Nastavení CMG pro Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Jakmile budete mít splněné požadavky, můžete zahájit proces nastavení brány pro správu cloudu (CMG). Před zahájením tohoto procesu se ujistěte, že máte potřebné informace a předpoklady pro vytvoření CMG. Další informace najdete v tématu Nastavení kontrolního seznamu pro CMG.

Tento krok celkového procesu zahrnuje následující akce:

  • Pomocí konzoly Configuration Manager vytvořte službu CMG v Azure.
  • Nakonfigurujte primární lokalitu pro ověřování klientských certifikátů.
  • Přidejte roli systému lokality spojovacího bodu CMG.
  • Nakonfigurujte bod správy a bod aktualizace softwaru pro provoz CMG.
  • Nakonfigurujte skupiny hranic.

Nastavení cmg

Poznámka

Nasazení cmg se škálovací sadou virtuálních počítačů v Azure bylo poprvé představeno ve verzi 2010 jako předběžná verze funkce. Počínaje verzí 2107 už nejde o předběžnou vydanou funkci.

Configuration Manager tuto volitelnou funkci ve výchozím nastavení nepovoluje. Tuto funkci musíte před použitím povolit. Další informace najdete v tématu Povolení volitelných funkcí z aktualizací.

Tento postup proveďte na webu nejvyšší úrovně. Tato lokalita je buď samostatná primární lokalita, nebo lokalita centrální správy (CAS).

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte Brána pro správu cloudu.

  2. Na pásu karet vyberte Vytvořit bránu pro správu cloudu .

  3. Na stránce Obecné v průvodci nejprve zadejte prostředí Azure pro tuto cmg:

    • AzurePublicCloud: Vytvořte službu v globálním cloudu Azure.
    • AzureUSGovernmentCloud: Vytvořte službu v cloudu Azure US Government.

  4. Dále zvolte, jak chcete nasadit CMG v Azure:

    • Škálovací sada virtuálních počítačů

      • Od verze 2203 je škálovací sada virtuálních počítačů jedinou možností.

      • Od verze 2107 je tato možnost doporučenou metodou nasazení. I když máte existující cmg nasazenou metodou cloudové služby (Classic), nasaďte nové instance CMG jako škálovací sadu virtuálních počítačů.

      • Ve verzích 2010 a 2103 musíte tuto předběžnou verzi funkce povolit, abyste ji viděli. V těchto verzích je určená jenom pro zákazníky s předplatným CSP (Cloud Solution Provider). Pokud jste již nasadili CMG s metodou cloudové služby (Classic), tato možnost není k dispozici. Další informace najdete v tématu Plánování cmg: Škálovací sady virtuálních počítačů.

    • Cloudová služba (classic)

      Důležité

      Od verze 2203 se odebere možnost nasadit cmg jako cloudovou službu (classic). Všechna nasazení CMG by měla používat škálovací sadu virtuálních počítačů. Další informace najdete v tématu Odebrání a zastaralé funkce.

      • Ve verzi 2107 a novějších použijte tuto možnost jenom v případě, že nemůžete nasadit se škálovací sadou virtuálních počítačů kvůli jednomu z omezení.

      • Ve verzích 2010 a 2103 by většina zákazníků měla používat tuto metodu nasazení.

  5. Od verze 2309 vyberte Microsoft Entra název tenantaMicrosoft Entra název aplikace se automaticky naplní. Vyberte možnost Přihlásit se. Ověřte se pomocí účtu vlastníka předplatného Azure. Pokud vlastníte více předplatných, vyberte ID předplatného , které chcete použít.

    Poznámka

    Od verze 2309 jsme přestali používat aplikaci první strany pro vytváření CMG. CmG teď používá k získání nosných tokenů serverovou aplikaci třetí strany.

  6. Ve verzích 2303 a novějších vyberte Přihlásit se. Ověřte se pomocí účtu vlastníka předplatného Azure. Průvodce automaticky vyplní zbývající pole z informací uložených během Microsoft Entra předpokladu integrace. Pokud vlastníte více předplatných, vyberte ID předplatného , které chcete použít.

    Vyberte Další a počkejte, až lokalita otestuje připojení k Azure.

  7. Na stránce Nastavení průvodce nejprve přejděte na . Soubor PFX pro ověřovací certifikát serveru CMG (soubor certifikátu). Běžný název z tohoto certifikátu se používá k naplnění polí Název služby a Název nasazení .

    Pokud používáte certifikát se zástupnými čísly, nahraďte hvězdičku (*) v poli Název služby předponou globálně jedinečného názvu nasazení pro cmg.

    1. Volitelně můžete zadat Popis, který bude tuto cmg dále identifikovat v konzole Configuration Manager.

    2. Vyberte oblast Azure pro tuto cmg. Seznam dostupných oblastí se může lišit v závislosti na vybraném předplatném.

    3. Vyberte možnost Skupina prostředků :

      • Pokud zvolíte Použít existující, vyberte ze seznamu existující skupinu prostředků. Tato skupina prostředků už musí existovat ve stejné oblasti, kterou jste vybrali pro cmg. Pokud vyberete existující skupinu prostředků, která je v jiné oblasti než dříve vybraná oblast, nepodaří se cmg nasadit.

      • Pokud zvolíte Vytvořit novou, zadejte název nové skupiny prostředků.

    4. Ve výchozím nastavení je velikost virtuálního počítače Standard (A2_V2). Podle návrhu vyberte jinou možnost. Například velký (A4_v2) pro zvýšení kapacity klienta na virtuální počítač nebo testovací prostředí (B2s) v malém testovacím prostředí.

      Důležité

      Virtuální počítač s velikostí testovacího prostředí (B2s) je určený jenom pro testovací prostředí a malá prostředí pro testování konceptu. Například s větví Configuration Manager Technical Preview. Virtuální počítače B2s nejsou určené pro produkční použití s CMG. Jsou nízkonákladové a mají nízký výkon.

    5. Do pole Instance virtuálního počítače zadejte počet virtuálních počítačů pro tuto službu. Výchozí hodnota je jedna, ale můžete vertikálně navýšit kapacitu až na 16 virtuálních počítačů na cmg.

    6. Pokud používáte certifikáty ověřování klientů, vyberte Certifikáty a přidejte důvěryhodné kořenové certifikáty. Přidejte všechny certifikáty v řetězu důvěryhodnosti.

      Poznámka

      Při použití ID Microsoft Entra nebo tokenů vydaných lokalitou pro ověřování klientů se nevyžaduje důvěryhodný kořenový certifikát.

    7. Ve výchozím nastavení průvodce povolí možnost Ověřit odvolání klientského certifikátu. Aby toto ověření fungovalo, musí být veřejně publikován seznam odvolaných certifikátů (CRL). Další informace najdete v tématu Publikování seznamu odvolaných certifikátů.

    8. Ve výchozím nastavení průvodce povolí možnost vynutit protokol TLS 1.2. Toto nastavení vyžaduje, aby virtuální počítač Azure používal šifrovací protokol TLS 1.2. Nevztahuje se na žádné místní servery nebo klienty Configuration Manager lokalit. Od verze 2107 s kumulativní aktualizací platí toto nastavení také pro účet úložiště CMG. Další informace najdete v tématu Povolení protokolu TLS 1.2.

    9. Ve výchozím nastavení průvodce povolí možnost Povolit CMG fungovat jako cloudový distribuční bod a obsluhovat obsah z úložiště Azure. Pokud plánujete cílit na nasazení s obsahem na klienty, musíte nakonfigurovat cmg tak, aby poskytovala obsah.

  8. Dále je stránka průvodce Upozornění . Pokud chcete monitorovat provoz CMG s 14denní prahovou hodnotou, povolte upozornění na prahovou hodnotu. Pak zadejte prahovou hodnotu a procento, při kterém se mají zvýšit různé úrovně výstrah. Můžete také povolit prahovou hodnotu upozornění úložiště. Až budete hotovi, zvolte Další .

  9. Zkontrolujte nastavení a dokončete průvodce.

Configuration Manager začne službu nastavovat. Doba potřebná k úplnému zřízení služby v Azure závisí na vámi zadaných nastaveních. Pokud chcete zjistit, kdy je služba připravená, podívejte se na sloupec Stav pro novou cmg.

Při řešení potíží s nasazeními CMG použijte CloudMgr.log a CMGSetup.log. Další informace najdete v tématu Monitorování CMG.

Tip

Pro tento proces můžete také použít rutinu Prostředí PowerShell New-CMCloudManagementGateway . Volitelně můžete použít tuto rutinu k vytvoření služby CMG. Další informace najdete v tématu New-CMCloudManagementGateway.

Konfigurace primární lokality pro ověřování klientských certifikátů

Pokud pro ověřování klientů pomocí CMG používáte certifikáty ověřování klientů , nakonfigurujte každou primární lokalitu podle tohoto postupu.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte Lokality.

  2. Vyberte primární lokalitu, ke které jsou přiřazeni vaši internetoví klienti, a zvolte Vlastnosti.

  3. Přepněte na kartu Zabezpečení komunikace a vyberte Použít klientský certifikát PKI (ověřování klienta), pokud je k dispozici.

  4. Pokud seznam CRL nepublikujete, zakažte následující možnost: Klienti zkontrolují seznam odvolaných certifikátů (CRL) pro systémy lokality.

Přidání spojovacího bodu CMG

Spojovací bod CMG je role systému lokality, která se vyžaduje pro komunikaci z místního Configuration Manager nasazení do cloudové cmg. Před zahájením tohoto procesu byste již měli vyvinout plán pro tuto roli a identifikovat alespoň jeden existující server systému lokality. Další informace najdete v tématu Plánování cmg.

Pokud chcete přidat spojovací bod CMG, následující kroky shrnují pokyny k instalaci rolí systému lokality:

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte uzel Servery a Role systému lokality.

  2. Vyberte existující server lokality, ke kterému chcete přidat tuto roli. Na pásu karet na kartě Domů vyberte Přidat role systému lokality.

  3. Na obrazovce Výběr role systému zvolte Spojovací bod brány pro správu cloudu a pak vyberte Další. Zvolte název brány pro správu cloudu , ke které se tento server připojuje. Průvodce zobrazí oblast pro vybranou cmg.

Důležité

Pokud používáte certifikáty ověřování klientů, spojovací bod CMG tento certifikát potřebuje. Další informace najdete v tématu Certifikát pro ověřování klienta.

Při řešení potíží se stavem služby CMG použijte CMGService.log a SMS_Cloud_ProxyConnector.log. Další informace najdete v tématu Soubory protokolů.

Tip

Volitelně můžete také použít rutinu PowerShellu Add-CMCloudManagementGatewayConnectionPoint k přidání role spojovacího bodu CMG k serveru systému lokality.

Další informace najdete v tématu Add-CMCloudManagementGatewayConnectionPoint.

Konfigurace klientských rolí pro provoz CMG

Nakonfigurujte systémy lokality bodu správy a bodu aktualizace softwaru tak, aby přijímaly provoz CMG. Tento postup proveďte v primární lokalitě pro všechny body správy a body aktualizace softwaru, které obsluhují internetové klienty.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte uzel Servery a Role systému lokality. Na pásu karet na kartě Domů ve skupině Zobrazení vyberte Servery s rolí. Pak v seznamu vyberte Bod správy .

  2. Vyberte server systému lokality, který chcete nakonfigurovat pro provoz CMG. V podokně podrobností vyberte roli Bod správy a pak ve skupině Role webu na pásu karet vyberte Vlastnosti.

  3. Na listu vlastností bodu správy v části Připojení klientů vyberte Povolit Configuration Manager provoz brány pro správu cloudu.

    V závislosti na návrhu cmg a Configuration Manager verzi možná budete muset povolit možnost HTTPS. Další informace najdete v tématu Povolení bodu správy pro HTTPS.

  4. Výběrem OK zavřete okno vlastností bodu správy.

Tento postup opakujte pro ostatní body správy podle potřeby a pro všechny body aktualizace softwaru.

Konfigurace skupin hranic

Skupinu cmg můžete přidružit ke skupině hranic. Tato konfigurace umožňuje klientům používat cmg pro komunikaci klientů podle vztahů mezi skupinami hranic. Tato konfigurace je výhodná pro klienty VPN nebo pobočky, kde by mohlo být lepší je spravovat přes CMG než přes připojení VPN nebo WAN. Pokud povolíte možnost Preferovat cloudové zdroje před místními zdroji , klienti budou preferovat CMG pro zásady i obsah.

Další informace o skupinách hranic najdete v tématu Konfigurace skupin hranic.

Při vytváření nebo konfiguraci skupiny hranic přidejte na kartě Odkazy bránu pro správu cloudu. Tato akce přidruží cmg k této skupině hranic.

Branchcache

Pokud chcete povolit cmg s povoleným obsahem používat Windows BranchCache, nainstalujte na server lokality funkci BranchCache.

  • Pokud má server lokality roli systému lokality místního distribučního bodu, nakonfigurujte ve vlastnostech této role možnost Povolit a nakonfigurovat branchCache. Další informace najdete v tématu Konfigurace distribučního bodu.

  • Pokud server lokality nemá roli distribučního bodu, nainstalujte funkci BranchCache ve Windows. Další informace najdete v tématu Instalace funkce BranchCache.

Pokud jste už distribuovali obsah do CMG a pak se rozhodnete povolit službu BranchCache, nejprve tuto funkci nainstalujte. Pak obsah redistribuujte do cmg.

Distribuce a správa obsahu

Distribuujte obsah do cmg s povoleným obsahem stejně jako jakýkoli jiný distribuční bod. Bod správy nezahrnuje cmg do seznamu umístění obsahu, pokud neobsahuje obsah, který klienti požadují. Další informace najdete v tématu Distribuce a správa obsahu.

Spravujte obsah v cmg stejně jako jakýkoli jiný distribuční bod. Mezi tyto akce patří jeho přiřazení ke skupině distribučních bodů a správa balíčků obsahu. Další informace najdete v tématu Instalace a konfigurace distribučních bodů.

Další kroky

Pokračujte v nastavení CMG konfigurací klientů pro CMG:

Konfigurace klientů pro CMG