[MECM(SCCM)]事例:クラウド管理ゲートウェイ(CMG)の接続が突然切れる不具合

MCM(MECM)

色々なお客様のMECM構築を携わっていると原因不明なエラーに陥ることがしばしばあります。

今回はクラウド管理ゲートウェイ(CMG)を構築しているお客様で、突然CMGの接続が切れたという事例をご紹介します。

コロナ禍によりCMG構築の需要が増加

CMG

「CMG(クラウド管理ゲートウェイ)」は、インターネット経由で社内ネットワークの外にあるクライアントを管理することができるMECMの新しい機能です。

コロナウイルスの影響でリモートワーク需要が増えたことにより、弊社でもお客様からCMGを使いたいとの要望が増えています。

アーザスBlog
 
https://a-zs.net/mecm_cmg_01
2020.04.16
クラウド管理ゲートウェイ(CMG)を使って在宅勤務のPCを管理!テレワーク時代のMECM...
新型コロナウィルスの影響で多くの企業はテレワーク(リモートワーク・在宅勤務)を迫られています。その中で必ず必要なことがあります。そうですPCの管理です。今後ますますPCを社外へ持ち出す機会が多くなっていくと予想されます。その中で情報システム部門が最も気を付けなければならないのは情報漏洩です。会社のPCが管理できていないということは、知らず知らずのうちに機密情報を外に漏れてしまうリスクを高めているとも言えます。そんな中でMECM(旧SCCM)のクラウド管理ゲートウェイ(CMG)を使うと、そのリスクを減らすことができ...

構築時に使用した証明書基盤

CMGを構築するには証明書基盤が必要です。

証明書基盤を使った構築方法は大きく分けて2つあります。

  • 外部の証明書基盤で構築する方法
  • PKI証明書基盤で構築する方法

今回のお客様の場合はPKI証明書基盤を使ってCMGを構築しました。

CMGを含め構築までは問題なかったのですが、接続テストの段階で突然CMG接続が切れるという事象が発生しました。

発生したエラーの詳細

エラー画面

接続テスト画面には以下のメッセージが表示されています。

MPの場所を更新できませんでした。選択したクライアント証明書は、CMGサービスで信頼されていません。クライアント証明書の照明書チェーンがCMGサービスにアップロードされるように指定されているかどうか、また、失効確認の設定を確認するように指定されているかどうかご確認ください。

原因はまったく不明で、更新プログラムの適用やファイアウォール設定など、切断の原因になるような対応はしていません。

ログを確認したところ、MECMサーバーとクライアントに以下のようなログが出力されていました。

MECMサーバー「DDM.log」

ClientIdentity is not a hex string
The registration record is not valid. Bad RDR(ClientIdentity が 16 進文字列ではありません。登録したレコードが有効ではなく、不正なRDRです。)

クライアント「CcmMessaging.log」

Client doesn’t have PKI issued cert and cannot get CCM access token. Error 0x8000ffff(クライアントがPKI発行の証明書を持っておらず、CCMアクセストークンを取得できません。エラー 0x8000ffff)

原因

症状

調査した結果、MECMバージョン2203の不具合によるものだと分かりました。

現在のブランチバージョン 2203 Configuration Managerに更新した後、クライアントの登録が失敗する – Configuration Manager _ Microsoft Learn

[shell]

MECMバージョンを2203に更新後、クライアント認証で公開キー(PKI)構成を使用するクライアントの登録プロセスが失敗する可能性があります。

この問題が発生すると、影響を受けるクライアントごとに、サイトサーバーの「DDM.log」ファイルに次のエラーが記録されます。

“ClientIdentity is not a hex string The registration record is not valid. Bad RDR”

今回の事象が発生したのはMECMバージョン2203、かつPKI証明書基盤を使って構築したMECMサーバーで、他のMECMサーバーでは同じような事象は発生しませんでした。

外部証明書基盤でMECMサーバーを構築した場合も今回の事象は発生しませんでした。

解消方法

解決方法

この不具合は既に更新プログラムで修正されており、今回はMECMの更新プログラム「KB14480034」をインストールすることでエラーが解消され、クライアントがCMGと接続可能になりました。

もしCMGの接続が切断されてしまう現象でお困りの場合、「PKI証明書基盤で構築している」かつ「MECMバージョン2203」の場合は今回の事象を疑ってみると解決するかもしれません。

この更新プログラムをインストールすると、クライアント接続に失敗する場合がありますが、その場合はクライアントを再インストールすることで解消します。

更新プログラムのインストールでクライアント「CcmMessaging.log」に出力されたエラーも解消します。

インストール方法

KB14480034はConfiguration Manager コンソールの「更新とサービス」ノードからインストールすることができます。

具体的な手順はこちらを参照してください。

※早期更新リングバージョンを使用している場合、前提条件としてConfiguration Managerバージョン2203の更新プログラム、早期更新リング(KB13953025)のインストールが必要です。

関連記事

弊社のCMGについての知見や実績についてはこちらの記事を参照してください。

アーザスBlog
 
https://a-zs.net/azure-mecmkouchiku
2022.10.20
AzureでMECM(SCCM)を構築するのは現実的なの?オンプレ&クラウドでコストを比...
今回の記事では、Azure環境でのMECM(SCCM)環境構築は現実的かどうか、運用に必要な条件や、コスト面について触れていきます。ここ数年のクラウド環境はかなり進歩した企業のクラウド環境がここ数年でかなり進んだと今更ながら実感しています。クラウド環境についてはAWS一択だった数年前からAzure、Google Cloud、など様々なクラウドサービスが登場してきました。中でもAzureはMicrosoft社からリリースされたクラウドということもあり、MECMサービスを中心とした事業展開する弊社でもその動向は気になっていました。クラウド環境につい...
アーザスBlog
 
https://a-zs.net/autopilot_tezyun
2022.04.08
[Windows Autopilot]普及がいよいよ本格的に!知見をもとに構築手順を大公開![Int...
手のひら返し中島です。以前Autopilotが使えないという記事を執筆いたしましたが・・・ごめんなさい!撤回させて下さい。Autopilotが本格的に普及しそうになってきておりましてアーザスでも引き合いを多数頂いております。Autopilotが本当に使い物になるのかどうか検証するため、実際にAutopilot構築案件に関わったメンバーの意見を聞きながらAutopilotを触ってみましたのでご紹介したいと思います。Windows Autopilotとは?▼詳しくはこちらの記事を参照して下さい。事前準備Autopilotを使うにはMicrosoft Intuneライセンスが必要Autop...
アーザスBlog
 
https://a-zs.net/mecm_cmg_01
2020.04.16
クラウド管理ゲートウェイ(CMG)を使って在宅勤務のPCを管理!テレワーク時代のMECM...
新型コロナウィルスの影響で多くの企業はテレワーク(リモートワーク・在宅勤務)を迫られています。その中で必ず必要なことがあります。そうですPCの管理です。今後ますますPCを社外へ持ち出す機会が多くなっていくと予想されます。その中で情報システム部門が最も気を付けなければならないのは情報漏洩です。会社のPCが管理できていないということは、知らず知らずのうちに機密情報を外に漏れてしまうリスクを高めているとも言えます。そんな中でMECM(旧SCCM)のクラウド管理ゲートウェイ(CMG)を使うと、そのリスクを減らすことができ...

クラウド管理ゲートウェイ(CMG)やIntuneについてのご相談お待ちしております

アーザスではCMGやIntune案件のご相談も多くなってきており、いよいよクラウドベースの管理が本格化してきていると痛感しております。

CMG導入や本件のようなMECMサポートをお考えの方は是非一度ご相談下さい。