Probleme bei der Verwendung von Configuration Manager-Clients im einheitlichen Modus und bei der internetbasierten Verwaltung

Letzte Aktualisierung: April 2010

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

In diesem Abschnitt finden Sie Informationen zur Problembehandlung, die Ihnen helfen, spezifische Probleme von Configuration Manager 2007-Clients zu lösen, wenn diese an einem Standort im einheitlichen Modus betrieben werden. Außerdem finden Sie Informationen zur Behandlung von Problemen für die internetbasierte Clientverwaltung. Informationen zu Problemen, die sowohl Clients im gemischten als auch Clients im einheitlichen Modus betreffen, finden Sie unter Allgemeine Probleme bei Configuration Manager-Clients.

Administratorchecklisten für das Konfigurieren der Verwaltung von Clients im einheitlichen Modus und internetbasierte Clients finden Sie unter:

Für den einheitlichen Modus und die internetbasierte Clientverwaltung ist eine Reihe von Voraussetzungen erforderlich. Wenn diese nicht erfüllt werden, kann dies verschiedene Probleme und Fehlerbedingungen verursachen. Stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie bestimmte Fehler überprüfen.

Lösung

Überprüfen Sie mithilfe der folgenden Themen, ob alle Voraussetzungen erfüllt sind:

Wenn Sie die Active Directory-Zertifikatdienste mit Windows Server 2008 verwenden, können Sie keine Version 3-Vorlagen verwenden. Mit diesen Zertifikatvorlagen werden Zertifikate erstellt, die nicht mit Configuration Manager kompatibel sind. Beispiel: Für eine Version 3-Zertifikatvorlage, die zum Abrufen des Standortserver-Signaturzertifikats verwendet wird, wird beim Versuch, die Standortrichtlinien zu signieren, für die Komponente SMS_POLICY_PROVIDER die Statusmeldung 5115 statt der Statusmeldung 5116 („Erfolgreich“) angezeigt. Weitere Informationen zum Überprüfen, ob das Signaturzertifikat des Standortservers erfolgreich verwendet wurde, finden Sie unter Überprüfen, ob die Migration zum einheitlichen Modus abgeschlossen ist.

Sie können Version 3-Vorlagen in der Windows Server 2008-Zertifikatvorlagenkonsole in der Spalte Unterstützte Zertifizierungsstellen einsehen. Version 3-Vorlagen werden in dieser Spalte als Windows Server 2008 angezeigt. Wenn Sie eine vorhandene Zertifikatvorlage duplizieren, werden Sie dazu aufgefordert, die Vorlagenversion auszuwählen. Version 3-Vorlagen werden als Windows Server 2008, Enterprise Edition angezeigt. Die Standardversion für duplizierte Vorlagen ist Version 2 (die Option Windows Server 2003, Enterprise Edition), diese ist mit Configuration Manager im einheitlichen Modus kompatibel.

Lösung

Verwenden Sie keine Version 3-Vorlagen zum Erstellen der Zertifikate, die den einheitlichen Modus für Configuration Manager unterstützen.

Die folgenden Berichte zeigen keine Clientdaten an, bis Clients das Programm zur Überprüfung des einheitlichen Modus für Configuration Manager ausgeführt haben:

  • Clients, die den einheitlichen Modus nicht unterstützen

  • Zusammenfassende Informationen zu Clients, die den einheitlichen Modus unterstützen

Lösung

Dieses Dienstprogramm wird mit Configuration Manager 2007-Clients im Ordner „%windir%\System32\CCM“ installiert. Es muss mit lokalen Administratorrechten auf Clientcomputern ausgeführt werden, die den Configuration Manager 2007-Client installiert haben.

Zum Ausführen des Dienstprogramms führen Sie im Ordner CCM die Datei Sccmnativemodereadiness.exe aus.

Weitere Informationen finden Sie unter Bestimmen, ob Clientcomputer für den einheitlichen Modus bereit sind.

Wenn einige oder alle einem Configuration Manager 2007-Standort zugewiesenen Clients nach der Migration zum einheitlichen Modus keine Richtlinien mehr erhalten und keine Inventurinformationen an den Standort senden, ist dies auf eine Reihe von Ursachen zurückzuführen:

  • Die Voraussetzungen für den einheitlichen Modus werden nicht erfüllt.

  • Die Kommunikation wird durch Zertifikatprobleme verhindert.

  • Die Clients haben keine Anweisungen zum Wechseln in die Kommunikation im einheitlichen Modus erhalten.

  • Die Migration ist noch nicht abgeschlossen.

Lösung

Wenn Clients einem Fallbackstatuspunkt zugewiesen sind, verwenden Sie die Berichte zum Ermitteln des jeweiligen Problems bei der Kommunikation im einheitlichen Modus. Weitere Informationen zum Verwenden der Fallbackstatuspunktberichte finden Sie unter den folgenden Themen:

Anhand der folgenden Checkliste können Sie sicherstellen, dass die Vorgehensweise korrekt befolgt wurde und gegebenenfalls fehlende Schritte ergänzen: Administratorcheckliste: Migrieren eines Standorts zum einheitlichen Modus.

Wenn Sie die unter Standorteigenschaften: Registerkarte „Standortmodus“ angegebenen Clienteinstellungen konfigurieren, werden die Einstellungen in den Active Directory-Domänendiensten veröffentlicht und bei der Clientpushinstallation verwendet. Damit diese Einstellungen zur Konfiguration eines Clients im einheitlichen Modus nach deren Installation verwendet werden, muss Folgendes gegeben sein:

  • Sie haben das Active Directory-Schema für Configuration Manager 2007 erweitert.

  • Der Standort wird erfolgreich in den Active Directory-Domänendiensten veröffentlicht.

  • Die Clients gehören derselben Active Directory-Gesamtstruktur an.

  • Clients sind nicht für die reine Internetverwaltung konfiguriert.

Lösung

In der folgenden Tabelle finden Sie Lösungen zu den einzelnen oben angeführten Situationen.

 

Situation Lösung

Das Active Directory-Schema ist nicht für Configuration Manager 2007 erweitert.

Es ist zwar nicht notwendig, das Active Directory-Schema für den einheitlichen Modus zu erweitern, die Konfiguration des einheitlichen Modus wird dadurch jedoch wesentlich erleichtert.

Weitere Informationen zum Erweitern des Active Directory-Schemas finden Sie unter:

Konfigurieren Sie bei nicht erweitertem Schema die während der Installation benötigten Einstellungen für den einheitlichen Modus, indem Sie die CCMSetup-Installationseigenschaften manuell angeben bzw. die Clientpushinstallation verwenden:

Zusätzliche Informationen finden Sie unter Konfigurieren des einheitlichen Modus.

Der Standort wird in den Active Directory-Domänendiensten nicht veröffentlicht.

Konfigurieren Sie den Standort für die Veröffentlichung in Active Directory-Domänendiensten:

So überprüfen Sie die Veröffentlichung der Standortinformationen

Clients gehören nicht derselben Active Directory-Gesamtstruktur wie der Standortserver an.

Diese Clients können nicht auf die in den Active Directory-Domänendiensten veröffentlichten Standorteinstellungen zugreifen und müssen deshalb mithilfe der CCMSetup-Installation manuell oder anhand der Clientpushinstallation automatisch konfiguriert werden:

Zusätzliche Informationen finden Sie unter Konfigurieren des einheitlichen Modus.

Clients sind für die reine Internetverwaltung konfiguriert.

Diese Clients können nicht auf die in den Active Directory-Domänendiensten veröffentlichten Standorteinstellungen zugreifen und müssen deshalb mithilfe der CCMSetup-Installationseigenschaften manuell konfiguriert werden:

Zusätzliche Informationen finden Sie unter:

Ein Verwaltungspunkt für den Netzwerklastenausgleich (Network Load Balancing, NLB) muss im einheitlichen Modus mit einem vollständig qualifizierten Domänennamen (FQDN) konfiguriert sein, und Clients im einheitlichen Modus müssen diesen FQDN mithilfe der Active Directory-Domänendienste oder mithilfe eines Serverlocatorpunkts suchen können.

Lösung

Informationen zum Lösen von Problemen im Zusammenhang mit den obigen Anforderungen finden Sie in der folgenden Tabelle.

 

Problem Lösung

Der NLB-Verwaltungspunkt ist mit einer IP-Adresse anstatt mit einem FQDN konfiguriert.

Diese Konfiguration wird für den einheitlichen Modus nicht unterstützt. Der NLB-Verwaltungspunkt muss mit einem FQDN konfiguriert werden:

Das Active Directory-Schema ist nicht für Configuration Manager 2007 erweitert.

Da Clients im einheitlichen Modus keine NLB-Verwaltungspunkte in DNS oder WINS suchen können, wird der NLB-Verwaltungspunkt entweder mithilfe der Active Directory-Domänendienste oder mithilfe eines Serverlocatorpunkts gesucht.

Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte).

Weitere Informationen zum Erweitern des Active Directory-Schemas finden Sie unter:

Weitere Informationen zum Installieren eines Serverlocatorpunkts finden Sie unter:

Die Clients stammen aus einer separaten Gesamtstruktur oder einer Arbeitsgruppe.

Diese Clients können keine Verwaltungspunkte in Active Directory-Domänendiensten suchen, selbst wenn ihr Standort in Active Directory-Domänendiensten veröffentlicht ist. In diesem Szenario müssen die Clients ihren NLB-Verwaltungspunkt über einen Serverlocatorpunkt suchen.

Weitere Informationen finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte).

Weitere Informationen zum Installieren eines Serverlocatorpunkts finden Sie unter:

Clients können keine Verbindung zu einem NLB-Verwaltungspunkt herstellen, wenn die Public-Key-Infrastruktur-Zertifikate (PKI) fehlen oder für den NLB-Verwaltungspunkt falsch konfiguriert sind.

Lösung

Jeder Standortsystemserver im NLB-Verwaltungspunkt muss über ein PKI-Zertifikat verfügen, das sowohl den FQDN des NLB-Verwaltungspunkts als auch den Namen des Standortsystemservers beinhaltet. Weitere Informationen finden Sie bei den Zertifikatanforderungen, die im Abschnitt „NLB-Verwaltungspunkte (Network Load Balancing, Netzwerklastenausgleich) oder NLB-Softwareupdatepunkte“ im Thema Zertifikatanforderungen für den einheitlichen Modus aufgeführt sind.

noteHinweis
Informationen zum Angeben von mehreren Namen im Zertifikatfeld Alternativer Antragstellername finden Sie unter How to Request a Certificate With a Custom Subject Alternative Name (Anfordern eines Zertifikats mit einem alternativen benutzerdefinierten Antragstellernamen; http://go.microsoft.com/fwlink/?LinkId=189292).

Wenn ein Configuration Manager 2007-Client ein neues Standortserver-Signaturzertifikat verwendet, das mit einem anderen Stammzertifikat als mit dem Zertifikat verknüpft ist, das für das vorherige Standortserver-Signaturzertifikat verwendet wurde, wird der Client das neue Standortserver-Signaturzertifikat nicht akzeptieren, wenn er Richtlinien erhält, die mit dem neuen Zertifikat signiert sind.

Zu dieser Situation kommt es, wenn das Stammzertifikat für das Standortserver-Signaturzertifikat aus Sicht des Clients geändert wird, z. B. unter folgenden Umständen:

  • Wenn Sie einen Configuration Manager 2007Client von einer Configuration Manager 2007-Hierarchie in eine andere verschieben (z. B. bei einem Unternehmenszusammenschluss).

  • Wenn Sie den Standort für die Verwendung eines neuen Standortserver-Signaturzertifikats konfigurieren, das von einer anderen Stammzertifizierungsstelle als der für das vorherige Standortserver-Signaturzertifikat verwendeten Stammzertifizierungsstelle ausgestellt wurde.

  • Sie erneuern Ihr Stammzertifikat mit einem neuen Schlüsselpaar und geben dann ein neues Standortserver-Signaturzertifikat aus.

Dieses Verhalten ist eine Sicherheitsmaßnahme, damit Clients keine neuen Standortserver-Signaturzertifikate von kompromittierten Verwaltungspunkten zulassen. In diesem Fall versuchen Clients nicht, das neue Standortserver-Signaturzertifikat herunterzuladen, und weisen die heruntergeladene Richtlinie ab. An den Verwaltungspunkt wird eine Fehlermeldung gesendet, damit der Administrator gewarnt wird, dass die Richtlinienautorisierung nicht ausgeführt wurde.

Lösung

Sie sollten entweder die Kopie des vorherigen Standortserver-Signaturzertifikats auf dem Configuration Manager-Client löschen oder den Client deinstallieren bzw. neu installieren.

Weitere Informationen zu diesem Szenario und Wiederherstellungsaktionen finden Sie unter Erneuern oder Ändern des Standortserver-Signaturzertifikats.

Bei einem Configuration Manager 2007-Betrieb im einheitlichen Modus erfolgt die Kommunikation zwischen Clients und Standort über eine Public Key-Infrastruktur (PKI) mit Clientauthentifizierungsfunktionen. Standardmäßig versucht Configuration Manager 2007 nicht, mit seinem Standardverwaltungspunkt zu kommunizieren, wenn er mehr als einen gültigen Client für diese Kommunikation ausfindig machen kann, er wird dann nicht verwaltet.

Sie können das Vorhandensein mehrerer Zertifikate auf einem Computer bestätigen, indem Sie das Zertifikat-Snap-In von Windows auf dem Client oder Configuration Manager 2007-Berichte verwenden, wenn Clients einem Fallbackstatuspunkt zugewiesen sind. Weitere Informationen finden Sie unter Informationen zu Berichten für Configuration Manager-Clients.

Lösung

Zu diesem Problem bieten sich verschiedene Lösungen, je nach Ihren jeweiligen Anforderungen im Hinblick auf die Verwendung mehrerer Zertifikate. Mithilfe der folgenden Tabelle können Sie die korrekte Vorgehensweise für Ihre jeweilige Anforderung herausfinden.

 

Anforderungen Lösung

Auf dem Computer sind mehrere Zertifikate erforderlich, und der Configuration Manager 2007-Client muss für die Configuration Manager 2007-Kommunikation im einheitlichen Modus das richtige Zertifikat auswählen.

Konfigurieren Sie die Zertifikatsauswahlkriterien:

Mehrere Zertifikate sind auf dem Computer nicht erforderlich (sie sind z. B. auf Zertifikatsbereitstellungstests zurückzuführen oder werden für ihren ursprünglichen Zweck nicht mehr benötigt).

Löschen Sie unerwünschte Zertifikate erst, nachdem Sie sich vergewissert haben, dass sie nicht mehr erforderlich sind.

ImportantWichtig
Wenn Sie sich nicht sicher sind, ob die Zertifikate benötigt werden, sichern Sie diese vor dem Löschen, indem Sie sie exportieren und dann an einem sicheren Ort speichern.

Auf diese Weise bleibt nur ein gültiges Clientzertifikat im lokalen Zertifikatspeicher zurück, das der Computer für die Configuration Manager 2007-Kommunikation im einheitlichen Modus verwendet.

Es ist für Sie nicht von Bedeutung, welches Zertifikat für die Configuration Manager 2007-Kommunikation im einheitlichen Modus verwendet wird.

Konfigurieren Sie den Client so, dass er ein beliebiges Zertifikat auswählt, das Clientauthentifizierungsfunktionen beinhaltet. Darüber hinaus wird in Configuration Manager 2007 SP1 oder höher das Zertifikat mit der längsten Gültigkeitsdauer ausgewählt, was angemessen ist, wenn Sie den Netzwerkzugriffsschutz mit IPsec-Erzwingungen verwenden.

noteHinweis
Das kann zu einer erfolgreichen Kommunikation im einheitlichen Modus führen, ist aber eine weniger zuverlässige Konfiguration als das Angeben der Zertifikatauswahlkriterien, da das Clientzertifikat für den Standortsystemserver im einheitlichen Modus möglicherweise nicht vertrauenswürdig ist.

Weitere Informationen finden Sie unter:

Front-End- oder Back-End-Firewalls müssen ordnungsgemäß konfiguriert sein, damit der Datenverkehr zu und von Internetclients zu ihren internetbasierten Standortsystemen zugelassen ist.

Lösung

In dem folgenden Thema finden Sie eine Liste von Ports, die mit der interbasierten Clientverwaltung verbunden sind:

Informationen zur externen Abhängigkeit für beteiligte Firewalls oder Proxyserver finden Sie in dem folgenden Thema:

noteHinweis
Dieses Problem wurde mit dem Configuration Manager 2007 SP1-Client behoben.

Ein Configuration Manager 2007-Client, der über einen Proxyserver auf seinen internetbasierten Standort zugreift, nimmt die Änderungen für die Proxyserverkonfiguration, wie einen neuen Proxyservernamen oder eine Änderung der Anmeldeinformationen, nicht dynamisch auf.

Die neuen Proxyserverdetails werden verwendet, wenn der Configuration Manager 2007-Client eine Netzwerkänderung erkennt oder er neu gestartet wird. Daher ist die Wahrscheinlichkeit für dieses Szenario bei einem reinen Internetclient am größten.

Lösung

Sie können die Ermittlung der neuen Proxyserverdetails über eine der folgenden Methoden beschleunigen:

  • Unterbrechen Sie die Verbindung des Clients, und stellen Sie die Verbindung dann neu her.

  • Geben Sie die IP-Adresse des Clients frei, und erneuern Sie die Adresse dann.

  • Starten Sie den SMS-Agent-Hostdienst auf dem Clientcomputer neu.

  • Starten Sie den Clientcomputer neu.

Als längerfristige Lösung können Sie den Client auf Configuration Manager 2007 SP1 aktualisieren.

Unter Windows XP und Windows Server 2003 zeigt die Registerkarte Internet auf dem Configuration Manager 2007-Client in Configuration Manager die Konfigurationsoptionen im Abschnitt Proxyeinstellungen als schreibgeschützt an. Auf Windows Vista-Computer werden die konfigurierten Optionen dagegen nicht angezeigt, obwohl sie konfiguriert sind.

Lösung

Keine Wenn Sie die Proxyeinstellungen für Internetclients bestätigen müssen, greifen Sie als Benutzer mit hohen Rechten auf diese Registerkarte zu. Melden Sie sich beispielsweise als lokaler Administrator an, zeigen Sie die Eigenschaften von Configuration Manager an, und klicken Sie dann auf die Registerkarte Internet.

Wenn Sie den konfigurierten internetbasierten Verwaltungspunkt des Clients löschen, während der Client mit dem Internet verbunden ist, und nicht durch einen anderen internetbasierten Verwaltungspunkt ersetzen, kann der Client nicht mit seinem Standardverwaltungspunkt kommunizieren. Bis zu einem Neustart des Clientdiensts (SMS-Agent-Host) wird der Client im Intranet dann nicht verwaltet.

Lösung

Führen Sie eine der folgenden Aktionen aus, um diese Situation zu lösen:

  • Starten Sie den SMS-Agent-Hostdienst des Clients neu. Für diese Aktion sind lokale Administratorrechte erforderlich.

  • Starten Sie den Computer neu.

Ankündigungen können nicht im Internet ausgeführt werden, wenn Sie das Feature „Internetbasierte Clientverwaltung“ verwenden. Andere Features wie Hardwareinventur und Softwareupdates können dagegen erfolgreich im Internet ausgeführt werden.

Lösung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: