Der Windows Intune Client
Die Installation des Windows Intune Agent, welcher auf jedem zu verwaltenden Client installiert sein muss, ist sehr einfach durchzuführen. Hier möchten wir Ihnen die manuelle Installation des Windows Intune Agent sowie die einzelnen beteiligten Komponenten näher beschreiben.
Jeder Windows Intune Account beinhaltet ein eigenes Clientpackage. Dies ist durch ein Zertifikat individualisiert und somit eindeutig Ihrem Windows Intune Service zugeordnet.
Dieses können Sie von Ihrer Windows Intune Console herunterladen unter "Verwaltung" --> "Clientsoftwaredownload".
Der Windows Intune Agent kann auf folgenden Plattformen ausgeführt werden, jeweils x86- als auch x64 Architektur:
· Windows XP Professional, Service Pack SP2 (vorab muss Forefront Client Security Filter Manager QFE für Windows XP SP2 und MSXML 6.0 installiert sein) oder SP3
· Windows Vista Enterprise, Ultimate oder Business Edition
· Windows 7 Enterprise, Ultimate oder Professional Edition
Laden Sie unter "Clientsoftwaredownload" das Windows Intune Agent Package herunter. Das Paket ist architekturunabhängig und beinhaltet folgende Dateien:
WindowsIntune.accountcert ist das Zertifikat, das den Windows Intune Agent zu Ihrem Windows Intune Service eindeutig zuordnet.
Schützen Sie diese Datei, da sonst mit diesem Zertifikat beliebige Computer durch Ihren Windows Intune Service verwaltet werden können.
Die Installation kann nun über Windows_Intune_Setup.exe gestartet werden. In diesem Blogeintrag wird nur die manuelle Installation beschrieben.
Sie können über den Parameter /Quiet eine Silentinstallation anstoßen, und über den Parameter /Extract den Inhalt auspacken.
Mit Windows_Intune_Setup.exe /Extract %temp% wir das Windows Installer Package für 32- und 64bit Architektur ausgepackt.
Hier wird die manuelle Installation beschrieben, weswegen auf dem zu verwaltenden Client die "Windows_Intune_Setup.exe" zu starten ist. Für diesen Vorgang werden lokale Administratorrechte benötigt.
Die Installation wird in der Log-Datei "C:\Program Files\Microsoft\OnlineManagement\Logs\Enrollment.log" bzw. bei einer x86 Architektur unter "C:\Program Files (x86)\Microsoft\OnlineManagement\Logs\Enrollment.log" mitprotokolliert.
Alle weiteren Schritte laufen automatisch ab, so dass Sie am Schluss nur noch auf "Fertig stellen" klicken müssen.
Der letzte Eintrag in der Enrollment.log lautet bei einer erfolgreichen Installation wie folgt:
2011-03-20 00:21:52:110 1608 17c Enroll *********
2011-03-20 00:21:52:110 1608 17c Enroll ** END ** Enroll: UninstallOldWuaConfig: Uninstalling WUA settings succeeded
2011-03-20 00:21:52:110 1608 17c Enroll *************
Das entsprechende Computer Zertifikat wird unter "Eigene Zertifikate" abgelegt und ist ein Jahr gültig. Vor Ablauf wird es automatisch neuausgestellt.
Der Client wird nun in der Windows Intune Konsole unter "Nicht zugewiesene Computer" aufgelistet.
Sie können den Computer nun in entsprechende Computergruppen schieben, auf denen von Ihnen definierte Policys angewandt werden. Handelt es sich um einen unberechtigten Zugriff, bzw. der Computer wurde gestohlen, so kann dieser jederzeit "abgekoppelt" werden, so dass er nicht mehr von Windows Intune verwaltet wird.
Zu Beginn sind unter den Computerdetails noch Warnungen wie "Nicht verfügbar (vom Computer wurde noch kein Kontakt zum Dienst hergestellt)" aufgeführt, die vorerst ignoriert werden können, da de einzelnen Komponenten sich noch nicht am Windows Intune Service gemeldet haben.
Beachten Sie bitte, dass nach dem erfolgreichen Ausführen von "Windows_Intune_Setup.exe" weitere Komponenten im Hintergrund heruntergeladen und installiert werden. Über die Komponenten im Detail gleich mehr.
Alle Komponenten werden dabei über den Windows Update Agent heruntergeladen. Das Zielverzeichnis ist C:\Program Files\Microsoft\OnlineManagement\Updates\Download für x64.
Die Installation wird in der Log-Datei "C:\Program Files\Microsoft\OnlineManagement\Logs\Updates.log" bzw. bei einer x86 Architektur unter "C:\Program Files (x86)\Microsoft\OnlineManagement\Logs\Updates.log" mitprotokolliert, so dass diese im Fehlerfalle ausgewertet werden muss. Da der Download der Komponenten über den Windows Update Agent läuft sind auch unter "C:\Windows\Windowsupdate.log" mögliche Fehler aufgelistet.
Auszug aus der Updates.log
2011-03-20 00:17:32:178 1492 624 DnldMgr *********** DnldMgr: New download job [UpdateId = {6E8C207D-3123-4CCA-938C-63A1A6014136}.110] ***********
2011-03-20 00:17:32:208 1492 624 DnldMgr * BITS job initialized, JobId = {9AFBA528-F64E-4533-915C-E869650BADF4}
2011-03-20 00:17:32:223 1492 624 DnldMgr * Downloading from https://download.windowsupdate.com/msdownload/update/software/crup/2011/02/monitoringsetup_557545066de845af95b298eea41ae13f7b9b8672.cab to C:\Program Files\Microsoft\OnlineManagement\Updates\Download\d32821a9cc806d75037c240367f17bff\MonitoringSetup.cab (full file).
Ebenfalls in der Updates.log kann man die Installation der einzelnen Komponenten verfolgen:
2011-03-20 00:24:04:076 1492 a78 DnldMgr Preparing update for install, updateId = {8A12FEE5-A111-4346-99A8-A845C8EA0D80}.111.
2011-03-20 00:24:04:076 2404 9a8 Handler :::::::::::::
2011-03-20 00:24:04:076 2404 9a8 Handler :: START :: Handler: MSI Install
2011-03-20 00:24:04:076 2404 9a8 Handler :::::::::
2011-03-20 00:24:04:076 2404 9a8 Handler : Updates to install = 1
2011-03-20 00:24:04:076 2404 9a8 Handler MSI update {8A12FEE5-A111-4346-99A8-A845C8EA0D80}.111 using source image from 1 CABs.
2011-03-20 00:24:04:076 2404 9a8 Handler : Batch installing 1 updates
2011-03-20 00:24:04:076 2404 9a8 Handler List of MSPs in transaction:
2011-03-20 00:24:04:076 2404 9a8 Handler List of Transforms in transaction:
2011-03-20 00:24:04:076 2404 9a8 Handler MSI final command line: ALLUSERS=1 MSIRESTARTMANAGERCONTROL=Disable REBOOT=REALLYSUPPRESS
2011-03-20 00:24:21:763 2404 9a8 Handler : MSI transaction completed. MSI: 0x00000000, Handler: 0x00000000, Source: No, Reboot: 0
2011-03-20 00:24:21:778 2404 9a8 Handler Updating status for update 0.
2011-03-20 00:24:21:778 2404 9a8 Handler Sending completion notification for update 0 ({8A12FEE5-A111-4346-99A8-A845C8EA0D80}.111).
2011-03-20 00:24:21:778 2404 9a8 Handler :::::::::
2011-03-20 00:24:21:778 2404 9a8 Handler :: END :: Handler: MSI Install
Wenn ein Clientcomputer nach zwei Stunden nicht in der Windows Intune Konsole angezeigt wird und die Clientsoftware nicht in der Systemsteuerung auftaucht, ist bei der Installation der Clientsoftware höchstwahrscheinlich ein Fehler aufgetreten.
Im Arbeitsbereich Warnungen werden normalerweise Warnungen angezeigt, wenn die Clientsoftware auf ein oder mehr Computern nicht erfolgreich installiert wurde.
Die Installation wird in der Log-Datei "C:\Program Files\Microsoft\OnlineManagement\Logs\Enrollment.log" bzw. bei einer x86 Architektur unter "C:\Program Files (x86)\Microsoft\OnlineManagement\Logs\Enrollment.log" mitprotokolliert, so dass diese im Fehlerfalle ausgewertet werden muss. Des Weiteren können im Application oder System Eventlog weiterführende Informationen gefunden werden und auch in "C:\Windows\Windowsupdate.log".
In der folgenden Tabelle werden Fehlercodes erläutert, incl. Problemursache und Lösungsvorschlag:
Fehlercode |
Mögliches Problem |
Lösungsvorschlag |
0x80CF0437 |
Die Uhr des Clientcomputers ist nicht auf die richtige Uhrzeit eingestellt. |
Stellen Sie sicher, dass die Uhr und die Zeitzone des Clientcomputers richtig eingestellt sind. |
0x80240438, 0x80CF0438 |
Verbindung mit Windows Intune-Dienst nicht möglich. Überprüfen Sie die Proxy-Einstellungen des Clients. |
Überprüfen Sie, ob die Proxykonfiguration des Clientcomputers von Windows Intune unterstützt wird, und ob der Clientcomputer Zugang zum Internet hat. |
0x80043001, 0x80CF3001 |
Das Registrierungspaket ist nicht mehr aktuell. |
Laden Sie das aktuellste Clientsoftwarepaket vom Arbeitsbereich Verwaltung herunter, und installieren Sie es. |
0x80043002, 0x80CF3002 |
Das Konto befindet sich im Wartungsmodus. |
Wenn sich das Konto im Wartungsmodus befindet, können Sie keine neuen Clientcomputer registrieren. |
0x80043003, 0x80CF3003 |
Das Konto ist gelöscht. |
Prüfen Sie, ob Ihr Konto und Ihr Abonnement für Windows Intune noch aktiv ist. |
0x80043005, 0x80CF3005 |
Der Clientcomputer wurde abgekoppelt. |
Warten Sie einige Stunden, entfernen Sie ältere Versionen der Clientsoftware von dem Computer, und versuchen Sie dann erneut, die Clientsoftware auf dem Computer zu installieren. In der Systemsteuerung müssen folgende Komponenten deinstalliert werden: o Windows Intune Center o Microsoft Easy Assist o Microsoft Online Management Policy Agent o Windows Firewall Configuration Provider o Microsoft Policy Platform o Windows Intune Endpoint Protection o Windows Intune Endpoint Protection Agent o Windows Intune Überwachungsagent o System Center Operations Manager 2007 R2 Agent |
0x80043006, 0x80CF3006 |
Die für das Konto maximal zulässige Anzahl Arbeitsplätze ist erreicht. |
Ihr Unternehmen muss zusätzliche Arbeitsplätze erwerben, bevor Sie weitere Clientcomputer bei dem Dienst registrieren können. |
0x80043007, 0x80CF3007 |
Zertifikatsdatei wurde im Ordner des Installationsprogramms nicht gefunden. |
Extrahieren Sie alle Dateien, bevor Sie die Installation starten. Sie dürfen die extrahierten Dateien weder umbenennen noch verschieben: Alle Dateien müssen im selben Ordner vorliegen, da die Installation sonst fehlschlägt. |
0x8024D015, 0x00240005, 0x80070BC2, 0x80070BC9, 0x80CFD015 |
Die Software kann nicht installiert werden, weil ein Neustart des Clientcomputers aussteht. |
Starten Sie den Computer neu, und wiederholen Sie dann die Installation der Clientsoftware. |
0x80070032 |
Eine oder mehrere Voraussetzungen, die für die Installation der Clientsoftware erforderlich sind, wurden auf dem Clientcomputer nicht gefunden. |
Stellen Sie sicher, dass alle erforderlichen Updates auf dem Clientcomputer installiert sind, und versuchen Sie dann erneut, die Clientsoftware zu installieren. Voraussetzungen sind in diesem Blogeintrag aufgeführt. |
0x80043009, 0x80CF3009 |
Der Clientcomputer ist bereits für den Dienst registriert. |
Sie müssen den Clientcomputer abkoppeln, bevor sie ihn erneut für den Dienst registrieren können. |
0x8004300B, 0x80CF300B |
Das Installationspaket für die Clientsoftware kann nicht ausgeführt werden, da die Windows-Version auf dem Client nicht unterstützt wird. |
Die auf dem Client ausgeführte Windows-Version wird von Windows Intune nicht unterstützt. Die unterstützten Betriebssysteme sind in diesem Blogeintrag aufgeführt. |
0xAB2 |
Fehler beim Zugriff auf die VBScript-Laufzeit für die benutzerdefinierte Aktion. |
Dieser Fehler wird von einer benutzerdefinierten Aktion verursacht, die auf DLLs (Dynamic-Link Libraries) aufbaut. Um den DLL-Fehler zu ermitteln, benötigen Sie möglicherweise die Tools, die im Artikel 198038 der Microsoft Support-KB: Hilfreiche Tools bei Problemen mit der Paketerstellung und Weitergabe erläutert werden. |
Die Installation der Windows Intune Clientsoftware ist normalerweise innerhalb von 30 Minuten abgeschlossen.
Sobald alle Komponenten erfolgreich installiert worden sind, muss der Client neugestartet werden. Dies wird über folgende Meldung signalisiert.
Es vergehen noch wenige weitere Minuten bis auch die einzelnen Komponenten ihren Status an den Windows Intune Service gemeldet haben.
Aus welchen Komponenten besteht der Windows Intune Agent nun genau und was machen diese?
Wie bereits aufgeführt besteht der Windows Intune Agent aus verschiedenen Komponenten. Dies sind teilweise angepasste Komponenten aus weiteren Microsoft Produkten.
Die Komponenten sind
o Windows Intune Center
o Microsoft Policy Platform
o Microsoft Online Management Policy Agent
o Windows Firewall Configuration Provider
o Windows Intune Endpoint Protection
o Windows Intune Endpoint Protection Agent
o System Center Operations Manager 2007 R2 Agent
o Windows Intune Monitoring Agent.
In der Systemsteuerung finden Sie folgende Eintrage vor:
Windows Intune Center
Das Windows Intune Center wird über das entsprechende Icon auf dem Desktop aufgerufen und beinhaltet das Frontend für den Endanwender, in welchem er z.B. eine Remoteunterstützungsanforderung stellen kann.
Microsoft Policy Platform
Die "Microsoft Policy Platform" ist eine modellbasierende Policy Management Plattform. Diese wird in Windows Intune als auch im neuen Configuration Manager 2012 genutzt. Sie besteht aus den Diensten "Microsoft Policy Platform Local Authority" und "Microsoft Policy Platform Processor"
Microsoft Online Management Policy Agent
Der "Microsoft Online Management Policy Agent" ist verantwortlich für das Anwenden von Policies sowie das Berichten über Policys, Hardware- und Softwareinventur.
In der Konsole unter
zu finden.
Windows Firewall Configuration Provider
Der "Windows Firewall Configuration Provider" wendet die in Windows Intune definierten Firewall Einstellungen auf dem Client an.
Windows Intune Endpoint Protection
"Windows Intune Endpoint Protection" ist die Komponente für den Virenschutz, analog dem Client aus der ForeFront Endpoint Protection Suite.
Windows Intune Endpoint Protection Agent
Der "Windows Intune Endpoint Protection Agent" setzt die Einstellungen für "Windows Intune Endpoint Protection", die in der Windows Intune Konsole definiert worden sind.
In der Konsole unter
zu finden.
System Center Operations Manager 2007 R2 Agent
"System Center Operations Manager 2007 R2 Agent" ist die Komponente, die für die Überwachung des Systems zuständig ist. Sie besteht aus den Diensten "System Center Management" und "Operations Manager Audit Forwarding Service" und ist eine angepasste Version des Client aus der System Center Operations Manager Suite.
Windows Intune Monitoring Agent
Analog zum "Windows Intune Endpoint Protection Agent" setzt der "Windows Intune Monitoring Agent" die Einstellungen für den "System Center Operations Manager 2007 R2 Agent".
In der Knosole unter
zu finden.
Microsoft Easy Assist v2
Mit Microsoft Easy Assist kann der Endanwender eine Remoteunterstützungsanfrage senden, die in der Windows Intune Konsole angezeigt wird, bzw. über die per E-Mail informiert wird.
Microsoft Online Management Update Manager
Diese Komponente ist für die Aktualisierung der Windows Intune Komponenten zuständig und besteht aus dem Dienst "Microsoft Online Management Updates Service".
Viel Spaß mit Windows Intune wünscht Ihnen das
Microsoft Windows Intune Team