger du ett namn som du vill använda.
- När du har ett namn som är tillgängligt för dig att använda kan du notera det utan att skapa det i fönstret Molntjänst .
- Skapa en CNAME-post som mappar din domän till <name.cloudapp.net> på både interna och externa DNS-servrar.
Var hittar jag msi-Configuration Manager klientkonfiguration?
Du hittar ccmsetup.msi-filen i följande mapp på Configuration Manager-platsservern:
<ConfigMgr installation directory>\bin\i386
Hur gör jag för att verifiera Configuration Manager klientdistribution från Intune till hanterade Windows 10-enheter?
Följ dessa steg på Windows 10-enheten för att verifiera distributionen:
- Öppna Utforskaren och gå till
%WinDir%\CCM\logs
. - Öppna ADALOperationProvider.log-filen med CMTrace och leta efter Hämta Microsoft Entra ID-token (användare) och Hämta Microsoft Entra ID -token (enhet) för att verifiera token.
- I CMTrace öppnar du filen CoManagementHandler.log. Leta efter Enheten har redan registrerats med MDM och Device Provisioned för att verifiera registreringen.
- Öppna Kontrollpanelen, skriv Configuration Manager i sökrutan och välj den.
- Välj fliken Allmänt och verifiera den tilldelade hanteringsplatsen.
- Välj fliken Nätverk och verifiera den Internetbaserade hanteringsplatsen.
Vanliga problem
Configuration Manager tillåter endast en HTTPS-aktiverad hanteringsplats för Microsoft Entra anslutna klienter
Det här problemet uppstår om du använder Configuration Manager aktuell grenversion 1802 eller en tidigare version. I dessa versioner måste hanteringsplatser som du aktiverar för CMG vara HTTPS. Från och med version 1806 kan hanteringsplatsen vara HTTP.
Åtgärda problemet genom att uppdatera till Configuration Manager aktuell grenversion 1806 eller en senare version.
Om PKI-certifikat fortfarande är ett giltigt alternativ i stället för utökad HTTP
PKI-certifikat är fortfarande ett giltigt alternativ för dig, men de har följande krav:
- All klientkommunikation sker via HTTPS.
- Du måste ha avancerad kontroll över signeringsinfrastrukturen.
Mer information finns i Förbättrad HTTP.
Jag hittar inte fliken Klientdatorkommunikation i Platskonfiguration
Från och med Configuration Manager aktuella grenversion 1906 byter den här fliken namn till Kommunikationssäkerhet.
Alternativet Använd Configuration Manager-genererade certifikat för HTTP-platssystem är aktiverat, men inget certifikat tas emot
Det här beteendet förväntas. Det kan ta upp till 30 minuter innan hanteringsplatsen tar emot och konfigurerar det nya certifikatet från platsen. Du kan använda följande logg för att spåra, övervaka och verifiera detta:
<ConfigMgr installation directory>\Logs\CloudMgr.log
Poster för resurserna och deras associerade information från Microsoft Entra ID skapas inte i Configuration Manager-databasen
När du registrerar konfigurationshanteringsplatsen för att Microsoft Entra ID identifieras inte Microsoft Entra användarresurser eller fylls i i Configuration Manager-databasen. Vanligtvis får du 0x87d00231 felet i det här scenariot.
Det här problemet uppstår i någon av följande situationer:
- Du har inte konfigurerat API-behörigheterna för appregistreringen i Azure Portal.
- Microsoft Entra användarens identifiering är inte aktiverad eller konfigurerad.
Åtgärda problemet genom att följa stegen i Microsoft Entra användaridentifiering för att konfigurera API-behörigheter och Microsoft Entra användaridentifiering. Du kan använda följande loggar för att kontrollera information:
-
<ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log
på platsservern -
%WinDir%\CCM\logs\CcmMessaging.log
på klienten -
%WinDir%\CCM\logs\LocationServices.log
på klienten
Obs!
Om Configuration Manager platsen är ny eller nyligen återskapad måste du också konfigurera Active Directory-användaridentifiering.
CoManagementHandler.log visar timer för köregistrering som ska utlösas...
Den ADALOperationProvider.log filen på Windows-enheterna visar Hämta Microsoft Entra ID-token (användare) och Hämta Microsoft Entra ID-token (enhet). Enheten har dock inte registrerats och den sista raden i CoManagementHandler.log är köregistreringstimern som ska utlösas vid....
Det här beteendet förväntas i Configuration Manager aktuella grenversion 1806 och senare versioner. Från och med version 1806 är automatisk registrering inte omedelbar för alla klienter. Det här beteendet hjälper registreringen att skala bättre för stora miljöer. Configuration Manager randomiserar registreringen baserat på antalet klienter. Om din miljö till exempel har 100 000 klienter kan registreringen ske under flera dagar.
Om du vill övervaka samhantering går du till Övervaka>samhantering i Configuration Manager-konsolen.
Jag kopierade det anpassade klientinstallationskommandot från Configuration Manager-konsolen, men Configuration Manager-klienten kan inte installeras
Det här problemet uppstår i någon av följande situationer:
- Installationsparametrarna i kommandot överensstämmer inte med de värden som stöds.
- Längden på kommandoraden är större än 1 024 tecken.
Åtgärda problemet genom att kontrollera att kommandot uppfyller kravet och att kommandoraden inte är längre än 1 024 tecken.
Configuration Manager agenttillståndet är inte felfritt i Intune
Intune utvärderar Configuration Manager agenttillstånd baserat på ClientHealthLastSyncTime
värdena och ClientHealthStatus
i följande registerundernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM
Följande är möjliga värden för ClientHealthStatus
:
- 1: Klienten har installerats
- 2: Klient registrerad
- 5: Klienten har installerats, men har inte kört hälsoutvärderingen ännu
- 7: Klienten är felfri
- 8: Fel vid klientinstallation eller uppgradering
- 16: Kommunikationsfel på hanteringsplats
Om värdet ClientHealthStatus
är 7 (felfritt) anser Intune att den Configuration Manager klienten är felfri om den ClientHealthLastSyncTime
inte är äldre än 30 dagar.
ClientHealthStatus
Om värdet inte är 7 (inte felfritt) anser Intune att Configuration Manager-klienten är felfri om den ClientHealthLastSyncTime
inte är äldre än 48 timmar.
Värdet ClientHealthLastSyncTime
uppdateras av klientmeddelandekomponenten i Configuration Manager-klienten och loggfilen är CcmNotificationAgent.log.
Om du vill felsöka det här problemet kontrollerar du CcmNotificationAgent.log-filen om den ClientHealthLastSyncTime
inte är uppdaterad. Här är ett exempel:
Uppdaterar MDM_ConfigSetting.ClientHealthLastSyncTime med värdet 2019-04-01T21:42:51Z BgbAgent 4/2/2019 08:42:51 AM 9476 (0x2504)
ClientHealthLastSyncTime
Om värdet är uppdaterat, men den senaste incheckningstiden för Configuration Manager-agenten är 2/1/1900 i Intune, innebär det att arbetsbelastningen för enhetsefterlevnadsprinciper hanteras av Configuration Manager. I det här fallet växlar du arbetsbelastningen för efterlevnadsprinciper till Intune eller Pilot Intune.
CMG-anslutningspunkten visas som frånkopplad
Problemet uppstår på grund av ett behörighetsproblem mellan fjärrplatssystemet där CMG-anslutningspunktsrollen är installerad och den primära platsen.
Fjärrplatssystemet samlar in TrafficData
rapporten från CMG:en och skickar sedan data till den primära platsen via tillståndsmeddelanden. Här är ett exempel på ett loggfragment med SMS_Cloud_ProxyConnector.log:
SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData – tillståndsmeddelande att skicka: ~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~</ProxyTrafficStateDetails>~~~~
Eftersom fjärrplatssystemet också är en hanteringsplats flyttas dessa tillståndsmeddelanden till en utkorg som nås av MP File Dispatch Manager som skickar filerna till den primära platsen. Här är ett exempel på ett loggfragment av mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Flytta 1 *. SMX-filer från C:\SMS\MP\OUTBOXES\statemsg.box\ till \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Flyttad fil C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX till \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX
När det finns ett behörighetsproblem kan MP File Dispatch Manager inte komma åt inkorgarna på den primära platsen och loggar följande fel i mpfdm.log:
SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**ERROR: Det går inte att ansluta till inkorgskällan, viloläge 30 sekunder och försök igen.
Åtgärda problemet genom att lägga till datorkontot för fjärrplatssystemet i gruppen Lokala administratörer på den primära platsen.
Klienter kan inte hitta hanteringsplatsen med hjälp av CMG och du får fel 403
När det här problemet uppstår loggas följande fel i LocationServices.log på klienten:
[CCMHTTP] FELINFORMATION: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices
Dessutom loggas följande fel i SMS_Cloud_ProxyConnector.log på CMG-anslutningspunktservern:
MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR
Om CMG-anslutningspunktservern har ett giltigt certifikat för klientautentisering är den mest möjliga orsaken att det inte går att verifiera listan över återkallade certifikat (CRL) för certifikatet. I så fall får du 0x87d0027e och följande fel loggas i CAPI2-händelseloggen:
Återkallningsfunktionen kunde inte kontrollera återkallning eftersom återkallningsservern var offline. 80092013
Om du aktiverar utförlig loggning genom att ange HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging
registervärdet till 1 loggas dessutom felposter som liknar följande i SMS_Cloud_ProxyConnector.log:
Certifikat för kedjebygge misslyckades: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Status för kedja 0: RevocationStatusUnknown
Status för kedja 1: OfflineÅterkallning
Certifikat för kedjebygge misslyckades: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Status för kedja 0: RevocationStatusUnknown
Status för kedja 1: OfflineÅterkallning
Inte tillåtet certifikat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Filtrerat antal certifikat med tillåten rot-CA och har privat nyckel: 0
Filtrerat antal certifikat med klientautentisering: 0
Vi rekommenderar att du, i stället för att automatiskt inaktivera CRL-kontroll, först ser till att det fungerar. Men om du inte kan få CRL-kontrollen att fungera korrekt inaktiverar du tillfälligt CRL-kontrollen för CMG-anslutningspunkter. Detta gör att ett klientcertifikat kan väljas utan att utföra CRL-kontroll och möjliggör kommunikation med hanteringsplatsen.
Mer information
Mer information om hur du felsöker problem med samhantering finns i följande artiklar:
- Felsök samhantering: Registrera befintliga Configuration Manager hanterade enheter automatiskt i Intune
- Felsöka arbetsbelastningar för samhantering
Mer information om Intune och Configuration Manager samhantering finns i följande artiklar: