Problembehandlung beim sicheren Schlüsselaustausch

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Wenn das Active Directory-Schema für Configuration Manager 2007 nicht erweitert wurde oder keine Standortinformationen in Active Directory veröffentlicht werden, ist der öffentliche Schlüssel für andere Standorte in Active Directory nicht verfügbar. Standorte in anderen Active Directory-Strukturen können keine für Standorte in anderen Strukturen veröffentlichten Standortinformationen abfragen.

In diesen Fällen überprüft der Zielserver das Verzeichnis <Installationsverzeichnis>\inboxes\hman.box auf einen öffentlichen Schlüssel für den sendenden Standort (nicht das Verzeichnis <Installationsverzeichnis>\inboxes\hman.box\pubkey).

Wenn der öffentliche Schlüssel des Standorts nicht in Active Directory oder im Verzeichnis <Installationsverzeichnis>\inboxes\hman.box gefunden werden kann, werden die empfangenen Daten zurückgewiesen, und die Standorte können nicht miteinander kommunizieren.

Wenn Sie den öffentlichen Schlüssel bei der Installation eines neuen sekundären Standorts für einen primären Standort, der für einen sicheren Schlüsselaustausch konfiguriert wurde, nicht manuell an den übergeordneten Standort übertragen, wird der sekundäre Standort zwar erfolgreich installiert, ist jedoch nicht in der Lage, eine ordnungsgemäße Verbindung mit dem übergeordneten Standort herzustellen. Der primäre Standort versucht weiterhin hundertmal etwa alle fünf Minuten, einen Schlüssel für den sekundären Standort zu finden, damit eine Verbindung hergestellt werden kann. Die Kommunikation von sekundären Standorten wird vom übergeordneten Standort zurückgewiesen, bis ein manueller Schlüsselaustausch erfolgt.

Bis zum manuellen Schlüsselaustausch sollte folgendes Verhalten auftreten:

Despooler-Eingangsbox des übergeordneten Standorts

Das Verzeichnis <Installationsverzeichnis>\inboxes\despoolr.box\receive (in dem die von anderen Standorten empfangenen Daten gespeichert werden) am primären Standort wird allmählich mit den Kommunikationsdateien der sekundären Standorte aufgefüllt. In der Regel werden die Dateien verarbeitet und verschoben, sobald der Standortserver die Anweisungsdateien (INS-Dateien) erhält. In diesem Fall bleiben sie jedoch erhalten, bis sie vom empfangenden Standort zurückgewiesen und gelöscht werden.

Protokolldatei „Despool.log“ des übergeordneten Standorts

Die Datei Despool.log auf dem empfangenden Standort (in der eingehende Kommunikationsübertragungen zwischen Standorten aufgezeichnet werden) weist Einträge wie die folgenden auf:

  • „Öffentlicher Schlüssel für eingehende Anweisung <Installationsverzeichnis>\inboxes\despoolr.box\receive von Standort <sekundärer Standortcode> wurde nicht gefunden, bitte später erneut versuchen.“

  • „Öffentlicher Schlüssel für eingehende Schlüsselaustauschanweisung von Standort <sekundärer Standortcode> wurde nicht gefunden.“

SMS_Despooler-Komponentenstatusmeldungen des empfangenden Standorts

Sie erhalten folgende Statusmeldungen für die SMS_DESPOOLER-Komponente auf dem empfangenden Standort:

  • Statusmeldung 4404 gibt an, dass die Despooler-Komponente eine Anweisung und eine Paketdatei von einem Standort erhalten hat, diese aber nicht verarbeitet werden, da der Standort keinen nicht signierten Schlüsselaustausch zwischen Standorten zulässt.

  • Statusmeldung 4405 gibt an, dass der Standort eine Anweisungsdatei mit Replikationsdaten zwischen Standorten erhalten hat, die nicht verarbeitet und abgelegt wird, da für den sendenden Standort kein gültiger öffentlicher Schlüssel gefunden wurde.

Siehe auch

Tasks

Manuelles Austauschen von öffentlichen Schlüsseln zwischen Standorten

Konzepte

Problembehandlung für die Configuration Manager-Serverinfrastruktur

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com