Problembehandlung bei der Co-Verwaltung: Bootstrap mit moderner Bereitstellung

Dieser Artikel hilft Ihnen, Probleme zu verstehen und zu beheben, die beim Einrichten der Co-Verwaltung auftreten können, indem Sie Pfad 2: Bootstrap des Configuration Manager-Clients mit moderner Bereitstellung verwenden.

Dieses Szenario tritt auf, wenn Sie über neue Windows 10 Geräte verfügen, die Microsoft Entra ID beitreten und sich automatisch bei Intune registrieren, und dann den Configuration Manager-Client installieren, um einen Co-Verwaltungsstatus zu erreichen.

Vorbereitende Schritte

Bevor Sie mit der Problembehandlung beginnen, ist es wichtig, einige grundlegende Informationen zu dem Problem zu sammeln und sicherzustellen, dass Sie alle erforderlichen Konfigurationsschritte ausführen. Dies hilft Ihnen, das Problem besser zu verstehen und die Zeit für die Suche nach einer Lösung zu verkürzen. Befolgen Sie dazu diese Checkliste mit Fragen vor der Problembehandlung:

• Welche Microsoft Entra Hybrididentitätsoption haben Sie ausgewählt?
• Was ist Ihre aktuelle MDM-Autorität?
• Haben Sie erweitertes HTTP eingerichtet?
• Haben Sie die Clouddienste in Azure erstellt?
• Haben Sie das Cloudverwaltungsgateway (CMG) konfiguriert?
• Haben Sie clientseitige Rollen für CMG-Datenverkehr konfiguriert?
• Haben Sie den Configuration Manager-Client in Intune installiert?

Die meisten Probleme treten auf, weil mindestens einer dieser Schritte nicht abgeschlossen wurde. Wenn Sie feststellen, dass ein Schritt übersprungen oder nicht erfolgreich abgeschlossen wurde, überprüfen Sie die Details der einzelnen Schritte, oder sehen Sie sich das folgende Tutorial an:

Tutorial: Aktivieren der Co-Verwaltung für modern bereitgestellte Clients

Problembehandlung bei der Konfiguration von Hybrid-Microsoft Entra

Wenn Probleme auftreten, die sich auf Microsoft Entra Hybrididentität oder Microsoft Entra Connect auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:

• Behandeln von Problemen bei der Installation von Microsoft Entra Connect
• Beheben von Fehlern während der Microsoft Entra Connect-Synchronisierung
• Problembehandlung bei der Kennworthashsynchronisierung mit Microsoft Entra Connect Sync
• Problembehandlung für Microsoft Entra nahtloses einmaliges Anmelden
• Problembehandlung bei Microsoft Entra Passthrough-Authentifizierung
• Behandeln von Problemen mit dem einmaligen Anmelden mit Active Directory-Verbunddienste (AD FS)

Wenn Probleme auftreten, die sich auf Microsoft Entra Hybrideinbindung für verwaltete Domänen oder Verbunddomänen auswirken, lesen Sie die folgenden Anleitungen zur Problembehandlung:

• Problembehandlung bei Microsoft Entra hybrid eingebundenen Geräten
• Problembehandlung von Geräten mit dem Befehl „dsregcmd“

Häufig gestellte Fragen

Welche Rollen benötige ich zum Konfigurieren der Co-Verwaltung?

Hier sind die erforderlichen Berechtigungen und Rollen zum Konfigurieren der Co-Verwaltung aufgeführt.

Welches Protokoll kann ich verwenden, um Workloads zu überprüfen und zu bestimmen, woher Richtlinien und Apps in einem Co-Verwaltungsszenario stammen?

Sie können die folgende Protokolldatei auf Windows 10 Geräten verwenden:

%WinDir%\CCM\logs\CoManagementHandler.log

Gewusst wie überprüfen, ob mein Clouddienst über einen eindeutigen DNS-Namen verfügt?

Gehen Sie dazu wie folgt vor:

1. Melden Sie sich beim Azure-Portal an, wechseln Sie zu Alle Dienste>Cloud Services (klassisch), und klicken Sie dann auf Hinzufügen.
2. Geben Sie im Feld in DNS-Name einen Namen ein, den Sie verwenden möchten.
3. Wenn Sie über einen Namen verfügen, der zur Verwendung verfügbar ist, notieren Sie ihn, ohne ihn im Bereich Clouddienst zu erstellen.
4. Erstellen Sie einen CNAME-Eintrag, der Ihre Domäne name.cloudapp.net> sowohl auf internen als auch auf externen DNS-Servern zuordnet<.

Wo finde ich die MSI für die Configuration Manager Clienteinrichtung?

Sie finden die ccmsetup.msi-Datei im folgenden Ordner auf dem Configuration Manager Standortserver:

<ConfigMgr installation directory>\bin\i386

Gewusst wie überprüfen Sie die Configuration Manager Clientbereitstellung von Intune auf den verwalteten Windows 10-Geräten?

Führen Sie die folgenden Schritte auf dem Windows 10 Gerät aus, um die Bereitstellung zu überprüfen:

1. Öffnen Sie Explorer, und wechseln Sie zu %WinDir%\CCM\logs.
2. Öffnen Sie die ADALOperationProvider.log-Datei mit CMTrace, und suchen Sie nach Getting Microsoft Entra ID (User) token (User) und Getting Microsoft Entra ID (device) token (Getting Microsoft Entra ID(device) token), um die Token zu überprüfen.
3. Öffnen Sie in CMTrace die CoManagementHandler.log-Datei, suchen Sie nach Gerät ist bereits bei MDM registriert und Gerät bereitgestellt , um die Registrierung zu überprüfen.
4. Öffnen Sie Systemsteuerung, geben Sie Configuration Manager in das Suchfeld ein, und wählen Sie es dann aus.
5. Wählen Sie die Registerkarte Allgemein aus, und überprüfen Sie den Zugewiesenen Verwaltungspunkt.
6. Wählen Sie die Registerkarte Netzwerk aus, und überprüfen Sie den internetbasierten Verwaltungspunkt.

Häufig auftretende Probleme

Configuration Manager lässt nur einen HTTPS-fähigen Verwaltungspunkt für Microsoft Entra eingebundene Clients zu.

Dieses Problem tritt auf, wenn Sie Configuration Manager Current Branch Version 1802 oder eine frühere Version verwenden. In diesen Versionen müssen die Verwaltungspunkte, die Sie für CMG aktivieren, HTTPS sein. Ab Version 1806 kann der Verwaltungspunkt HTTP sein.

Um das Problem zu beheben, aktualisieren Sie auf Configuration Manager Current Branch Version 1806 oder höher.

Gibt an, ob PKI-Zertifikate weiterhin eine gültige Option anstelle von erweitertem HTTP sind.

PKI-Zertifikate sind weiterhin eine gültige Option für Sie, aber sie haben die folgenden Anforderungen:

• Die gesamte Clientkommunikation erfolgt über HTTPS.
• Sie benötigen erweiterte Kontrolle über die Signaturinfrastruktur.

Weitere Informationen finden Sie unter Erweitertes HTTP.

Ich kann die Registerkarte Kommunikation zwischen Clientcomputern in der Standortkonfiguration nicht finden.

Ab Configuration Manager Current Branch Version 1906 wird diese Registerkarte in Kommunikationssicherheit umbenannt.

Die Option Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwenden ist aktiviert, aber es wird kein Zertifikat empfangen.

Dieses Verhalten wird erwartet. Es kann bis zu 30 Minuten dauern, bis der Verwaltungspunkt das neue Zertifikat vom Standort erhält und konfiguriert. Sie können das folgende Protokoll verwenden, um dies nachzuverfolgen, zu überwachen und zu überprüfen:

<ConfigMgr installation directory>\Logs\CloudMgr.log

Datensätze für die Ressourcen und die zugehörigen Informationen aus Microsoft Entra ID werden nicht in der Configuration Manager-Datenbank erstellt.

Wenn Sie das Onboarding des Configuration Management-Standorts in Microsoft Entra ID durchführen, werden die Microsoft Entra Benutzerressourcen nicht ermittelt oder in der Configuration Manager-Datenbank aufgefüllt. In der Regel erhalten Sie in diesem Szenario den 0x87d00231 Fehler.

Dieses Problem tritt in einer der folgenden Situationen auf:

• Sie haben die API-Berechtigungen für die App-Registrierung im Azure-Portal nicht erfolgreich konfiguriert.
• Microsoft Entra Benutzerermittlung nicht aktiviert oder konfiguriert ist.

Um das Problem zu beheben, führen Sie die Schritte unter Microsoft Entra Benutzerermittlung aus, um API-Berechtigungen zu konfigurieren und die Benutzerermittlung Microsoft Entra. Sie können die folgenden Protokolle verwenden, um Details zu überprüfen:

• <ConfigMgr installation directory>\Logs\SMS_AZUREAD_DISCOVERY_AGENT.log auf dem Standortserver
• %WinDir%\CCM\logs\CcmMessaging.log auf dem Client
• %WinDir%\CCM\logs\LocationServices.log auf dem Client

Hinweis

Wenn der Configuration Manager Standort neu ist oder kürzlich neu erstellt wurde, müssen Sie auch die Active Directory-Benutzerermittlung konfigurieren.

CoManagementHandler.log zeigt den Zeitgeber für die Queuing-Registrierung an, um...

Die ADALOperationProvider.log-Datei auf den Windows-Geräten zeigt Getting Microsoft Entra ID (User) token (Getting Microsoft Entra ID (device) token (Getting Microsoft Entra ID (device) token (Getting Microsoft Entra ID (User) token (Getting Microsoft Entra ID (device) (Abrufen des Tokens (Gerät) an. Das Gerät ist jedoch nicht registriert, und die letzte Zeile in CoManagementHandler.log ist der Queuing-Registrierungstimer, um bei ... auszulösen.

Dieses Verhalten wird in Configuration Manager Current Branch Version 1806 und höheren Versionen erwartet. Ab Version 1806 erfolgt die automatische Registrierung nicht sofort für alle Clients. Dieses Verhalten trägt dazu bei, dass die Registrierung für große Umgebungen besser skaliert wird. Configuration Manager zufällige Registrierung basierend auf der Anzahl der Clients. Wenn Ihre Umgebung beispielsweise über 100.000 Clients verfügt, kann die Registrierung über mehrere Tage erfolgen.

Um die Co-Verwaltung zu überwachen, wechseln Sie in der Configuration Manager-Konsole zu Überwachung> derCo-Verwaltung.

Ich habe den benutzerdefinierten Clientinstallationsbefehl aus der Configuration Manager-Konsole kopiert, aber der Configuration Manager Client kann nicht installiert werden.

Dieses Problem tritt in einer der folgenden Situationen auf:

• Die Installationsparameter im Befehl entsprechen nicht den unterstützten Werten.
• Die Länge der Befehlszeile ist größer als 1.024 Zeichen.

Um das Problem zu beheben, stellen Sie sicher, dass der Befehl die Anforderung erfüllt und die Befehlszeile nicht mehr als 1.024 Zeichen lang ist.

Configuration Manager Agent-Status ist in Intune fehlerhaft

Intune wertet den Configuration Manager-Agent-Status basierend auf den ClientHealthLastSyncTime Werten und ClientHealthStatus im folgenden Registrierungsunterschlüssel aus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MDM

Im Folgenden sind mögliche Werte von ClientHealthStatusaufgeführt:

• 1: Client installiert
• 2: Client registriert
• 5: Der Client ist installiert, hat aber noch keine Integritätsauswertung ausgeführt.
• 7: Client fehlerfrei
• 8: Clientinstallations- oder Upgradefehler
• 16: Kommunikationsfehler im Verwaltungspunkt

Wenn der ClientHealthStatus Wert 7 (fehlerfrei) ist, betrachtet Intune den Configuration Manager Client als fehlerfrei, wenn der ClientHealthLastSyncTime nicht älter als 30 Tage ist.

Wenn der ClientHealthStatus Wert nicht 7 (fehlerhaft) ist, betrachtet Intune den Configuration Manager Client als fehlerfrei, wenn der ClientHealthLastSyncTime nicht älter als 48 Stunden ist.

Der ClientHealthLastSyncTime Wert wird von der Clientbenachrichtigungskomponente Configuration Manager Clients aktualisiert, und die Protokolldatei wird CcmNotificationAgent.log.

Um dieses Problem zu beheben, überprüfen Sie die CcmNotificationAgent.log-Datei, wenn die ClientHealthLastSyncTime nicht auf dem neuesten Stand ist. Hier ein Beispiel:

Aktualisieren MDM_ConfigSetting.ClientHealthLastSyncTime mit dem Wert 2019-04-01T21:42:51Z BgbAgent 4/2/2019 8:42:51 AM 9476 (0x2504)

Wenn der ClientHealthLastSyncTime Wert aktuell ist, der letzte Check-in-Zeitpunkt des Configuration Manager-Agents jedoch der 01.02.1900 in Intune ist, bedeutet dies, dass die Workload der Gerätekonformitätsrichtlinien von Configuration Manager verwaltet wird. Ändern Sie in diesem Fall die Workload der Konformitätsrichtlinien auf Intune oder Pilot-Intune.

Der CMG-Verbindungspunkt wird als getrennt angezeigt.

Das Problem tritt aufgrund eines Berechtigungsproblems zwischen dem Remotestandortsystem, auf dem die CMG-Verbindungspunktrolle installiert ist, und dem primären Standort auf.

Das Remotestandortsystem sammelt den TrafficData Bericht vom CMG und sendet die Daten dann über Zustandsmeldungen an den primären Standort. Hier sehen Sie einen Beispielprotokollausschnitt für SMS_Cloud_ProxyConnector.log:

SMS_CLOUD_PROXYCONNECTOR 6124 (0x17ec) ReportTrafficData - zu sendende Statusmeldung: ~~~<ProxyTrafficStateDetails ServerName="PS1DP.CONTOSO.COM" StartTime="Date1 Time1" EndTime="Date2 Time2" MaxConcurrentRequests="2"><EndPoints>~~ <EndPoint Name="BGB" ProxyServer="DOMAINCMG.CLOUDAPP.NET" TargetHost="ps.contoso.com" TotalRequests="2" TotalRequestsWithBearerToken="0" MaxConcurrentRequests="2" TotalRequestBytes="2594" TotalResponseBytes="716" FailedRequests="0"/>~~ </EndPoints>~~/<ProxyTrafficStateDetails>~~~~

Da das Remotestandortsystem auch ein Verwaltungspunkt ist, werden diese Zustandsmeldungen in einen Posteingang verschoben, auf den vom MP File Dispatch Manager zugegriffen wird, der die Dateien an den primären Standort sendet. Hier sehen Sie einen Beispielprotokollausschnitt für mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 7044 (0x1b84) ~Verschiebung 1 *. SMX-Dateien von C:\SMS\MP\OUTBOXES\statemsg.box\ bis \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\.
SMS_MP_FILE_DISPATCH_MANAGER 6584 (0x19b8) ~Datei C:\SMS\MP\OUTBOXES\statemsg.box\___CMUp5onztqe.SMX in \\PS.contoso.com\SMS_PS1\inboxes\auth\statesys.box\incoming\___CMUp5onztqe.SMX verschoben

Wenn ein Berechtigungsproblem vorliegt, kann mp File Dispatch Manager nicht auf die Posteingänge am primären Standort zugreifen und protokolliert den folgenden Fehler in mpfdm.log:

SMS_MP_FILE_DISPATCH_MANAGER 3828 (0xef4) ~**FEHLER: Es kann keine Verbindung mit der Posteingangsquelle hergestellt werden, 30 Sekunden ruhen und versuchen Sie es erneut.

Um das Problem zu beheben, fügen Sie das Computerkonto des Remotestandortsystems der Gruppe Lokale Administratoren am primären Standort hinzu.

Clients können den Verwaltungspunkt nicht mithilfe des CMG finden, und Sie erhalten den Fehler 403.

Wenn dieses Problem auftritt, wird der folgende Fehler in LocationServices.log auf dem Client protokolliert:

[CCMHTTP] FEHLERINFORMATION: StatusCode= 403 StatusText=CMGConnector_Clientcertificaterequired LocationServices

Darüber hinaus wird der folgende Fehler in SMS_Cloud_ProxyConnector.log auf dem CMG-Verbindungspunktserver protokolliert:

MessageID: <ID> RequestURI: https://< FQDN>/SMS_MP/.sms_aut? SITESIGNCERT EndpointName: SMS_MP ResponseHeader: HTTP/1.1 403 CMGConnector_Clientcertificaterequired~~ ResponseBodySize: 5274 ElapsedTime: 44 ms SMS_CLOUD_PROXYCONNECTOR

Wenn der CMG-Verbindungspunktserver über ein gültiges Clientauthentifizierungszertifikat verfügt, ist die mögliche Ursache ein Fehler bei der Überprüfung der Zertifikatsperrliste (Certificate Revocation List, CRL) für das Zertifikat. Wenn dies der Fall ist, erhalten Sie den 0x87d0027e Fehler, und der folgende Fehler wird im CAPI2-Ereignisprotokoll protokolliert:

Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 80092013

Wenn Sie die ausführliche Protokollierung aktivieren, indem Sie den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SMS_CLOUD_PROXYCONNECTOR\VerboseLogging Registrierungswert auf 1 festlegen, werden außerdem Fehlereinträge, die den folgenden ähneln, in SMS_Cloud_ProxyConnector.log protokolliert:

Fehler beim Kettenbuildzertifikat: C019CC17EEFA681D154BA9F24F8EAE9640D54C49
Kette 0 status: RevocationStatusUnknown
Kette 1 status: OfflineRevocation
Fehler beim Kettenbuild: 54E09FEA31FE83F9A8AA5389B8D08B34D42FB3CF
Kette 0 status: RevocationStatusUnknown
Kette 1 status: OfflineRevocation
Nicht zulässiges Zertifikat: 52E140B1DD16A556AB77932B63DE87955BBC4616 52E140B1DD16A556AB77932B63DE87955BBC4616
Gefilterte Anzahl von Zertifikaten mit zulässiger Stammzertifizierungsstelle und privatem Schlüssel: 0
Anzahl gefilterter Zertifikate mit Clientauthentifizierung: 0

Es wird empfohlen, dass Sie zunächst sicherstellen, dass sie funktioniert, anstatt die CRL-Überprüfung automatisch zu deaktivieren. Wenn die CRL-Überprüfung jedoch nicht ordnungsgemäß funktioniert, deaktivieren Sie vorübergehend die Zertifikatsperrlistenüberprüfung für CMG-Verbindungspunkte. Dadurch kann ein Clientzertifikat ohne CRL-Überprüfung ausgewählt werden, und die Kommunikation mit dem Verwaltungspunkt wird ermöglicht.

Weitere Informationen

Weitere Informationen zur Behandlung von Problemen mit der Co-Verwaltung finden Sie in den folgenden Artikeln:

• Problembehandlung bei der Co-Verwaltung: Automatisches Registrieren vorhandener Configuration Manager verwalteter Geräte bei Intune
• Problembehandlung bei Workloads für die Co-Verwaltung

Weitere Informationen zu Intune und Configuration Manager Co-Verwaltung finden Sie in den folgenden Artikeln:

• Übersicht über Windows 10 Co-Management
• Erste Schritte: Pfade zur Co-Verwaltung
• Schnellstarts für die Co-Verwaltung
• Lernprogramm: Co-Verwaltung für die vorhandenen Konfigurations-Manager-Clients aktivieren
• Vorbereiten von internetbasierten Geräten für die Co-Verwaltung