none
SCCM 2012 Agent-Server "Kommunikation"? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Habe eine sonderbare Situation (zumindest für mich) in meiner Netzwerkumgebung festgestellt!?

    Alle meine Windows 7 Systeme sind per MDT mit dem gleichen Image installiert worden. Es handelt sich hierbei um Desktop und Laptop Rechner.

    Da ich ein Newbie im Bereich SCCM bin, habe ich mir die Anleitung von   http://www.windows-noob.com/forums/index.php?/topic/4045-system-center-2012-configuration-manager-guides/

    (Part 3+4) gezogen und die entsprechenden Schritte vollzogen.

    Nun sehe ich dass alle Rechner den Agenten zwar installiert bekommen haben (Softwarecenter ist im Startmenu vorhanden) aber nur eine Teilmenge meiner Systeme in der SCCM Konsole bei "Client" ein Ja und bei "Clientaktvität" ein Aktiv zeigen. Zudem zeigen alle Clients unter "ush-Information" das gleiche Datum des Anforderungsversuches sowie den "letzten Status" als abgeschlossen und "letzter Installationsfehler" 0

    Was ist hier falsch gelaufen? Wo kann ich ansetzen bzw. finde ich den/die Fehler für diese Situation?

    Bin für jeden Tipp sehr dankbar.

    Gruss, Markus

    AdminIT

    Samstag, 12. Mai 2012 14:49
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Ein erfolgreicher Client Push Versuch muss noch lange nicht bedeuten, dass der Client auch erfolgreich installiert werden und danach auch mit den Infrastruktur kommunizieren kann. ccmsetup.log (%windir%\ccmsetup) sollte mehr darüber aussagen (Installation).
    War die Installation erfolgreich, so kommen ClientIDManagerStartup.log, LocationServices.log, ClientLocation.log und ccmexec.log in's Spiel.

    Torsten Meringer | http://www.mssccmfaq.de

    Sonntag, 13. Mai 2012 21:55
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Torsten,

    Aha...alles klar. Danke für diese Tipps.

    Installation dürfte erfolgeich gewesen sein, da ein Eintrag "client.msi installaion succeeded" vode s.

    Die 2. Datei, ClientIDManagerStartup.log, zeigt dann aber folgende Fehlermeldung an:Server rejected registration request type=1 thread=4572 file=regtask.cpp:192 oder type=3 thread=4572 file=regtask.cpp:1662

    Mein Vergleich, zwischen dem Rechner der sich einwandfrei registiert und demjenigen der diesen Fehler ausgiebt, für BITS und vorhandenen Zertifikaten hat den gleichen Stand ergeben.

    Bin ich hier auf der richtigen Spur?

    Danke und Gruss,

    Markus

    AdminIT

    Sonntag, 13. Mai 2012 22:34
    |
  • Question
    Anmelden
    0
    Anmelden
    Ist der MP im http- oder https-Modus? Wie sieht's mit den approval settings aus? Was steht im MP_RegistrationManager (auf dem MP) zum Zeitpunkt der Meldung des Clients?

    Torsten Meringer | http://www.mssccmfaq.de

    Montag, 14. Mai 2012 07:11
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi Torsten,

    Wuah...du erschlägst mich mit deinen kurzen und prägnanten Fragen. Wie erwähnt ich bin in Sachen SCCM ein kompletter Newbie.

    Mein MP ist im http oder https Modus, wobei ich bis dato keine Einstellungen und spezielle Zertifikate für den https Modus installiert/konfiguriert habe.

    Bein den Approval-Settings muss ich passen, weiss leider nicht genau was du hier meinst?

    In der angefragten LOG Datei steht eine Fehlermeldung: The certificate chain processed correctl btterminted in a root certficate not trusted per ConfigMGR CTL sowie MP Reg: Ccent in-band certificate is nt valid due to failures in certificate chain vaidation.

    Jetzt bin ich noch ratlose. Haben doch beide Clients (erfolgreiche- und nicht erfolgreiche Agent Kommunikation) den gleichen Zertifikatsstand. Auch snd de 2 Clients identisch konfiguriert.

    Hätte da noch eine (Zusatz)Frage.Slte der erfolgreich kommunizierende Rechner ein SMS Agenten Symbol im Systray haben?

    Danke für deine Geduld.

    Gruss, Markus

    AdminIT

    Montag, 14. Mai 2012 18:08
    |
  • Question
    Anmelden
    0
    Anmelden
    Approval settings: Administration workspace -> Hierarchy Settings (oben im Ribbon). So wie's aber aussieht scheint dort aber nicht der Fehler zu liegen, sondern an Zertifikaten. Hast Du eine PKI-Infrastruktur im Einsatz?
    Der ConfigMgr-Client hat normalerweise kein Symbol (es sei denn, es steht Software zur Installation an).

    Torsten Meringer | http://www.mssccmfaq.de

    Montag, 14. Mai 2012 18:36
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi Torsten,

    Danke für die Erklärung...

    Ja, ich habe eine PKI-Infrastruktur im Einsatz. Wie erwähnt, ergab meine Vergleich einen identischen Zertifikatsinhalt beider Clients. Beide Clients haben die gleichen GPO für das Benutzer- und Computerzertifikat.

    Evtl. eine dumme Frage. Würde es etwas ändern, wenn ich die https "Version" konfiguriere und ein neues Zertifikat ausstelle und installiere, dass ich dann auch für einen externen Zugriff benutzen kann? (habe ich eh später vor) Hättest du hierzu ein entsprechendes "howto"?

    Gruss, Markus

    AdminIT


    • Bearbeitet AdminIT Montag, 14. Mai 2012 21:31 https Ergänzung
    Montag, 14. Mai 2012 21:14
    |
  • Question
    Anmelden
    0
    Anmelden
    Ich würde erst den http-Modus in den Griff bekommen, bevor ich https in Angriff nehme. Dies ist ein recht komplexes Thema, siehe http://technet.microsoft.com/en-us/library/gg682023.aspx.
    Starte mal eine MMC mit dem Certificates-SnapIn (Computerkonto). Vergleiche dann mal die Zertifikate im SMS-Store von beiden Rechnern. Die Zertifikate sind self-signed und werden bei der Client-Installation erstellt. Man kann diese gefahrlos löschen und dann die Client neu installieren. Ggfs hilft dies ja.

    Torsten Meringer | http://www.mssccmfaq.de

    Dienstag, 15. Mai 2012 07:26
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Torsten,

    Bei beiden Clients sind die identischen Zertifikate vorhanden einmal das SMS Encryption und einmal das SMS Signing Zertifikat. Deinstallieren des Agenten (ccmsetup /uninstall) sowie löschen der Zertifikate und danach eine erneute Client Pushinstallation (rechtsklick auf meinen Client im Bestand und Kompatibilität in der SCCM Konsole) haben keine positiven Resultate gebracht.

    Zudem habe ich gesehen, dass die beiden Zertifikate nicht vertrauenswürdig sind (dies ist aber beim erfolgreichen wie auch beim nicht erfolgreichen Client identisch). Daher habe ich hier die SMS Zertifikate via GPS in die vertrauenswürdige Stammzertifikatsstelle importiert.

    Fehlermeldung im MP_RRegistrationManager bleibt dieselbe.

    Gruss und Danke,

    Markus

    AdminIT

    Dienstag, 15. Mai 2012 21:59
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Torsten,

    Habe mich doch in der Zwischenzeit an die https Installation gemacht und zwar unter Hilfenahme deines Links http://technet.microsoft.com/en-us/library/gg682023.aspx.

    Du wirst es nicht glauben, aber ich war bei 4 von 5 "fehlerhaften" Clients erfolgreich und der Agent kommuniziert nun einwandfrei mit dem SCCM Server?!

    Dennoch stehe ich vor dem gleichen Rätsel wie zuvor. der eine Client bringt immer noch die Fehlermeldung: (teil kopiert aus MP_RegistrationManager vom SCCM Server)

    [LOG[MP Reg: Processing completed. Completion state = 0]LOG]!><time="15:48:09.770-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="1" thread="4696" file="regtask.cpp:204">
    <![LOG[Processing Registration request from Client 'GUID:F1D4F0BD-70A7-4A9F-9BE9-384A591D94CB']LOG]!><time="15:50:49.688-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="1" thread="1640" file="regtask.cpp:965">
    <![LOG[Begin validation of Certificate [Thumbprint 3E23D608C9BDD2EAF429FBB8A3D1CAA1E057810D] issued to 'CLIENTxy']LOG]!><time="15:50:49.688-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="1" thread="1640" file="ccmcert.cpp:1169">
    <![LOG[The certificate chain processed correctly but terminated in a root certificate not trusted per ConfigMgr CTL.]LOG]!><time="15:50:49.704-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="3" thread="1640" file="ccmcert.cpp:951">
    <![LOG[Completed validation of Certificate [Thumbprint 3E23D608C9BDD2EAF429FBB8A3D1CAA1E057810D] issued to 'CLIENTxy']LOG]!><time="15:50:49.704-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="1" thread="1640" file="ccmcert.cpp:1310">
    <![LOG[MP Reg: Client in-band certificate is not valid due to failures in certificate chain validation, Raising status event. Failure HR = 0x800b0109, In-band Cert SubjectName = CLIENTxy]LOG]!><time="15:50:49.704-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="2" thread="1640" file="regtask.cpp:859">
    <![LOG[Raising event:
    [SMS_CodePage(437), SMS_LocaleID(1033)]
    instance of MpEvent_CertInvalidChain
    {
     ClientID = "GUID:DB1D6BA9-4245-47D4-AC4E-38EA331F64D6";
     DateTime = "20120520135049.708000+000";
     MachineName = "SCCMserver";
     ProcessID = 1060;
     SubjectName = "CLIENTxy";
     ThreadID = 1640;
     Win32ErrorCode = 2148204809;
    };
    ]LOG]!><time="15:50:49.710-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="1" thread="1640" file="event.cpp:729">
    <![LOG[MP Reg: Registration request body is invalid.]LOG]!><time="15:50:49.710-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="2" thread="1640" file="regtask.cpp:1705">
    <![LOG[MP Reg: Registration failed.]LOG]!><time="15:50:49.710-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="2" thread="1640" file="regtask.cpp:166">

    Danke für den Support bereits im Voraus.

    Gruss, Markus

    AdminIT

    Freitag, 25. Mai 2012 19:45
    |
  • Question
    Anmelden
    0
    Anmelden

    <![LOG[The certificate chain processed correctly but terminated in a root certificate not trusted per ConfigMgr CTL.]LOG]!><time="15:50:49.704-120" date="05-20-2012" component="MP_RegistrationManager" context="Registration" type="3" thread="1640" file="ccmcert.cpp:951"

    Auf die Ferne fällt mir dazu schon nicht mehr ein, als die Fehlermeldung sagt.

    Torsten Meringer | http://www.mssccmfaq.de

    Samstag, 26. Mai 2012 15:54
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Torsten,

    Das ist ja die Krux an der Sache. Kann ich nicht verstehen, da die Zertifikate auf den beiden CLients verglichen wurden und identisch sind.

    Wo kann ich hier ansetzen um diesen Fehler zu beheben?

    Danke und Gruss,
    Markus

    AdminIT

    Samstag, 26. Mai 2012 21:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Evtl hilft noch das: http://www.w3paper.com/2011/01/06/the-configmgr-advanced-client-rejected-the-site-server-signing-certificate-worked-solution/

    Torsten Meringer | http://www.mssccmfaq.de

    Montag, 28. Mai 2012 11:35
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi Torsten,

    Danke für diesen Link. Auf die Antwort Version X64 HKLM\SOFTWARE\Wow6432Node\Microsoft\CCM\Security bin ich bei meiner Suche auch schon gestossen.

    Leider existiert der Eintrag \Security bei mir nicht (bei keinem der Clients). Ist dies so richtg? Könnte der Eintrag \Security nur bei der 2007er Version sein?

    Gruss, Markus

    AdminIT

    Montag, 28. Mai 2012 13:35
    |
  • Question
    Anmelden
    0
    Anmelden
    HKLM\SOFTWARE\Microsoft\CCM\Security existiert auf einem x64 Client (allerdings nicht im WoW6432Node, da es ab CM12 auch einen x64-Client gibt)

    Torsten Meringer | http://www.mssccmfaq.de

    Dienstag, 29. Mai 2012 08:33
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hi Torsten,

    Danke für die steten Antworten, komme mir langsam aber sicher wie der letzte .... vor.

    Leider hat auch dieser "Tipp" kein Erfolg gebracht. Die Daten in der Registry sind zu 100% identisch. Habe auch zur Sicherheit meinen Domänencontroller in die Sammlung aufgenommen um die Zeitsituation zu bestätigen/entkräftigen.

    Leider auch hier kein Erfolg mit der Kommunikation zum SCCM. (ja zulassen Clientsoftware auf Domänencontroller..) Gleicher Fehler wie der Win7 Client.

    Gruss, Markus

    AdminIT

    Dienstag, 29. Mai 2012 21:12
    |