Probleme bei der Verwendung von Configuration Manager-Clients im einheitlichen Modus und bei der internetbasierten Verwaltung
Letzte Aktualisierung: April 2010
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
In diesem Abschnitt finden Sie Informationen zur Problembehandlung, die Ihnen helfen, spezifische Probleme von Configuration Manager 2007-Clients zu lösen, wenn diese an einem Standort im einheitlichen Modus betrieben werden. Außerdem finden Sie Informationen zur Behandlung von Problemen für die internetbasierte Clientverwaltung. Informationen zu Problemen, die sowohl Clients im gemischten als auch Clients im einheitlichen Modus betreffen, finden Sie unter Allgemeine Probleme bei Configuration Manager-Clients.
Administratorchecklisten für das Konfigurieren der Verwaltung von Clients im einheitlichen Modus und internetbasierte Clients finden Sie unter:
Administratorcheckliste: Bereitstellen der PKI-Anforderungen für den einheitlichen Modus
Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus
Administratorcheckliste: Konfigurieren eines Standorts für die internetbasierte Clientverwaltung
Einheitlicher Modus oder internetbasierte Clientverwaltung kann nicht ausgeführt werden, da eine oder mehrere Voraussetzungen nicht erfüllt sind
Für den einheitlichen Modus und die internetbasierte Clientverwaltung ist eine Reihe von Voraussetzungen erforderlich. Wenn diese nicht erfüllt werden, kann dies verschiedene Probleme und Fehlerbedingungen verursachen. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie bestimmte Fehler überprüfen.
Lösung
Überprüfen Sie mithilfe der folgenden Themen, ob alle Voraussetzungen erfüllt sind:
Der einheitliche Modus kann für Version 3-Zertifikatvorlagen und Windows Server 2008 nicht ausgeführt werden
Wenn Sie die Active Directory-Zertifikatdienste mit Windows Server 2008 verwenden, können Sie keine Version 3-Vorlagen verwenden. Mit diesen Zertifikatvorlagen werden Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind. Beispiel: Für eine Version 3-Zertifikatvorlage, die zum Abrufen des Standortserver-Signaturzertifikats verwendet wird, wird beim Versuch, die Standortrichtlinien zu signieren, für die Komponente SMS_POLICY_PROVIDER die Statusmeldung 5115 statt der Statusmeldung 5116 („Erfolgreich“) angezeigt. Weitere Informationen zum Überprüfen, ob das Signaturzertifikat des Standortservers erfolgreich verwendet wurde, finden Sie unter Überprüfen, ob die Migration zum einheitlichen Modus abgeschlossen ist.
Sie können Version 3-Vorlagen in der Windows Server 2008-Zertifikatvorlagenkonsole in der Spalte Unterstützte Zertifizierungsstellen einsehen. Version 3-Vorlagen werden in dieser Spalte als Windows Server 2008 angezeigt. Wenn Sie eine vorhandene Zertifikatvorlage duplizieren, werden Sie dazu aufgefordert, die Vorlagenversion auszuwählen. Version 3-Vorlagen werden als Windows Server 2008, Enterprise Edition angezeigt. Die Standardversion für duplizierte Vorlagen ist Version 2 (die Option Windows Server 2003, Enterprise Edition), diese ist mit Configuration Manager im einheitlichen Modus kompatibel.
Lösung
Verwenden Sie keine Version 3-Vorlagen zum Erstellen der Zertifikate, die den einheitlichen Modus für Configuration Manager unterstützen.
Clientmodusberichte sind leer und referenzieren das Programm zur Überprüfung des einheitlichen Modus
Die folgenden Berichte zeigen keine Clientdaten an, bis Clients das Programm zur Überprüfung des einheitlichen Modus für Configuration Manager ausgeführt haben:
Clients, die den einheitlichen Modus nicht unterstützen
Zusammenfassende Informationen zu Clients, die den einheitlichen Modus unterstützen
Lösung
Dieses Dienstprogramm wird mit Configuration Manager 2007-Clients im Ordner „%windir%\System32\CCM“ installiert. Es muss mit lokalen Administratorrechten auf Clientcomputern ausgeführt werden, die den Configuration Manager 2007-Client installiert haben.
Zum Ausführen des Dienstprogramms führen Sie im Ordner CCM die Datei Sccmnativemodereadiness.exe aus.
Weitere Informationen finden Sie unter Bestimmen, ob Clientcomputer für den einheitlichen Modus bereit sind.
Clients werden nach der Standortmigration zum einheitlichen Modus nicht verwaltet
Wenn einige oder alle einem Configuration Manager 2007-Standort zugewiesenen Clients nach der Migration zum einheitlichen Modus keine Richtlinien mehr erhalten und keine Inventurinformationen an den Standort senden, ist dies auf eine Reihe von Ursachen zurückzuführen:
Die Voraussetzungen für den einheitlichen Modus werden nicht erfüllt.
Die Kommunikation wird durch Zertifikatprobleme verhindert.
Die Clients haben keine Anweisungen zum Wechseln in die Kommunikation im einheitlichen Modus erhalten.
Die Migration ist noch nicht abgeschlossen.
Lösung
Wenn Clients einem Fallbackstatuspunkt zugewiesen sind, verwenden Sie die Berichte zum Ermitteln des jeweiligen Problems bei der Kommunikation im einheitlichen Modus. Weitere Informationen zum Verwenden der Fallbackstatuspunktberichte finden Sie unter den folgenden Themen:
Informationen zu Berichten für Configuration Manager-Clients
Erstellen eines Fallbackstatuspunkts in Configuration Manager
Zuweisen des Fallbackstatuspunkts zu Configuration Manager-Clientcomputern
Anhand der folgenden Checkliste können Sie sicherstellen, dass die Vorgehensweise korrekt befolgt wurde und gegebenenfalls fehlende Schritte ergänzen: Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus.
Einstellungen eines Clients im einheitlichen Modus funktionieren nicht
Wenn Sie die unter Standorteigenschaften: Registerkarte „Standortmodus“ angegebenen Clienteinstellungen konfigurieren, werden die Einstellungen in den Active Directory-Domänendiensten veröffentlicht und bei der Clientpushinstallation verwendet. Damit diese Einstellungen zur Konfiguration eines Clients im einheitlichen Modus nach deren Installation verwendet werden, muss Folgendes gegeben sein:
Sie haben das Active Directory-Schema für Configuration Manager 2007 erweitert.
Der Standort wird erfolgreich in den Active Directory-Domänendiensten veröffentlicht.
Die Clients gehören derselben Active Directory-Gesamtstruktur an.
Clients sind nicht für die reine Internetverwaltung konfiguriert.
Lösung
In der folgenden Tabelle finden Sie Lösungen zu den einzelnen oben angeführten Situationen.
| Situation | Lösung |
|---|---|
Das Active Directory-Schema ist nicht für Configuration Manager 2007 erweitert. |
Es ist zwar nicht notwendig, das Active Directory-Schema für den einheitlichen Modus zu erweitern, die Konfiguration des einheitlichen Modus wird dadurch jedoch wesentlich erleichtert. Weitere Informationen zum Erweitern des Active Directory-Schemas finden Sie unter: Konfigurieren Sie bei nicht erweitertem Schema die während der Installation benötigten Einstellungen für den einheitlichen Modus, indem Sie die CCMSetup-Installationseigenschaften manuell angeben bzw. die Clientpushinstallation verwenden:
Zusätzliche Informationen finden Sie unter Konfigurieren des einheitlichen Modus. |
Der Standort wird in den Active Directory-Domänendiensten nicht veröffentlicht. |
Konfigurieren Sie den Standort für die Veröffentlichung in Active Directory-Domänendiensten: So überprüfen Sie die Veröffentlichung der Standortinformationen |
Clients gehören nicht derselben Active Directory-Gesamtstruktur wie der Standortserver an. |
Diese Clients können nicht auf die in den Active Directory-Domänendiensten veröffentlichten Standorteinstellungen zugreifen und müssen deshalb mithilfe der CCMSetup-Installation manuell oder anhand der Clientpushinstallation automatisch konfiguriert werden:
Zusätzliche Informationen finden Sie unter Konfigurieren des einheitlichen Modus. |
Clients sind für die reine Internetverwaltung konfiguriert. |
Diese Clients können nicht auf die in den Active Directory-Domänendiensten veröffentlichten Standorteinstellungen zugreifen und müssen deshalb mithilfe der CCMSetup-Installationseigenschaften manuell konfiguriert werden: Zusätzliche Informationen finden Sie unter: |
Clients im einheitlichen Modus können den NLB-Verwaltungspunkt nicht finden
Ein Verwaltungspunkt für den Netzwerklastenausgleich (Network Load Balancing, NLB) muss im einheitlichen Modus mit einem vollständig qualifizierten Domänennamen (FQDN) konfiguriert sein, und Clients im einheitlichen Modus müssen diesen FQDN mithilfe der Active Directory-Domänendienste oder mithilfe eines Serverlocatorpunkts suchen können.
Lösung
Informationen zum Lösen von Problemen im Zusammenhang mit den obigen Anforderungen finden Sie in der folgenden Tabelle.
| Problem | Lösung |
|---|---|
Der NLB-Verwaltungspunkt ist mit einer IP-Adresse anstatt mit einem FQDN konfiguriert. |
Diese Konfiguration wird für den einheitlichen Modus nicht unterstützt. Der NLB-Verwaltungspunkt muss mit einem FQDN konfiguriert werden: |
Das Active Directory-Schema ist nicht für Configuration Manager 2007 erweitert. |
Da Clients im einheitlichen Modus keine NLB-Verwaltungspunkte in DNS oder WINS suchen können, wird der NLB-Verwaltungspunkt entweder mithilfe der Active Directory-Domänendienste oder mithilfe eines Serverlocatorpunkts gesucht. Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte). Weitere Informationen zum Erweitern des Active Directory-Schemas finden Sie unter: Weitere Informationen zum Installieren eines Serverlocatorpunkts finden Sie unter: |
Die Clients stammen aus einer separaten Gesamtstruktur oder einer Arbeitsgruppe. |
Diese Clients können keine Verwaltungspunkte in Active Directory-Domänendiensten suchen, selbst wenn ihr Standort in Active Directory-Domänendiensten veröffentlicht ist. In diesem Szenario müssen die Clients ihren NLB-Verwaltungspunkt über einen Serverlocatorpunkt suchen. Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte). Weitere Informationen zum Installieren eines Serverlocatorpunkts finden Sie unter: |
Clients im einheitlichen Modus können aufgrund einer falschen Konfiguration keine Verbindung zum NLB-Verwaltungspunkt herstellen
Clients können keine Verbindung zu einem NLB-Verwaltungspunkt herstellen, wenn die Public-Key-Infrastruktur-Zertifikate (PKI) fehlen oder für den NLB-Verwaltungspunkt falsch konfiguriert sind.
Lösung
Jeder Standortsystemserver im NLB-Verwaltungspunkt muss über ein PKI-Zertifikat verfügen, das sowohl den FQDN des NLB-Verwaltungspunkts als auch den Namen des Standortsystemservers beinhaltet. Weitere Informationen finden Sie bei den Zertifikatanforderungen, die im Abschnitt „NLB-Verwaltungspunkte (Network Load Balancing, Netzwerklastenausgleich) oder NLB-Softwareupdatepunkte“ im Thema Zertifikatanforderungen für den einheitlichen Modus aufgeführt sind.
Hinweis
Informationen zum Angeben von mehreren Namen im Zertifikatfeld Alternativer Antragstellername finden Sie unter How to Request a Certificate With a Custom Subject Alternative Name (Anfordern eines Zertifikats mit einem alternativen benutzerdefinierten Antragstellernamen; https://go.microsoft.com/fwlink/?LinkId=189292).
Clients im einheitlichen Modus werden nicht verwaltet, wenn sie ein neues Standortserver-Signaturzertifikat verwenden
Wenn ein Configuration Manager 2007-Client ein neues Standortserver-Signaturzertifikat verwendet, das mit einem anderen Stammzertifikat als mit dem Zertifikat verknüpft ist, das für das vorherige Standortserver-Signaturzertifikat verwendet wurde, wird der Client das neue Standortserver-Signaturzertifikat nicht akzeptieren, wenn er Richtlinien erhält, die mit dem neuen Zertifikat signiert sind.
Zu dieser Situation kommt es, wenn das Stammzertifikat für das Standortserver-Signaturzertifikat aus Sicht des Clients geändert wird, z. B. unter folgenden Umständen:
Wenn Sie einen Configuration Manager 2007Client von einer Configuration Manager 2007-Hierarchie in eine andere verschieben (z. B. bei einem Unternehmenszusammenschluss).
Wenn Sie den Standort für die Verwendung eines neuen Standortserver-Signaturzertifikats konfigurieren, das von einer anderen Stammzertifizierungsstelle als der für das vorherige Standortserver-Signaturzertifikat verwendeten Stammzertifizierungsstelle ausgestellt wurde.
Sie erneuern Ihr Stammzertifikat mit einem neuen Schlüsselpaar und geben dann ein neues Standortserver-Signaturzertifikat aus.
Dieses Verhalten ist eine Sicherheitsmaßnahme, damit Clients keine neuen Standortserver-Signaturzertifikate von kompromittierten Verwaltungspunkten zulassen. In diesem Fall versuchen Clients nicht, das neue Standortserver-Signaturzertifikat herunterzuladen, und weisen die heruntergeladene Richtlinie ab. An den Verwaltungspunkt wird eine Fehlermeldung gesendet, damit der Administrator gewarnt wird, dass die Richtlinienautorisierung nicht ausgeführt wurde.
Lösung
Sie sollten entweder die Kopie des vorherigen Standortserver-Signaturzertifikats auf dem Configuration Manager-Client löschen oder den Client deinstallieren bzw. neu installieren.
Weitere Informationen zu diesem Szenario und Wiederherstellungsaktionen finden Sie unter Erneuern oder Ändern des Standortserver-Signaturzertifikats.
Ein Client im einheitlichen Modus kann mit dem Standort nicht kommunizieren, weil er über mehrere Zertifikate verfügt
Bei einem Configuration Manager 2007-Betrieb im einheitlichen Modus erfolgt die Kommunikation zwischen Clients und Standort über eine Public Key-Infrastruktur (PKI) mit Clientauthentifizierungsfunktionen. Standardmäßig versucht Configuration Manager 2007 nicht, mit seinem Standardverwaltungspunkt zu kommunizieren, wenn er mehr als einen gültigen Client für diese Kommunikation ausfindig machen kann, er wird dann nicht verwaltet.
Sie können das Vorhandensein mehrerer Zertifikate auf einem Computer bestätigen, indem Sie das Zertifikat-Snap-In von Windows auf dem Client oder Configuration Manager 2007-Berichte verwenden, wenn Clients einem Fallbackstatuspunkt zugewiesen sind. Weitere Informationen finden Sie unter Informationen zu Berichten für Configuration Manager-Clients.
Lösung
Zu diesem Problem bieten sich verschiedene Lösungen, je nach Ihren jeweiligen Anforderungen im Hinblick auf die Verwendung mehrerer Zertifikate. Mithilfe der folgenden Tabelle können Sie die korrekte Vorgehensweise für Ihre jeweilige Anforderung herausfinden.
| Anforderungen | Lösung |
|---|---|
Auf dem Computer sind mehrere Zertifikate erforderlich, und der Configuration Manager 2007-Client muss für die Configuration Manager 2007-Kommunikation im einheitlichen Modus das richtige Zertifikat auswählen. |
Konfigurieren Sie die Zertifikatsauswahlkriterien: |
Mehrere Zertifikate sind auf dem Computer nicht erforderlich (sie sind z. B. auf Zertifikatsbereitstellungstests zurückzuführen oder werden für ihren ursprünglichen Zweck nicht mehr benötigt). |
Löschen Sie unerwünschte Zertifikate erst, nachdem Sie sich vergewissert haben, dass sie nicht mehr erforderlich sind. Wichtig Wenn Sie sich nicht sicher sind, ob die Zertifikate benötigt werden, sichern Sie diese vor dem Löschen, indem Sie sie exportieren und dann an einem sicheren Ort speichern. Auf diese Weise bleibt nur ein gültiges Clientzertifikat im lokalen Zertifikatspeicher zurück, das der Computer für die Configuration Manager 2007-Kommunikation im einheitlichen Modus verwendet. |
Es ist für Sie nicht von Bedeutung, welches Zertifikat für die Configuration Manager 2007-Kommunikation im einheitlichen Modus verwendet wird. |
Konfigurieren Sie den Client so, dass er ein beliebiges Zertifikat auswählt, das Clientauthentifizierungsfunktionen beinhaltet. Darüber hinaus wird in Configuration Manager 2007 SP1 oder höher das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt, was angemessen ist, wenn Sie den Netzwerkzugriffsschutz mit IPsec-Erzwingungen verwenden. Hinweis Das kann zu einer erfolgreichen Kommunikation im einheitlichen Modus führen, ist aber eine weniger zuverlässige Konfiguration als das Angeben der Zertifikatauswahlkriterien, da das Clientzertifikat für den Standortsystemserver im einheitlichen Modus möglicherweise nicht vertrauenswürdig ist. Weitere Informationen finden Sie unter: |
Firewalls oder Proxyserver blockieren die Internetclientkommunikation zum internetbasierten Standort
Front-End- oder Back-End-Firewalls müssen ordnungsgemäß konfiguriert sein, damit der Datenverkehr zu und von Internetclients zu ihren internetbasierten Standortsystemen zugelassen ist.
Lösung
In dem folgenden Thema finden Sie eine Liste von Ports, die mit der interbasierten Clientverwaltung verbunden sind:
Informationen zur externen Abhängigkeit für beteiligte Firewalls oder Proxyserver finden Sie in dem folgenden Thema:
Internetclients verwenden keine neuen Proxyserverdetails
Hinweis
Dieses Problem wurde mit dem Configuration Manager 2007 SP1-Client behoben.
Ein Configuration Manager 2007-Client, der über einen Proxyserver auf seinen internetbasierten Standort zugreift, nimmt die Änderungen für die Proxyserverkonfiguration, wie einen neuen Proxyservernamen oder eine Änderung der Anmeldeinformationen, nicht dynamisch auf.
Die neuen Proxyserverdetails werden verwendet, wenn der Configuration Manager 2007-Client eine Netzwerkänderung erkennt oder er neu gestartet wird. Daher ist die Wahrscheinlichkeit für dieses Szenario bei einem reinen Internetclient am größten.
Lösung
Sie können die Ermittlung der neuen Proxyserverdetails über eine der folgenden Methoden beschleunigen:
Unterbrechen Sie die Verbindung des Clients, und stellen Sie die Verbindung dann neu her.
Geben Sie die IP-Adresse des Clients frei, und erneuern Sie die Adresse dann.
Starten Sie den SMS-Agent-Hostdienst auf dem Clientcomputer neu.
Starten Sie den Clientcomputer neu.
Als längerfristige Lösung können Sie den Client auf Configuration Manager 2007 SP1 aktualisieren.
Proxyservereinstellungen sind für Benutzer mit geringen Rechten nicht auf der Registerkarte „Internet“ auf dem Client sichtbar
Unter Windows XP und Windows Server 2003 zeigt die Registerkarte Internet auf dem Configuration Manager 2007-Client in Configuration Manager die Konfigurationsoptionen im Abschnitt Proxyeinstellungen als schreibgeschützt an. Auf Windows Vista-Computer werden die konfigurierten Optionen dagegen nicht angezeigt, obwohl sie konfiguriert sind.
Lösung
Keine Wenn Sie die Proxyeinstellungen für Internetclients bestätigen müssen, greifen Sie als Benutzer mit hohen Rechten auf diese Registerkarte zu. Melden Sie sich beispielsweise als lokaler Administrator an, zeigen Sie die Eigenschaften von Configuration Manager an, und klicken Sie dann auf die Registerkarte Internet.
Clients können nach dem Löschen der Einstellung „Internetbasierter Verwaltungspunkt“ nicht mit dem Standardverwaltungspunkt im Intranet kommunizieren
Wenn Sie den konfigurierten internetbasierten Verwaltungspunkt des Clients löschen, während der Client mit dem Internet verbunden ist, und nicht durch einen anderen internetbasierten Verwaltungspunkt ersetzen, kann der Client nicht mit seinem Standardverwaltungspunkt kommunizieren. Bis zu einem Neustart des Clientdiensts (SMS-Agent-Host) wird der Client im Intranet dann nicht verwaltet.
Lösung
Führen Sie eine der folgenden Aktionen aus, um diese Situation zu lösen:
Starten Sie den SMS-Agent-Hostdienst des Clients neu. Für diese Aktion sind lokale Administratorrechte erforderlich.
Starten Sie den Computer neu.
Ankündigungen können nicht im Internet ausgeführt werden
Ankündigungen können nicht im Internet ausgeführt werden, wenn Sie das Feature „Internetbasierte Clientverwaltung“ verwenden. Andere Features wie Hardwareinventur und Softwareupdates können dagegen erfolgreich im Internet ausgeführt werden.
Lösung
Siehe https://go.microsoft.com/fwlink/?LinkId=112041.
Siehe auch
Konzepte
Administratorcheckliste: Konfigurieren von Clientcomputern für einen Standort, der die internetbasierte Clientverwaltung unterstützt
Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus
Voraussetzungen für den einheitlichen Modus
Neuigkeiten bei der Clientbereitstellung in Configuration Manager
Andere Ressourcen
Bereitstellen von Configuration Manager-Standorten zur Unterstützung internetbasierter Clients
Konfigurieren des einheitlichen Modus
Planen und Bereitstellen von Clients für Configuration Manager 2007
Problembehandlung bei Problemen mit dem Configuration Manager-Client
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com