皆さん、おはようございます。
今回は、Microsoft Endpoint Configuration Manager (MECM, SCCM, Configuration Manager) の既知の不具合についてお伝えいたします。
この不具合は、すべての Current Branch バージョンで発生する問題です。ただし、Tenant Attach という、Microsoft Endpoint Configuration Manager とクラウドを接続している場合に発生します。
Twitter では海外勢の間で話題になっていましたので、この記事で紹介してみました。
Hopefully all #MEMCM tenant attached customers have updated to 2203 and installed the hot fix. Today is the deadline.https://t.co/WPyVtfnJtp pic.twitter.com/vIIqgmcgU6
— Panu Saukko (@panusaukko) July 27, 2022
Tenant Attach については、下記の記事をご覧ください。
ついに登場 Tenant Attach (Cloud Attach)
具体的には、下記のオプションの実行が失敗するという不具合です。
具体的に KB (公開情報) を確認していきましょう。
英語版 : https://docs.microsoft.com/en-us/troubleshoot/mem/configmgr/tenant-attach-component-not-connect-to-gateway
日本語版 : https://docs.microsoft.com/ja-jp/troubleshoot/mem/configmgr/tenant-attach-component-not-connect-to-gateway
Symptoms
When you run a client action from the Microsoft Endpoint Manager admin center, Configuration Manager components for tenant attach fail to connect to the backend cloud service with the following error:
Failed to check and load service signing certificate. System.ArgumentException: Mismatch certificate subject name
This issue occurs in versions earlier than the Configuration Manager version 2203 hotfix rollup after a change in public certificates on July 27, 2022.
Here are some example entries in the CMGatewayNotificationWorker.log file in the top-level site in the hierarchy:
Error occured when process notification with notification Id <notification Id>. Ignore the notification. SMS_SERVICE_CONNECTOR_CMGatewayNotificationWorker
Exception details: SMS_SERVICE_CONNECTOR_CMGatewayNotificationWorker
[Warning][CMGatewayNotificationWorker][0][System.IO.InvalidDataException][0x80131501]
Failed to check and load service signing certificate. System.ArgumentException: Mismatch certificate subject name
at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.VerifyCertificate(X509Certificate2 certificate, Boolean crlCheck, X509Chain& certificateChain, X509Certificate2Collection extraStore)
at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.Reload()
at Microsoft.ConfigurationManager.ManagedBase.CertificateUtility.ServiceCertificateUtility.Exists(String thumbprint)
at Microsoft.ConfigurationManager.ServiceConnector.AccountOnboardingWorker.\<RefreshServiceSigningCertificateIfNotExistsAsync>d__19.MoveNext()
要約すると、この問題は 2022 年 7 月 27 日に公開証明書が変更されたが、KB14244456 を適用していないバージョンでは変更が反映されず、問題が発生します。
Cause
After the change in public certificates on July 27, 2022, OU=Microsoft Corporation is removed from the public certificate subject name, but the configuration manager database still has the old subject name, which causes the load check failure.
2022 年 7 月 27 日の公開証明書の変更時に、証明書のサブジェクト名から OU=Microsoft Corporation が削除されたが、Configuration Manager データベースには古いサブジェクト名が残っていたため、問題が発生します。
Resolution
To fix this issue, use one of the following methods:
- If you are running Configuration Manager version 2203, install the Configuration Manager version 2203 hotfix rollup.
- If you are running a previously supported version of Configuration Manager, upgrade to Configuration Manager version 2203 and install the Configuration Manager version 2203 hotfix rollup.
If there isn’t a suitable option above, open a support ticket with the Configuration Manager support team to mitigate the issue in the supported version of Configuration Manager in your environment.
対処方法としては、下記の二つになります。
- もし、Microsoft Endpoint Configuration Manager CB 2203 を利用している場合は、KB14244456 を適用する
- もし、Microsoft Endpoint Configuration Manager CB 2203 以前のバージョンを利用している場合、まずは、Microsoft Endpoint Configuration Manager CB 2203 にアップグレードし、その後、KB14244456 を適用する
※ もしも、Microsoft Endpoint Configuration Manager CB 2203 以前のバージョンを利用していて、CB 2203 にアップグレード出来ない場合は、現時点では公開された方法が無いため、サポート チケットを開く必要があります。
今回の不具合への対処方法は現時点では、CB 2203 向けしか提供されておらず、まずは 2203 へアップグレードすることが必要になります。もし、Tenant Attach の構成をしている場合は、MGatewayNotificationWorker.log にエラーが記録されているかご確認ください。