Partilhar via

A utilização do Agente MBAM para transportar teclas de recuperação bitLocker gera políticas excessivas no Gestor de Configuração, versão 2103

  • Artigo

Aplica-se a: Gestor de Configuração (ramo atual, versão 2103)

Resumo do KB10372804

Utilizando o Invoke-MbamClientDeployment.ps1 script PowerShell ou métodos alternativos que utilizam a API do Agente MBAM para obter chaves de recuperação de um Management Point no atual ramo do Gestor de Configuração, a versão 2103 gera uma grande quantidade de políticas direcionadas para todos os dispositivos que podem causar tempestades de política. Isto leva a uma grave degradação do desempenho no Gestor de Configuração, principalmente com SQL e Pontos de Gestão.

Atualizar informações para Microsoft Endpoint Configuration Manager, versão 2103

Uma atualização para resolver este problema está disponível no nó de Atualizações e Manutenção da consola Configuration Manager para ambientes que tenham instalado o seguinte rollup de atualização.

  • KB10036164: Atualização Microsoft Endpoint Configuration Manager da versão 2103

Para determinar se está afetado por este problema, pode executar a seguinte SQL consulta com a base de dados de cada site primário.

SELECT PA.PolicyID, RPM.* FROM PolicyAssignment PA JOIN ResPolicyMap RPM ON PA.PADBID = RPM.PADBID
WHERE PA.PolicyID like 'TPM%' AND RPM.MachineID = 0 AND RPM.IsTombstoned = 0

Importante

Esta atualização impede a criação de políticas excessivas, mas não elimina tais políticas que foram previamente criadas. Se a consulta acima retorna uma grande quantidade de linhas, contacte o Microsoft Support para obter assistência na remoção destas políticas.

Atualizar informações de substituição

Esta atualização substitui a atualização abaixo.

  • KB10216365: Incapaz de mover a base de dados do site para SQL Grupo de disponibilidade sempre no grupo de configuração em Gestor de Configuração, versão 2103

Reiniciar informações

Esta atualização não requer um reinício do computador.

Informações adicionais de instalação

Depois de instalar esta atualização num local primário, os locais secundários pré-existentes devem ser atualizados manualmente. Para atualizar um site secundário na consola Do Gestor de Configuração, selecione Sites de Configuração do Site de > Administração > > Recuperar o Site Secundário e, em seguida, selecione o site secundário. O site primário reinstala então o site secundário utilizando os ficheiros atualizados. As configurações e configurações do local secundário não são afetadas por esta reinstalação. Os novos, atualizados e reinstalados sites secundários sob esse site primário recebem automaticamente esta atualização.

Executar o seguinte SQL Server comando na base de dados do site para verificar se a versão de atualização de um site secundário corresponde à do seu site principal:

select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
  • Se o valor 1 for devolvido, o site está atualizado, com todos os hotfixes aplicados no seu local principal.
  • Se o valor 0 for devolvido, o site não instalou todas as correções que são aplicadas no local primário, e deve utilizar a opção Recover Secondary Site para atualizar o site secundário.

Informações de arquivo

As informações dos ficheiros estão disponíveis no ficheiro de texto KB10372804_FileList.txt transferível.

História do lançamento

  • 26 de julho de 2021: Lançamento inicial do hotfix

Referências

Como ativar o BitLocker utilizando o MBAM como parte de uma implementação de Windows

Atualizações e manutenção para Gestor de Configuração