תחקור רכיב Intune Management Extension

תחקור ואבחון בעיות ברכיבי קצה של Endpoint Manager עלולים להיות מעט מאתגרים, ובפרט תחקור בעיות ברכיב Intune Management Extension.

כאשר רוצים לתחקר בעיות בתחנות קצה מבוססות Windows 10 ישנם אינספור הודעות (הודעות אינפורמטיביות והודעות שגיאה), סוגי לוגים, מיקומי קבצים ולוגים. לצד זה ישנם כל כך הרבה דרכים לתחקור כל בעיה ופעולה ברכיבי קצה שמחוברים אל Endpoint Manager.

ניתן למצוא מידע מסוים לגבי אבחון בעיות ולוגים במאמרים הבאים:

Troubleshooting Logs in Microsoft Endpoint Manager

Troubleshooting Endpoint Manager Policy with Windows 10

המאמר הבא הוא חלק מתוך סדרת מאמרים המשלבת בין האפשרויות והיכולות של Endpoint Manager אל מול הכלים של Windows Sysinternals

סנכרון ורכיב IME

תחקור בעיות בסנכרון של תחנת Windows 10 עלול להיות לעיתים מאתגר, ולדוגמה כאשר תחנות לא מקבלות פוליסי או תחנות שאינן מקבלות אפליקציה מסוימת, מתחילים בניסוי ותהיה של סנכרון מתוך הממשק, אתחול השירות של IME בתחנה, במקרים מסוימים הפעלה מחדש של התחנה, הרצת סנכרון מתוך ממשק אפשרויות (במקרים מסוימים), ועוד שלל פעולות.

במצב של בעיות סנכרון כלליות או נקודתיות בתחנת קצה ישנו סט פעולות ולוג ספציפי שאיתן ניתן לעבוד בכדי לקצר את מספר הפעולות וזמני תחקור הבעיה.

אם נקח לדוגמה מצב שבו אנו מאתחלים את השירות המקומי בתחנה של Intune Management Extension אנו למעשה נטריג מספר פעולות שונות ובין היתר את פעולת הסנכרון של תחנת הקצה מול Endpoint Manager – במידה והבעיה לא הסתדרה והסנכרון לא בוצע מתוך התחנה יהיה קשה מאוד לעבור על הלוגים ולהבין מהיכן הבעיה התחילה.

ישנם מספר דרכים לתחקר בעיות סנכרון ולהתמודד עם בעיה ספציפית, למשל תחקור באמצעות הלוג של IME, יחד עם הכלי String וביצוע סנכרון נקודתי מתוך התחנה.

רכיב IME הוא רכיב מרכזי בחיבור של תחנה מבוססת Windows 10 מול Endpoint Manager, ואם נתמקד ביכולות של Win32App נוכל לראות כי ישנם מלא אפשרויות , לקישור Win32 app management in Microsoft Intune | Microsoft Docs

להטריג ולתחקר

ניתן להפעיל סנכרון ידני בצורות שונות, למשל, מתוך ממשק הניהול של Endpoint Manager (במצבים מסוימים), או מתוך הממשק המקומי של Company Portal וגם בתצורות מסוימות האפשרות של סנכרון מתוך החשבון המחובר בתחנה.

בכדי לתחקר בעיות אנו צריכים לגשת למיקום הלוגים שנמצא במיקום הבא C:\ProgramData\Microsoft\IntuneManagementExtension\Logs ולפתוח את הלוג IntuneManagementExtension. בפתיחה ראשונה נוכל לראות אלפי שורות לוג עם רכיבי קצה שונים כמו זה של Win32App.

ניתן לפתוח את הלוג באמצעות VSCode ועם ההרחבה של Log Viewer ומשם להתחיל ולנבור באינספור שורות לוג, וניתן לראות בין השורות לוג את הפעולה של Win32App עם טריגר של סיגנל ולאחר מכן הפעלה של הסנכרון בתחנה.

טיפ: הרחבת Log Viewer מאפשרת לוג אקטיבי ולכן תחקור באמצעות VSCode יכול להיות יעיל במצבים מסוימים 

איך לתחקר בעיות סנכרון

הדוגמה הבאה מאפשרת לתחקר בעיות סנכרון ספציפיות ולא מעבר לכך, ולכן מתאים לתרחישים מסוימים.

ניתן להטריג אך ורק את פעולת הסנכרון ולהתמקד אך ורק בשורות לוג הרלוונטיות של אותו סנכרון ע"י הפעלת סטרינג לקריאת הרכיבי משנה והפונקציונאליות של קובץ IME, ולאחר מכן הפעלה של הסנכרון בלבד על גבי אותה פנקציה ספציפית.

בכדי לבצע את כל אותן פעולות נואיד את הכלים הבאים:

הכלי strings מתוך Windows Sysinternals

הורדת VSCode עם הרחבת Log Viewer או לחלופין CMTrace

לאחר הורדת הכלים נריץ את הפקודות הבאות:

הרצת הפקודה הבאה עם הכלי String בכדי לקרוא סטרינג מתוך קובץ EXE עם הפרמטר:

.\strings.exe "C:\Program Files (x86)\Microsoft Intune Management Extension\Microsoft.Management.Services.IntuneWindowsAgent.exe" | findstr /i syncapp

בגלל שמיקדנו את החיפוש עם syncapp אנו נקבל ערכים בודדים שאיתן נוכל לעבוד ובמקרה הזה נוכל לעבוד עם הפונקציה

מהי פעולת הסטרינג? כאשר אנו רוצים לדעת איך עובד קובץ EXE ומהם הפעולות שהוא יכול לבצע כולל גישה למיקומים, הפעלה של פונקציות מסוימות ופרטים נוספים אנו מריצים כלים שיכולים לנתח את מהות הקובץ – כלי String הוא אחד מהם.

בהפעלה של הכלי String אנו מבצעים פעולת חיפוש מול פרמטרים של ASCII או Unicode strings, ובדרל מתעלמים מהקשרים ופורמטים שונים במטרה לנתח את הפונקציונאליות של הקובץ. ניתן לבצע סטרינג על סוגי קבצים שונים.

למשל אם נריץ את הפקודה הבאה עם הכלי String מול Microsoft.Management.Services.IntuneWindowsAgent.exe נוכל למצוא אלפי פרמטרים ופונקציות שאיתן ניתן לעבוד

.\strings.exe "C:\Program Files (x86)\Microsoft Intune Management Extension\Microsoft.Management.Services
.IntuneWindowsAgent.exe"

לאחר מכן נבצע סנכרון ידני של תחנת הקצה מול Endpoint Manager עם הפקודה הבאה:

intunemanagementextension://syncapp

הרצת הפקודה הבאה תשלח סיגנל אל הרכיב ותטען רק את פעולת הסנכרון.

טיפ: מומלץ להרית את הפקודה intunemanagementextension://syncapp מתוך תיקיית Intune או מתוך Run עצמו בגלל הצורך בקבות EXE של Intune וכן בקובץ DLL של Intune אשר ממוקמים בתיקיית C:\Program Files (x86)\Microsoft Intune Management Extension.

אם נפתח את הלוג שנקרא IntuneManagementExtension מתוך התיקייה C:\ProgramData\Microsoft\IntuneManagementExtension\Logs נוכל לראות כי בפעולת סנכרון נוספו רק עשרות שורות לוג נוספות.

בקובץ לוג נוכל לראות מלא פעולות אבל אפשר לשים לב לשליחת סיגנל, טעינת וביצוע הפעולה, ביצוע בדיקות סטטוס של תחנה, ביצוע Impersonation, גישה לכתובות URL שונות, בדיקת תעודה דיגיטלית, בדיקות CSP (פוליסי) ופעולות נוספות.

לסיכום, ישנם אינספור דרכים לתחקור בעיות ברכיב IME ועבודה עם הכלים הנכונים ובצורה היעילה חוסכת זמן רב בתחקור. האפשרויות של Windows Sysinternals יחד עם Endpoint Manager מספקות יכולות נוספות לתחקור, ניתוח וניהול בעיות.

למאמרים נוספים בנושא Microsoft Endpoint Manager

מה דעתך?

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.