通过启动介质和 CMG 的 OSD 失败并出现错误 0x80004005

我最近通过启动媒体和 CMG 发表了一篇关于 OSD 的文章。在处理它时，我的任务序列失败并出现一般错误 0x80004005。让我分享我的发现和解决这个问题的方法。

通过 CMG 通过互联网部署任务序列是一项很棒的功能，您必须尝试一下。远程计算机不会加入域。但是，您可以使用带有启动映像和 CMG 的任务序列来映像远程客户端。

我在 SCCM 2010 设置中遇到了这个问题。由于我选择了 2010 版的早期更新环，因此我还安装了修补程序 KB4594176。

通过启动介质和 CMG 的 OSD 失败并出现错误 0x80004005

因此，在创建启动介质后，我将客户端计算机配置为从它启动，但出现错误。无法运行任务序列。检索此计算机的策略时出错 (0x80004005)。有关详细信息，请联系您的系统管理员或帮助台操作员。

我的云管理网关工作正常，我可以毫无问题地通过 RDP 访问 CMG。

首先，0x80004005 是通用错误代码。您无法从该错误中猜测出任何内容。您必须检查 smsts.log 文件以找出实际错误。

当我查看 smsts.log 文件时，我看到 WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED 错误。另外，还有其他错误，比如winhttp发送失败； 80072f8f。

进一步向下滚动，我看到另一个错误 SyncTimeWithMP() failed。 80072ee7。无法从 MP 获取时间信息。这实际上没有任何意义，因为 CMG 和我的客户没有任何问题。

这是 smsts.log 文件输出。

[TSMESSAGING] AsyncCallback(): ----------------------------------------------------------------- TSMBootstrap
[TSMESSAGING] AsyncCallback(): WINHTTP_CALLBACK_STATUS_SECURE_FAILURE Encountered TSMBootstrap
[TSMESSAGING] : dwStatusInformationLength is 4
TSMBootstrap 
[TSMESSAGING] : *lpvStatusInformation is 0x1
[TSMESSAGING] : WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED is set
[TSMESSAGING] AsyncCallback(): ----------------------------------------------------------------- TSMBootstrap 
Error. Received 0x80072f8f from WinHttpSendRequest.
Sending with winhttp failed; 80072f8f. retrying.
Retrying and Ignoring date security failures.
Sending with winhttp failed; 80072f8f
Will retry in 44 second(s)
Sending with winhttp failed; 80072ee7
End of retries
Failed to get client identity (80072ee7)
failed to request for client
SyncTimeWithMP() failed. 80072ee7.
Failed to get time information from MP: https://PRAJWALCMG.PRAJWAL.ORG/CCM_Proxy_MutualAuth/72057594037927939.
Failed to select MP TSMBootstrap

首先，我希望大家看一下 WINHTTP_STATUS_CALLBACK 函数。 smsts.log 文件中的错误是 WINHTTP_CALLBACK_STATUS_FLAG_CERT_REV_FAILED。此错误表示已启用证书吊销检查。但是吊销检查无法验证证书是否已被吊销。用于检查吊销的服务器可能无法访问。

在这里我不得不提一下我的同事Tom Degreef也遇到了同样的错误。一周后，他提出了一个窍门，并且奏效了。

Tom 所做的是关闭了 CMG 上的 CRL 检查。但仅此一点并不能解决问题。他还关闭了站点级别的 CRL 检查。在站点级别关闭 CRL 检查后重建启动磁盘就可以解决问题。

客户端证书吊销

使用 PKI 部署 CMG 时，我们将服务配置为在“设置”选项卡上验证客户端证书吊销。此设置将服务配置为使用已发布的证书吊销列表 (CRL)。

根据 Microsoft 的说法，此 CMG 选项会验证客户端身份验证证书。

• 如果客户端使用 Azure AD 身份验证，则 CRL 并不重要。
• 如果您使用 PKI，并在外部发布 CRL，则启用此选项（推荐）。
• 当您使用 PKI 时，不要发布 CRL，然后禁用此选项。

就我而言，我使用的是 PKI，并且我不在面向互联网的 Web 服务器上托管我的 CRL。因此，我决定在 CMG 和站点服务器上禁用 CRL。

要关闭 CMG 上的 CRL，请转至 CMG 属性并单击设置选项卡。取消选中验证客户端证书吊销选项。单击确定。

在站点级别，您可以关闭 CRL。在站点属性上，单击通信安全选项卡。取消选中客户端检查站点系统的证书吊销列表，然后单击确定。

进行上述更改并重建启动磁盘后，我可以通过启动媒体和 CMG 执行 OSD，没有任何错误。我希望这篇文章有帮助。