Einrichten des Verwaltungsdiensts in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Führen Sie die Schritte in diesem Artikel aus, um den Verwaltungsdienst für Ihren SMS-Anbieter einzurichten. Bevor Sie beginnen, lesen Sie die Voraussetzungen für den Verwaltungsdienst.
Aktivieren der sicheren HTTPS-Kommunikation
Konfigurieren Sie den Verwaltungsdienst für die Verwendung einer sicheren HTTPS-Verbindung, um die Daten während der Übertragung über das Netzwerk zu schützen.
Ab Version 2010 müssen Sie IIS für den SMS-Anbieter für den Verwaltungsdienst nicht mehr aktivieren. Der Standort erstellt ein selbstsigniertes Zertifikat für den SMS-Anbieter und bindet es automatisch, ohne IIS zu erfordern. Wenn Iis zuvor auf dem SMS-Anbieter installiert war, können Sie es entfernen. Starten Sie dann die komponente SMS_REST_PROVIDER neu. Denken Sie daran, dass Sie https-Port 443 in Ihrer Firewall öffnen müssen.
Der Verwaltungsdienst verwendet automatisch das selbstsignierte Zertifikat der Website. Dieses Verhalten trägt dazu bei, die Reibung für eine einfachere Verwendung des Verwaltungsdiensts zu verringern. Dieses Zertifikat wird immer vom Standort generiert. Der Verwaltungsdienst ignoriert die Einstellung Erweiterte HTTP-Website, da er immer das Zertifikat der Website verwendet, auch wenn kein anderes Standortsystem erweitertes HTTP verwendet. Sie können weiterhin manuell ein PKI-basiertes Serverauthentifizierungszertifikat binden. Wenn Sie bereits ein PKI-Zertifikat an Port 443 auf dem SMS-Anbieterserver gebunden haben, verwendet der Verwaltungsdienst dieses vorhandene Zertifikat.
Verwenden eines Serverauthentifizierungszertifikats
Hinweis
Standardmäßig verwendet der Verwaltungsdienst automatisch das selbstsignierte Zertifikat der Website. Sie können weiterhin manuell ein PKI-basiertes Serverauthentifizierungszertifikat binden. Bevor Sie Ihr PKI-basiertes Zertifikat binden können, heben Sie die Bindung des selbstsignierten Zertifikats des Standorts an Port 443 des SMS-Anbieters manuell auf.
Es gibt zwei primäre Methoden für die Verwendung eines Serverauthentifizierungszertifikats:
Aus der Public Key-Infrastruktur (PKI) Ihrer Organisation
Wenn Ihre Umgebung bereits über eine PKI verfügt, können Sie damit ein Serverauthentifizierungszertifikat für den SMS-Anbieter ausstellen. Dieses Zertifikat ähnelt dem Zertifikat, das Sie für einen Verwaltungspunkt oder Verteilungspunkt verwenden würden. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen.
Die meisten Unternehmens-PKI-Implementierungen fügen windows-Clients die vertrauenswürdigen Stammzertifizierungsstellen hinzu. Beispiel: Verwenden von Active Directory-Zertifikatdiensten mit Gruppenrichtlinie. Wenn Sie das Zertifikat von einer Zertifizierungsstelle ausstellen, der Ihre Clients nicht automatisch vertrauen, fügen Sie den Clients das vertrauenswürdige Stammzertifikat der Zertifizierungsstelle hinzu. Sie können diese Vertrauensstellung nur auf die Clients beschränken, die auf den Verwaltungsdienst zugreifen müssen.
Verwenden Sie ein Zertifikat von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter. Windows-Clients enthalten vertrauenswürdige Stammzertifizierungsstellen (CAs) von diesen Anbietern. Durch die Verwendung eines von einem dieser Anbieter ausgestellten Serverauthentifizierungszertifikats vertrauen Ihre Clients diesem automatisch.
Sobald Sie über ein Serverauthentifizierungszertifikat für den SMS-Anbieter verfügen, müssen Sie es manuell an Port 443 in IIS auf dem Server binden, der die SMS-Anbieterrolle hostet.
Fügen Sie zunächst das Zertifikat dem Server hinzu. Importieren Sie das Zertifikat in den persönlichen Speicher des lokalen Computers. Verwenden Sie dann eine der folgenden Optionen, um das Zertifikat zu binden:
Binden des Zertifikats mit IIS
Wenn der Server mit der Rolle SMS-Anbieter über die IIS-Verwaltungskonsole verfügt, verwenden Sie die Aktion Bindungen bearbeiten auf der Standardwebsite. Fügen Sie Port 443 hinzu, und geben Sie Ihr Zertifikat aus dem Zertifikatspeicher des Computers an.
Hinweis
Für die Rolle SMS-Anbieter ist IIS nicht erforderlich. In diesem Verfahren wird die IIS-Konsole verwendet, um das Zertifikat zu binden. Diese Zertifikatbindungen gelten für den Computer, nicht für einen bestimmten Dienst.
Binden des Zertifikats mit netsh
Verwenden Sie die netsh-Befehlszeile, um das Zertifikat zu binden:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Dabei <thumbprint>
ist der Fingerabdruck des installierten Zertifikats und <GUID>
eine zufällige GUID.
Tipp
Verwenden Sie das Cmdlet New-Guid
Windows PowerShell, um eine zufällige GUID zu generieren.
Zum Beispiel:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Aktivieren des Internetzugriffs
Sie können den Verwaltungsdienst nur lokal verwenden oder ihn für den Zugriff über das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG) aktivieren. Einige Szenarien erfordern Zugriff auf den Verwaltungsdienst über das Internet, z. B. Mandantenanfügung oder App-Genehmigungen per E-Mail.
Bevor Sie den SMS-Anbieter so konfigurieren können, dass CMG-Datenverkehr zugelassen wird, richten Sie zunächst ein CMG ein. Weitere Informationen finden Sie unter Übersicht über CMG.
Verwenden Sie dann den folgenden Prozess, um den Verwaltungsdienst über das CMG zu aktivieren:
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Server und Standortsystemrollen aus.
Wählen Sie den Server mit der Rolle SMS-Anbieter aus.
Tipp
Wählen Sie im Menüband auf der Registerkarte Startdie Option Server mit Rolle und dann SMS-Anbieter aus. Mit dieser Aktion werden die Standortsysteme mit dieser Rolle angezeigt.
Wählen Sie im Detailbereich die Rolle SMS-Anbieter aus, und wählen Sie im Menüband auf der Registerkarte Standortrolle die Option Eigenschaften aus.
Wählen Sie die Option Configuration Manager Cloudverwaltungsgatewaydatenverkehr für den Verwaltungsdienst zulassen aus.
Um über das Internet auf den Verwaltungsdienst zuzugreifen, ersetzen Sie den FQDN des SMS-Anbieters durch den CMG-Endpunkt. Zum Beispiel:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Tipp
Führen Sie die folgenden Schritte aus, um den Wert für diesen Endpunkt abzurufen:
Erstellen Sie ein CMG. Weitere Informationen finden Sie unter Einrichten eines CMG.
Öffnen Sie auf einem aktiven Client eine Windows PowerShell Eingabeaufforderung als Administrator.
Führen Sie den folgenden Befehl aus:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Aktivieren der Konsolennutzung
Hinweis
Ab Version 2111 wird die Option Enable the Configuration Manager console to use the administration service (Aktivieren der Configuration Manager-Konsole für die Verwendung des Verwaltungsdiensts) entfernt. Der Verwaltungsdienst ist immer aktiviert, sodass er von der Konsole bei Bedarf verwendet wird.
Aktivieren Sie einige Knoten der Configuration Manager-Konsole, um den Verwaltungsdienst zu verwenden. Diese Änderung ermöglicht es der Konsole, mit dem SMS-Anbieter über HTTPS statt über WMI zu kommunizieren.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus. Wählen Sie im Menüband Hierarchieeinstellungen aus.
Wählen Sie auf der Seite Allgemein die Option Configuration Manager-Konsole für die Verwendung des Verwaltungsdiensts aktivieren aus.
Diese Änderung betrifft nur die folgenden Knoten unter dem Knoten Sicherheit im Arbeitsbereich Verwaltung :
- Administrative Benutzer
- Sicherheitsrollen
- Sicherheitsbereiche
- Konsolenverbindungen
Wenn Sie einen dieser Knoten auswählen, wird die folgende Fehlermeldung angezeigt:
Configuration Manager kann keine Verbindung mit dem Verwaltungsdienst herstellen
Überprüfen Sie die Informationen unter dem Fehler. Überprüfen Sie dann, ob der Verwaltungsdienst aktiviert, konfiguriert und funktionsfähig ist. Weitere Informationen einschließlich der zu überprüfenden Protokolldateien finden Sie im Abschnitt Überprüfen .
Überprüfen
Wenn der Standort den Verwaltungsdienst installiert, protokolliert er Aktivitäten in der Datei RESTPROVIDERSetup.log im Configuration Manager Installationsverzeichnis. Standardmäßig ist C:\Program Files\Microsoft Configuration Manager\logs
dieser Pfad .
Die Website verfolgt den Integritätsstatus des Verwaltungsdiensts in der Datei SMS_REST_PROVIDER.log nach. Sie sehen den Dienststart und Informationen zum Zertifikat.
Testen Sie den Verwaltungsdienst, indem Sie eine einfache Abfrage in einem Webbrowser ausführen, z. B.:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
Der Verwaltungsdienst protokolliert seine Aktivität in der Datei adminservice.log auf dem SMS-Anbieterserver im Configuration Manager Installationsverzeichnis.
Für die obige Metadatenabfrage zeigt die Protokolldatei die folgenden Zeilen an:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]