Problembehandlung bei der Verwaltungspunktkommunikation

  • Artikel

Letzte Aktualisierung: September 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden werden potenzielle Probleme mit Verwaltungspunkt-Standortsystemen in Configuration Manager 2007 aufgeführt. Über die Verwaltungspunkt-Standortsysteme werden den Clientcomputern Installationsvoraussetzungen, Clientinstallations-Quelldateien, Konfigurationsdetails, Ankündigungen und Speicherorte für Quelldateien von Softwareverteilungspaketen bereitgestellt. Zusätzlich empfangen Verwaltungspunkte Inventur-, Softwaremessungs- und Statusinformationen sowie Zustandsmeldungen von Clients. Wenn Clients nicht auf einen Verwaltungspunkt zugreifen oder nicht richtig mit diesem kommunizieren können, werden sie nicht verwaltet.

Ungeachtet der an einem Standort auf Standortsystemen installierten Verwaltungspunkt-Standortsystemrollen kommunizieren Clients nur mit dem Standardverwaltungspunkt (Intranetclients) oder dem zugewiesenen Internet-Verwaltungspunkt (internetbasierte Clients).

Wichtig

Sie müssen WebDAV manuell auf Verwaltungspunkten, auf denen Windows Server 2008 ausgeführt wird, herunterladen, dort installieren und konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Windows Server 2008 für Standortsysteme.

Clients können nicht auf den Standardverwaltungspunkt oder den zugewiesenen internetbasierten Verwaltungspunkt zugreifen

Für eine erfolgreiche Clientcomputerinstallation und -verwaltung ist es erforderlich, dass Clients eine Verbindung zum Standardverwaltungspunkt oder zum zugewiesenen Verwaltungspunktcomputer herstellen können.

Lösung

Sie können mithilfe des auf dem Client installierten Webbrowsers überprüfen, ob der Client auf den Verwaltungspunkt zugreifen kann. Stellen Sie dazu eine Verbindung zur Adresse der Verwaltungspunktliste her, und überprüfen Sie, ob die Liste der installierten Verwaltungspunkte für den Standort angezeigt wird.

Warnung

Wenn sich der Standort im einheitlichen Modus befindet, müssen Sie im Webbrowser ein Zertifikat installieren, bevor Sie diese Befehle ausführen können, ansonsten tritt beim Herstellen einer Verbindung wie im Abschnitt über die Problembehandlung (Internet Explorer-Fehler bei der Problembehandlung der Verwaltungspunktkommunikation für Standorte, die für den einheitlichen Modus konfiguriert sind) beschrieben ein Fehler auf.

  • Verwenden Sie folgende Adresse für Clients im gemischten Modus: http://<Servername>/sms_mp/.sms_aut?mplist, wobei <Servername> der NetBIOS-Name des Verwaltungspunktcomputers ist.

  • Verwenden Sie folgende Adresse für Clients im einheitlichen Modus: https://<Servername>/sms_mp/.sms_aut?mplist, wobei <Servername> der FQDN des Verwaltungspunktcomputers ist, wenn in den Standortsystemeigenschaften ein FQDN angegeben wurde, oder der Kurzname, wenn kein FQDN angegeben wurde.

  • Verwenden Sie folgende Adresse für internetbasierte Clients: https://<Servername>/sms_mp/.sms_aut?mplist, wobei <Servername> der Internet-FQDN des internetbasierten Verwaltungspunktcomputers ist.

    Wichtig

    Wenn für den Standort eine benutzerdefinierte Website konfiguriert ist, muss auch der benutzerdefinierte Port angegeben werden, siehe folgendes Beispiel: http://<Servername>:<port>/sms_mp/.sms_aut?mplist.

Clients können nicht mit dem Standardverwaltungspunkt oder dem zugewiesenen internetbasierten Verwaltungspunkt kommunizieren

Für eine erfolgreiche Clientcomputerinstallation und -verwaltung ist es erforderlich, dass Configuration Manager 2007-Clients dem Verwaltungspunktcomputer vertrauen. Wenn Clients mit einem Verwaltungspunkt kommunizieren, überprüfen sie das Verwaltungspunktzertifikat, um die Vertrauenswürdigkeit der vom Standortsystem zu den Clients gesendeten Daten herzustellen.

Hinweis

An Standorten im gemischten Modus wird ein Verwaltungspunktzertifikat erstellt, das vom vertrauenswürdigen Hauptschlüssel des Standorts signiert wird, damit das Verwaltungspunkt-Standortsystem von Clients als vertrauenswürdig eingestuft werden kann. An Standorten im einheitlichen Modus wird das auf dem Verwaltungspunkt installierte Webserverzertifikat von einer Zertifizierungsstelle signiert, die von den Clients als vertrauenswürdig eingestuft wird.

Lösung

Sie können ermitteln, ob das Verwaltungspunktzertifikat von einem Client angezeigt werden kann, indem Sie mit dem Webbrowser auf dem Client überprüfen, ob die Informationen des Verwaltungspunktzertifikats angezeigt werden (eine lange Liste mit Ziffern und Buchstaben).

Warnung

Wenn sich der Standort im einheitlichen Modus befindet, müssen Sie im Webbrowser ein Zertifikat installieren, bevor Sie diese Befehle ausführen können, ansonsten tritt beim Herstellen einer Verbindung wie im Abschnitt über die Problembehandlung (Internet Explorer-Fehler bei der Problembehandlung der Verwaltungspunktkommunikation für Standorte, die für den einheitlichen Modus konfiguriert sind) beschrieben ein Fehler auf.

  • Verwenden Sie folgende Adresse für Clients im gemischten Modus: http://<Servername>/sms_mp/.sms_aut?mpcert, wobei <Servername> der NetBIOS-Name des Verwaltungspunktcomputers ist.

  • Verwenden Sie folgende Adresse für Clients im einheitlichen Modus: https://<Servername>/sms_mp/.sms_aut?mpcert, wobei <Servername> der FQDN des Verwaltungspunktcomputers ist, wenn in den Standortsystemeigenschaften ein FQDN angegeben wurde, oder der Kurzname, wenn kein FQDN angegeben wurde.

  • Verwenden Sie folgende Adresse für internetbasierte Clients: https://<Servername>/sms_mp/.sms_aut?mpcert, wobei <Servername> der Internet-FQDN des internetbasierten Verwaltungspunktcomputers ist.

    Wichtig

    Wenn für den Standort eine benutzerdefinierte Website konfiguriert ist, muss auch der benutzerdefinierte Port angegeben werden, siehe folgendes Beispiel: http://<Servername>:<port>/sms_mp/.sms_aut?mpcert.

Internet Explorer-Fehler bei der Problembehandlung der Verwaltungspunktkommunikation für Standorte, die für den einheitlichen Modus konfiguriert sind

Bei der Behandlung von Problemen mit Verwaltungspunkten im einheitlichen Modus mithilfe der Webadressen MPLIST und MPCERT wird für Microsoft Internet Explorer ein Fehler wie der folgende angezeigt:

  • .sms_aut?/mplist kann nicht von <Verwaltungspunktname> heruntergeladen werden

  • Die Internetsite konnte nicht geöffnet werden. Sie ist entweder nicht verfügbar oder konnte nicht gefunden werden. Versuchen Sie es später erneut.

Lösung

Die Client-Server-Kommunikation im einheitlichen Modus mit einem Verwaltungspunkt erfordert die gegenseitige Authentifizierung über PKI-Zertifikate. Da von Webbrowsern der Zugriff auf Zertifikate im Computerspeicher nicht gewährt wird, müssen Sie ein Computerzertifikat mit dem privaten Schlüssel aus dem Computerspeicher exportieren und in den Webbrowser importieren. Auf diese Weise kann der Webbrowser, von dem die Problembehandlungstests MPLIST und MPCERT verwendet werden, vom Verwaltungspunkt authentifiziert werden.

Mithilfe der folgenden Schritte kann ein Computerzertifikat in den Webbrowser des Clientcomputers importiert werden, wenn Microsoft Internet Explorer verwendet wird:

  • Exportieren Sie das Clientzertifikat.

  • Importieren Sie das Clientzertifikat in den persönlichen Zertifikatspeicher von Internet Explorer auf dem Clientcomputer.

So exportieren Sie das Zertifikat für Clients im einheitlichen Modus von Computern, auf denen Windows 7 oder Windows Vista ausgeführt wird

  1. Melden Sie sich bei dem Client im einheitlichen Modus, auf dem Windows Vista ausgeführt wird und der zum Testen der Verwaltungspunktkommunikation verwendet werden soll, als lokaler Administrator an. Klicken Sie auf Start, geben Sie MMC im Feld Suchen ein, und drücken Sie dann die Eingabetaste.

  2. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  3. Wählen Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen die Option Zertifikate aus, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie auf der Seite Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie auf Weiter.

  5. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  6. Klicken Sie auf OK, um das Dialogfeld Snap-Ins hinzufügen bzw. entfernen zu schließen.

  7. Doppelklicken Sie in der Konsole auf Zertifikate (Lokaler Computer), und erweitern Sie dann Persönlich.

  8. Klicken Sie mit der rechten Maustaste auf das Zertifikat des Computers im einheitlichen Modus, klicken Sie auf Alle Tasks, und klicken Sie dann auf Exportieren, um den Zertifikatexport-Assistenten zu starten.

  9. Klicken Sie auf der Seite Willkommen des Zertifikatexport-Assistenten auf Weiter.

  10. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.

    Hinweis

    Ist diese Option nicht verfügbar, wurde das Zertifikat ohne Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario kann das Zertifikat nicht in dem Format exportiert werden, das vom Webbrowser zum Ausführen der Problembehandlungstests benötigt wird.

  11. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Privater Informationsaustausch - PKCS #12 (.PFX) aus, und klicken Sie auf Weiter.

  12. Geben Sie auf der Seite Kennwort ein sicheres Kennwort zum Schutz des exportierten Zertifikats mit seinem privaten Schlüssel an, und klicken Sie auf Weiter.

  13. Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die exportiert werden soll, und klicken Sie auf Weiter.

  14. Klicken Sie im Dialogfeld Zertifikatexport-Assistent auf Fertig stellen, um den Assistenten zu schließen.

So exportieren Sie das Zertifikat für Clients im einheitlichen Modus von Computern, auf denen Windows XP Professional oder Windows Server 2003 ausgeführt wird.

  1. Melden Sie sich bei dem Client im einheitlichen Modus, auf dem Windows XP Professional oder Windows Server 2003 ausgeführt wird und der zum Testen der Verwaltungspunktkommunikation verwendet werden soll, als lokaler Administrator an. Klicken Sie auf Start, dann auf Ausführen, geben Sie MMC in das Dialogfeld Ausführen ein, und klicken Sie auf OK.

  2. Klicken Sie in der leeren Konsole auf Datei und anschließend auf Snap-In hinzufügen/entfernen.

  3. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf Hinzufügen.

  4. Wählen Sie unter Verfügbare Snap-InsZertifikate aus, und klicken Sie auf Hinzufügen.

  5. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto, und klicken Sie auf Weiter.

  6. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (der Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist. Klicken Sie anschließend auf Fertig stellen.

  7. Klicken Sie im Dialogfeld Snap-Ins hinzufügen/entfernen auf OK.

  8. Erweitern Sie in der Konsole Zertifikate (Lokaler Computer), erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.

  9. Klicken Sie mit der rechten Maustaste auf das Zertifikat des Computers im einheitlichen Modus, klicken Sie auf Alle Tasks, und klicken Sie dann auf Exportieren, um den Zertifikatexport-Assistenten zu starten.

  10. Klicken Sie im Assistenten zum Exportieren von Zertifikaten auf Weiter.

  11. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie auf Weiter.

    Hinweis

    Ist diese Option nicht verfügbar, wurde das Zertifikat ohne Option zum Exportieren des privaten Schlüssels erstellt. In diesem Szenario kann das Zertifikat nicht in dem Format exportiert werden, das vom Webbrowser zum Ausführen der Problembehandlungstests benötigt wird.

  12. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option Privater Informationsaustausch - PKCS #12 (.PFX) aus, und klicken Sie dann auf Weiter.

  13. Geben Sie auf der Seite Kennwort ein sicheres Kennwort zum Schutz des exportierten Zertifikats mit seinem privaten Schlüssel an, und klicken Sie auf Weiter.

  14. Geben Sie auf der Seite Zu exportierende Datei den Namen der Datei an, die exportiert werden soll, und klicken Sie auf Weiter.

  15. Klicken Sie im Dialogfeld Zertifikatexport-Assistent auf OK, um den Assistenten zu schließen.

So importieren Sie das Clientcomputerzertifikat in den persönlichen Zertifikatspeicher von Internet Explorer

  1. Öffnen Sie auf dem Clientcomputer im einheitlichen Modus, den Sie zum Testen der Verwaltungspunktkommunikation verwenden möchten, ein neues Internet Explorer-Fenster.

  2. Klicken Sie in der Internet Explorer-Symbolleiste auf Extras, klicken Sie auf Internetoptionen und dann auf die Registerkarte Inhalte.

  3. Klicken Sie auf der Registerkarte Inhalte auf Zertifikate.

  4. Wählen Sie im Dialogfeld Zertifikate die Registerkarte Eigene Zertifikate, und klicken Sie auf Importieren.

  5. Klicken Sie auf der Seite Willkommen des Zertifikatimport-Assistenten auf Weiter.

  6. Klicken Sie auf der Seite Importdateiname auf Durchsuchen, und wählen Sie das zuvor exportierte Zertifikat aus. Klicken Sie auf Weiter.

    Hinweis

    Klicken Sie auf die Dropdownliste mit den Dateinamenerweiterungen, um das exportierte Zertifikat anzuzeigen, und wählen Sie Privater Informationsaustausch (.PFX,.P12) aus.

  7. Geben Sie das Kennwort an, das beim Export des Zertifikats angegeben wurde, und klicken Sie dann auf Weiter.

  8. Akzeptieren Sie auf der Seite Zertifikatspeicher den Standardspeicherort für das Zertifikat (Persönlicher Zertifikatspeicher), und klicken Sie dann auf Weiter.

  9. Klicken Sie auf Fertig stellen, um den Zertifikatimport-Assistenten zu schließen.

  10. Klicken Sie im Dialogfeld zur Importbestätigung auf OK.

  11. Schließen Sie alle offenen Dialogfelder und das Internet Explorer-Fenster.

Siehe auch

Konzepte

Bewährte Methoden für die Zertifikatverwaltung
Problembehandlung für die Configuration Manager-Serverinfrastruktur