Nastavení služby správy v Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Pomocí kroků v tomto článku nastavte službu správy u poskytovatele serveru SMS. Než začnete, přečtěte si požadavky na službu pro správu.

Povolení zabezpečené komunikace HTTPS

Nakonfigurujte službu pro správu tak, aby k ochraně přenášených dat v síti používala zabezpečené připojení HTTPS.

Od verze 2010 už nemusíte u poskytovatele serveru SMS povolovat službu IIS pro službu správy. Lokalita vytvoří pro poskytovatele serveru SMS certifikát podepsaný svým držitelem a automaticky ho vytvoří vazbu bez nutnosti služby IIS. Pokud jste dříve měli na poskytovateli serveru SMS nainstalovanou službu IIS, můžete ji odebrat. Potom restartujte komponentu SMS_REST_PROVIDER. Nezapomeňte, že na bráně firewall musíte otevřít port HTTPS 443.

Služba pro správu automaticky používá certifikát webu podepsaný svým držitelem. Toto chování pomáhá omezit třecí plochy pro snadnější použití služby správy. Tento certifikát vždy vygeneruje lokalita. Služba pro správu ignoruje nastavení rozšířeného webu HTTP, protože vždy používá certifikát lokality i v případě, že rozšířený protokol HTTP nepoužívá žádný jiný systém lokality. I tak můžete ručně vytvořit vazbu ověřovacího certifikátu serveru založeného na pki. Pokud jste již vázali certifikát PKI na port 443 na serveru poskytovatele serveru SMS, služba pro správu použije tento existující certifikát.

Použití ověřovacího certifikátu serveru

Poznámka

Ve výchozím nastavení služba pro správu automaticky používá certifikát webu podepsaný svým držitelem. I tak můžete ručně vytvořit vazbu ověřovacího certifikátu serveru založeného na pki. Než budete moct vytvořit vazbu k certifikátu založenému na infrastruktuře PKI, ručně zrušte vazbu certifikátu lokality podepsaného svým držitelem z portu 443 u poskytovatele serveru SMS.

Existují dvě primární metody použití ověřovacího certifikátu serveru:

  • Z infrastruktury veřejných klíčů (PKI) vaší organizace

    • Pokud už vaše prostředí infrastrukturu veřejných klíčů má, můžete ji použít k vydání ověřovacího certifikátu serveru pro poskytovatele serveru SMS. Tento certifikát se podobá certifikátu, který byste použili pro bod správy nebo distribuční bod. Další informace najdete v tématu Požadavky na certifikát PKI.

    • Většina podnikových implementací infrastruktury veřejných klíčů přidává důvěryhodné kořenové certifikační autority do klientů s Windows. Například pomocí služby Active Directory Certificate Services se zásadami skupiny. Pokud vydáte certifikát od certifikační autority, které vaši klienti automaticky nedůvěřují, přidejte do klientů důvěryhodný kořenový certifikát certifikační autority. Rozsah tohoto vztahu důvěryhodnosti můžete nastavit pouze na klienty, kteří potřebují přístup ke službě správy.

  • Použijte certifikát od veřejného a globálně důvěryhodného zprostředkovatele certifikátů. Klienti Windows zahrnují důvěryhodné kořenové certifikační autority od těchto zprostředkovatelů. Při použití ověřovacího certifikátu serveru vydaného jedním z těchto zprostředkovatelů mu klienti automaticky důvěřují.

Jakmile budete mít ověřovací certifikát serveru pro poskytovatele serveru SMS, musíte ho ručně vytvořit vazbu na port 443 ve službě IIS na serveru, který je hostitelem role poskytovatele serveru SMS.

Nejprve přidejte certifikát na server. Importujte certifikát do osobního úložiště místního počítače. Potom pomocí jedné z následujících možností vytvořte vazbu certifikátu:

Vytvoření vazby certifikátu se službou IIS

Pokud má server s rolí poskytovatele serveru SMS konzolu pro správu služby IIS, použijte akci Upravit vazby na výchozím webu. Přidejte port 443 a zadejte certifikát z úložiště certifikátů počítače.

Poznámka

Role poskytovatele serveru SMS nevyžaduje službu IIS. Tento postup používá konzolu služby IIS k vytvoření vazby certifikátu. Tyto vazby certifikátů jsou určené pro počítač, nikoli pro konkrétní službu.

Vytvoření vazby certifikátu pomocí netsh

K vytvoření vazby certifikátu použijte příkazový řádek netsh:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

Kde <thumbprint> je kryptografický otisk nainstalovaného certifikátu a <GUID> je náhodný identifikátor GUID.

Tip

Pomocí rutiny New-Guid Windows PowerShell vygenerujte náhodný identifikátor GUID.

Příklad:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

Povolení přístupu k internetu

Službu správy můžete použít jenom místně nebo ji můžete povolit prostřednictvím brány pro správu cloudu (CMG). Některé scénáře vyžadují přístup ke službě pro správu z internetu, například připojení tenanta nebo schválení aplikací e-mailem.

Než budete moct nakonfigurovat poskytovatele serveru SMS tak, aby povolovali provoz CMG, nastavte nejprve CMG. Další informace najdete v tématu Přehled CMG.

Pak pomocí následujícího postupu povolte službu správy prostřednictvím cmg:

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte položku Konfigurace lokality a vyberte uzel Servery a Role systému lokality.

  2. Vyberte server s rolí poskytovatele serveru SMS .

    Tip

    Na pásu karet na kartě Domů vyberte Servery s rolí a pak vyberte Poskytovatel serveru SMS. Tato akce zobrazí systémy lokality s touto rolí.

  3. V podokně podrobností vyberte roli Poskytovatele serveru SMS a na pásu karet na kartě Role webu vyberte Vlastnosti.

  4. Vyberte možnost Povolit Configuration Manager provozu brány pro správu cloudu pro službu správy.

Pokud chcete získat přístup ke službě správy z internetu, nahraďte plně kvalifikovaný název domény poskytovatele serveru SMS koncovým bodem CMG. Příklad:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

Tip

Pokud chcete získat hodnotu pro tento koncový bod, postupujte následovně:

  • Vytvořte cmg. Další informace najdete v tématu Nastavení CMG.

  • V aktivním klientovi otevřete příkazový řádek Windows PowerShell jako správce.

  • Spusťte následující příkaz:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP

Povolení používání konzoly

Poznámka

Od verze 2111 se odebere možnost Povolit konzole Configuration Manager používat službu správy. Služba správy je vždy zapnutá, takže ji konzola v případě potřeby použije.

Povolte, aby některé uzly konzoly Configuration Manager používaly službu správy. Tato změna umožňuje konzole komunikovat s poskytovatelem serveru SMS přes HTTPS místo přes rozhraní WMI.

  1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Položku Konfigurace lokality a vyberte uzel Lokality. Na pásu karet vyberte Nastavení hierarchie.

  2. Na stránce Obecné vyberte možnost Povolit konzolu Configuration Manager používat službu správy.

Tato změna se týká pouze následujících uzlů v uzlu Zabezpečení v pracovním prostoru Správa :

  • Správci
  • Role zabezpečení
  • Obory zabezpečení
  • Připojení konzoly

Pokud vyberete jeden z těchto uzlů, zobrazí se následující chybová zpráva:

Configuration Manager se nemůže připojit ke službě správy

Projděte si informace pod chybou. Pak ověřte, že je služba správy povolená, nakonfigurovaná a funkční. Další informace včetně souborů protokolu, které chcete zkontrolovat, najdete v části Ověření .

Ověřit

Když lokalita nainstaluje službu správy, protokoluje aktivitu do souboru RESTPROVIDERSetup.log v Configuration Manager instalačním adresáři. Ve výchozím nastavení je C:\Program Files\Microsoft Configuration Manager\logstato cesta .

Web sleduje stav služby správy v souboru SMS_REST_PROVIDER.log . Zobrazí se spuštění služby a informace o certifikátu.

Otestujte službu správy jednoduchým dotazem ve webovém prohlížeči, například:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

Služba pro správu protokoluje svoji aktivitu do souboru adminservice.log na serveru poskytovatele serveru SMS v instalačním adresáři Configuration Manager.

U výše uvedeného dotazu na metadata se v souboru protokolu zobrazují následující řádky:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

Další kroky

Jak používat službu správy