SCCM スポークまたは Microsoft Endpoint Configuration Manager スポークが認証の問題で失敗する - Support and Troubleshooting

SCCM スポークまたは Microsoft Endpoint Configuration Manager スポークが認証の問題で失敗する Issue .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } SCCM または Microsoft Endpoint Configuration Manager のスポークアクションは、次のいずれかの認証エラーで失敗します。

「SCCM の認証情報が無効です。システム例外です」 「PowerShell スクリプトの実行に失敗しました。スクリプトがアカウントユーザー {username} を使用してステータス 1 を返しました」 「Failed while executing ActionGetApplications.ps1 (Access denied)」など、他の MID サーバースクリプトファイルで同様のエラーが表示される 「存在しないため、パス「C:\Users\username\Documents:」が見つかりません。」 「アクセスが拒否されました。スクリプトがアカウントのローカル MID サーバーサービス認証情報を使用してステータス 3 を返しました」 「ローカル MID サーバーサービス認証情報による認証に失敗しました。」 Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } サポートされているすべてのリリース

Cause .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 認証の失敗は、次のいずれかの理由で発生する可能性があります。

MID サーバーがターゲットサーバーと通信できない ユーザーアカウントの権限が不十分です PSDrive がマウントされていません 実行ポリシーが制限付きモードに設定されています ダブルホップの問題 (認証情報委任の問題) Resolution .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 次のセクションを実行して、認証の失敗を特定して解決します。

認証エラーの再現 MID サーバーからの認証エラーを再現するには、PowerShell で次のスクリプトを実行します。

$computer = "FQDN of the target SCCM/MECM Server";

$cred = get-credential; #put in the Windows Credential when prompted

$session = New-PSSession -ComputerName $computer -ConfigurationName Microsoft.PowerShell32 -Credential $cred;

Invoke-Command -Session $session -ScriptBlock {

Import-Module -Name "$(split-path $Env:SMS_ADMIN_UI_PATH)\ConfigurationManager.psd1"

Set-Location -path "$(Get-PSDrive -PSProvider CMSite):\";

Get-CMApplication | Select-Object -First 1

}

断続的なエラーの場合は、MID サーバーでスクリプトを繰り返し実行して問題を再現します。

MID サーバーがターゲットサーバーに接続できることを確認する 統合に使用された Windows 認証情報レコードに移動します。 [Test Credential] を選択します。 ターゲットサーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを入力します。 MID サーバーを選択し、 OK を選択します。

テストが成功すると、出力には接続に成功したことが表示されます。「認証に失敗しました」でテストが失敗した場合は、次のことを確認します。

ソースデバイス、ターゲットデバイス、およびネットワークのファイアウォールがポート 135 またはダイナミックポートをブロックしていません。MID サーバーの通信に関する問題のトラブルシューティングについては、製品ドキュメントを参照してください。 ユーザー名とパスワードが正しい。 ユーザーは、ターゲットサーバーの [Remote Management Users] グループのアドミニストレーターまたはメンバーです。 ユーザーに SCCM/MECM 権限があり、PSDrive がマウントされていることを確認します ユーザーアカウントには、適切な SCCM/MECM 権限が必要です。

SCCM/MECM サーバーでのアプリケーションアドミニストレーターロール、または アプリケーションと展開への読み取りアクセス権、およびコレクションへの読み取り/書き込みアクセス権を持つカスタムロール 注意: アプリケーション、展開、およびコレクション以外のオブジェクトを操作する Microsoft Endpoint Configuration Manager スポークアクションを使用する場合、ユーザーは消費されるアクションに基づいて追加のアクセス権を必要とします。Microsoft Endpoint Configuration Manager スポークの製品ドキュメントを参照してください。

PSDrive をマウントします。

SCCM または Microsoft Endpoint Configuration Manager コンソールにログインします。 左上隅のメニューを開き、[Connect via Windows PowerShell] を選択します。 ユーザーが Configuration Manager コンソールにアクセスできることを確認します。このアクションにより、アプリケーションアドミニストレーターユーザーの PowerShell への環境パスが確立されます。

実行ポリシーが PowerShell スクリプトを許可することを確認する MID サーバーと SCCM/MECM サーバーで、次のコマンドを実行します。 Get-ExecutionPolicy ポリシーによって PowerShell スクリプト (.ps1 ファイル) が制限されている場合は、次のように変更します。 Set-ExecutionPolicy Unrestricted

ダブルホップの問題の解決 ダブルホップの問題は、認証情報を MID サーバーからターゲットサーバーに委任できない場合に発生します。この問題の兆候は次のとおりです。

スクリプトまたはアクションが断続的に失敗する スクリプトは MID サーバーから直接機能しますが、ServiceNow インスタンスからは動作しません スクリプトは 1 つの MID サーバーから機能しますが、別の MID サーバーからは機能しません ダブルホップの問題を解決するには、次のいずれかのオプションを選択します。

オプション 1: RunAs を使用した PSSessionConfiguration

SCCM/MECM サーバーで、次の PowerShell コマンドを実行して新しいセッション構成を登録します。

Register-PSSessionConfiguration -Name sccm -RunAsCredential lab02\administrator -MaximumReceivedDataSizePerCommandMB 1000 -MaximumReceivedObjectSizeMB 1000

domain\username with your actual credential." に対して「Replace」の訳が欠落しており文として不完全 (§2.7)domain\username を実際の認証情報に置き換えます。この構成は、サーバーまたはサービスの再起動後も保持されます。 ServiceNow で、[MID Server] > [Script Files] に移動し、該当するファイルを開きます。 ワークフロー (オーケストレーション SCCM パック) の場合 :SCCM.psm1 SCCM スポークの場合 :SCCMMain.psm1 Microsoft Endpoint Configuration Manager スポークの場合 :MicrosoftEndpointManagerMain.psm1 次の行を見つけます。 $session = New-PSSession -ComputerName $sccmServerName -ConfigurationName Microsoft.PowerShell32 -Credential $credential;

次のように変更します。 $session = New-PSSession -ComputerName $sccmServerName -ConfigurationName sccm -Credential $credential; Credentials.psm1 スクリプトファイル (親 PowerShell を含むもの) を開きます。 注意: このファイルを編集するには、[Prevent Duplicate, Spaces & Colon in name] というビジネスルールを一時的に無効にする必要がある場合があります。 関数 testCredentialSCCM を見つけて、次の行を見つけます。 $session = CreatePSSessionWithComputerName -Host $computer -ConfigurationName Microsoft.PowerShell32 -Credential $cred; 次のように変更します。 $session = New-PSSession -ComputerName $computer -ConfigurationName sccm -Credential $cred;

オプション 2:CredSSP

MID サーバーホストで、 Enable-WSManCredSSP コマンドを実行します。 ターゲット SCCM サーバーで、 Enable-WSManCredSSP コマンドを実行します。詳細な手順とフローチャートについては、CredSSP での PowerShell セカンドホップ機能の有効化に関する Microsoft の記事を参照してください。 ServiceNow で、[MID Server] > [Script Files] に移動し、該当するファイルを開きます。 ワークフロー (オーケストレーション SCCM パック) の場合:SCCM.psm1 SCCM スポークの場合:SCCMMain.psm1 Microsoft Endpoint Configuration Manager スポークの場合:MicrosoftEndpointManagerMain.psm1 次の行を見つけます。 $session = New-PSSession -ComputerName $sccmServerName -ConfigurationName Microsoft.PowerShell32 -Credential $credential; 次のように変更します。 $session = New-PSSession -ComputerName $sccmServerName -ConfigurationName Microsoft.PowerShell32 -Credential $credential - Authentication CredSSP; Credentials.psm1 スクリプトファイル (親 PowerShell を含むもの) を開きます。 注意 :このファイルを編集するには、ビジネスルール「名前の重複、スペース、コロンを防止」を一時的に無効にする必要がある場合があります。 関数 testCredentialSCCM を見つけて、次の行を見つけます。 $session = CreatePSSessionWithComputerName -Host $computer -ConfigurationName Microsoft.PowerShell32 -Credential $cred; 次のように変更します。 $session = New-PSSession -ComputerName $computer -ConfigurationName Microsoft.PowerShell32 -Credential $cred -Authentication CredSSP;

Related Links .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } span { font-size: 12pt; font-family: Lato; color: var(--now-color--text-primary, #000000); } h2 { font-size: 24pt; font-family: Lato; color: var(--now-color--text-primary, black); } h3 { font-size: 18pt; font-family: Lato; color: var(--now-color--text-primary, black); } h4 { font-size: 14pt; font-family: Lato; color: var(--now-color--text-primary, black); } a { font-size: 12pt; font-family: Lato; color: var(--now-color--link-primary, #00718F); } a:hover { font-size: 12pt; color: var(--now-color--link-primary, #024F69); } a:target { font-size: 12pt; color: var(--now-color--link-primary, #032D42); } a:visited { font-size: 12pt; color: var(--now-color--link-primary, #00718f); } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Microsoft Endpoint Configuration Manager スポーク (製品ドキュメント)

MID サーバーの通信に関する問題のトラブルシューティング

PowerShell リモート処理: 2 番目のホップの作成 (Microsoft ドキュメント)

CredSSP で PowerShell セカンドホップ機能を有効にする (Microsoft DevBlogs)