[SCCM 2007] 「承認」ステータスが「N/A」になる現象について

  • Article

こんにちは。System Center Configuration Manager サポート チームです。

今回は、System Center Configuration Manager 2007 (以下、SCCM) にて、「承認」 ステータスが 「N/A」 になる現象についてご紹介します。

 

「承認」 ステータスとは
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
「承認」ステータスの大きな意味は、SCCM の管理下のクライアントを管理下として認めたかどうかというフラグを指します。
既定の設定では、SCCM サイト サーバーと同一ドメイン内であれば、既定の設定では自動的に承認されて管理下となります。

一方で、ワークグループや、信頼関係の無い他ドメインについては、そのクライアントが信頼されているかどうか確かではなく、不正なデータを持っている可能性があることから、手動で承認をしなければ管理下に追加できません。
(ワークグループ等のクライアントについては、手動で承認していない場合、クライアント名が "すべてのシステム" コレクションに表示されるだけにとどまり、インベントリの送付や、ソフトウェアの配布等の一切の動作は行えません。)
また、インベントリ データを暗号化する設定を行っている場合も、N/A 状態だと、正常にインベントリがあがってこないということになります。( )

サイトのプロパティ:[サイト モード] タブ
https://technet.microsoft.com/ja-jp/library/bb693847.aspx -> 管理ポイントに送信する前にデータを暗号化する

通常、SCCM の管理者様の認識として、「承認」ステータスが "承認済み" になっていないと落ち着かない!という認識となることが多いようです。
このように、SCCM サイトから以前に承認したことがあり、一見すると問題なく管理が行えているような端末でも、表示上 N/A となっており、混乱を招くという報告も、複数いただいています。
「承認」ステータスは、上述のような承認を手動で行わなければいけないケースをご理解いただいた上で、N/A となっている状態が正常なのかどうか把握する事が重要です。
今回は、このように、管理下として問題なく動作しているようなクライアントに対しても、N/A というステータスとなる点について、ご説明します。

「承認」ステータスが「N/A」になる現象について
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SCCM の 「承認済み」 項目の処理は SCCM クライアントが正常にインストールされ、サイト コードが割り当てられる際の登録処理によります。
これはSCCM サーバー (管理ポイント)  と初回通信のタイミングで実行されます。
通信の問題などにより登録処理の過程で承認処理が完了しなかった場合、それ以降、同端末が自動的に承認されることはありません。
これは、クライアントが再度承認情報を送信することがないためです。

また、「期限切れの探索データの削除」 等の保守タスクや手動にて、コレクションから対象のクライアントを削除した場合は、定期探索によりクライアント情報データベースに再登録されても、クライアント側ではすでに承認済みの状態であると認識しているため、「承認済み」 ステータスは更新されない状態となります。 (削除後の探索ではクライアントからの承認情報はサーバー側に送信されません)

-参考情報
今更聞けない System Center Configuration Manager 2007 Basics #2  (クライアント管理編)
https://blogs.msdn.com/b/tanishi/archive/2010/10/16/system-center-configuration-manager-2007-basics-2.aspx
こちらに承認されていないクライアントに関する情報をご案内しています.

Configuration Manager クライアントの承認について
https://technet.microsoft.com/ja-jp/library/bb694193.aspx
クライアントの承認に関する情報をご案内しています。

対応策
~~~~~~~~~~~~~~~~~
「承認済み」 属性が 「N/A」 のステータスのままでも、多くの場合、特に影響はありません。
クライアントが正常動作しているかどうかの判断としては、「クライアント」属性が「はい」であることから判断いただくことが良いかと存じます。
しかしながら、対象のクライアントにて、インベントリ データが正常に収集されない等の問題が確認された場合には、対応策として以下の手順による手動承認を実施してください。

- 手順
1. SCCM 管理コンソールを開き、以下のとおり展開します。

System Center Configuration Manager
└ サイト データベース <サイト コード> - <サイト名>
└ コンピュータの管理
└ コレクション
2. 対象のクライアントが登録されているコレクションに移動します。
3. 承認されていないコンピュータを右クリックします。
4. 「承認」 を選択し、「OK」 をクリックします。

※ コレクション上のクライアントは、Shift + クリックや Ctrl + クリックで一度に多数の選択も可能です。「承認」カラムで並べ替えて、一度に N/A のものをすべて承認することも可能です。

この手順につきましては、下記公開情報でもご案内しています。

-参考情報
Configuration Manager クライアントの承認方法 https://technet.microsoft.com/ja-jp/library/bb633214.aspx
手動による承認手順等について詳細をご案内しています。
また、ワークグループや、SCCM サイトの所属ドメインと信頼関係のないドメイン配下のクライアントの管理にあたっては、既定の設定では手動での承認が必須となりますが、一律に自動承認させる設定もこちらからご参照ください。
クライアントの動作状況の把握
~~~~~~~~~~~~~~~~~
前述の通り、「承認」ステータスは、クライアントが正常動作しているかどうかを示唆するということはありません。
「クライアントが正常にインベントリしているか?」「最近 SCCM サイトと通信しているか?」といった正常性を判断したい場合には、コレクション上の属性だけでなく、レポートをご活用ください。

有用なレポートは以下です。

- 最近報告していないクライアント (日数で指定)
- 最近インベントリされていないコンピュータ (日数で指定)
- 最近探索されていないコンピュータ (日数で指定)
これらのレポートに表示されるクライアントについては、正常動作していない、あるいは最近ネットワーク接続していないといった事が疑われます。
最後に、正常動作していないことが疑われる SCCM 2007 クライアントの修復方法については、以下をご参考下さい。

[SCCM 2007] クライアントが正常動作しない場合の対処方法
https://blogs.technet.com/b/systemcenterjp/archive/2012/07/20/3509911.aspx