Bereitstellen von Clients auf Windows-Computern in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Dieser Artikel enthält Ausführliche Informationen zum Bereitstellen des Configuration Manager-Clients auf Windows-Computern. Weitere Informationen zum Planen und Vorbereiten der Clientbereitstellung finden Sie in den folgenden Artikeln:
- Clientinstallationsmethoden
- Voraussetzungen für die Bereitstellung von Clients auf Windows-Computern
- Sicherheit und Datenschutz für Configuration Manager-Clients
- Bewährte Methoden für die Clientbereitstellung
Clientpushinstallation
Es gibt drei Hauptmethoden zum Verwenden von Clientpush:
Wenn Sie die Clientpushinstallation für einen Standort konfigurieren, wird die Clientinstallation automatisch auf Computern ausgeführt, die vom Standort erkannt werden. Diese Methode ist auf die konfigurierten Grenzen des Standorts begrenzt, wenn diese Grenzen als Begrenzungsgruppe konfiguriert sind.
Starten Sie die Clientpushinstallation, indem Sie den Clientpushinstallations-Assistenten für eine bestimmte Sammlung oder Ressource innerhalb einer Sammlung ausführen.
Verwenden Sie den Clientpushinstallations-Assistenten, um den Configuration Manager-Client zu installieren, mit dem Sie das Ergebnis abfragen können. Die Installation ist nur erfolgreich, wenn eines der von der Abfrage zurückgegebenen Elemente das ResourceID-Attribut der Systemressourcenklasse ist.
Wenn der Standortserver keine Verbindung mit dem Clientcomputer herstellen oder den Setupvorgang nicht starten kann, wird die Installation automatisch stündlich wiederholt. Der Server versucht bis zu sieben Tage lang erneut.
Um den Clientinstallationsprozess nachzuverfolgen, installieren Sie vor der Installation der Clients einen Fallbackstatuspunkt. Wenn Sie einen Fallbackstatuspunkt installieren, wird er clients automatisch zugewiesen, wenn diese mithilfe der Clientpushinstallationsmethode installiert werden. Um den Fortschritt der Clientinstallation nachzuverfolgen, zeigen Sie die Clientbereitstellungs- und Zuweisungsberichte an.
Clientprotokolldateien enthalten ausführlichere Informationen zur Problembehandlung. Für die Protokolldateien ist kein Fallbackstatuspunkt erforderlich. Beispielsweise zeichnet die CCM.log-Datei auf dem Standortserver alle Probleme auf, die auftreten, wenn der Standortserver eine Verbindung mit dem Computer herstellt. Die CCMSetup.log-Datei auf dem Client zeichnet den Installationsvorgang auf.
Wichtig
Clientpush ist nur erfolgreich, wenn alle Voraussetzungen erfüllt sind. Weitere Informationen finden Sie unter Abhängigkeiten von Installationsmethoden.
Konfigurieren des Standorts für die automatische Verwendung von Clientpush für ermittelte Computer
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.
Wählen Sie den Standort aus, für den Sie die automatische standortweite Clientpushinstallation konfigurieren möchten.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Einstellungen die Option Clientinstallationseinstellungen und dann Clientpushinstallation aus.
Wählen Sie im Fenster Eigenschaften der Clientpushinstallation auf der Registerkarte Allgemein die Option Automatische standortweite Clientpushinstallation aktivieren aus.
Ab Version 1806 wird beim Aktualisieren des Standorts eine Kerberos-Überprüfung auf Clientpush aktiviert. Die Option Verbindungsfallback zu NTLM zulassen ist standardmäßig aktiviert, was mit dem vorherigen Verhalten übereinstimmt. Wenn der Standort den Client nicht mithilfe von Kerberos authentifizieren kann, wird die Verbindung mithilfe von NTLM wiederholt. Die empfohlene Konfiguration für eine verbesserte Sicherheit besteht darin, diese Einstellung zu deaktivieren, die Kerberos ohne NTLM-Fallback erfordert.
Es wird empfohlen, diese Option in vorhandenen Umgebungen nach Möglichkeit zu deaktivieren, um die Sicherheit zu erhöhen.
Hinweis
Wenn der Configuration Manager-Client mithilfe von Clientpush installiert wird, erstellt der Standortserver eine Remoteverbindung mit dem Client. Ab Version 1806 kann der Standort die gegenseitige Kerberos-Authentifizierung erfordern, indem vor dem Herstellen der Verbindung kein Fallback auf NTLM zugelassen wird. Diese Verbesserung trägt dazu bei, die Kommunikation zwischen dem Server und dem Client zu schützen.
Abhängig von Ihren Sicherheitsrichtlinien kann Ihre Umgebung Kerberos der älteren NTLM-Authentifizierung vorziehen oder erfordern. Weitere Informationen zu den Sicherheitsüberlegungen dieser Authentifizierungsprotokolle finden Sie unter Windows-Sicherheitsrichtlinieneinstellung zum Einschränken von NTLM.
Um dieses Feature verwenden zu können, müssen sich Clients in einer vertrauenswürdigen Active Directory-Gesamtstruktur befinden. Kerberos in Windows basiert auf Active Directory für die gegenseitige Authentifizierung.
Ab Version 2207 ist beim Aktualisieren des Standorts die Option Verbindungsfallback zu NTLM zulassen bei neuen Standortinstallationen standardmäßig deaktiviert. Es wird empfohlen, die Sicherheit zu erhöhen.
Wählen Sie die Systemtypen aus, an die Configuration Manager die Clientsoftware pushen soll. Wählen Sie aus, ob Sie den Client auf Domänencontrollern installieren möchten.
Geben Sie auf der Registerkarte Konten mindestens ein Konto an, das Configuration Manager verwenden soll, wenn eine Verbindung mit dem Zielcomputer hergestellt wird. Wählen Sie das Symbol Erstellen aus, geben Sie Benutzername und Kennwort (maximal 38 Zeichen) ein, bestätigen Sie das Kennwort, und wählen Sie dann OK aus. Geben Sie mindestens ein Clientpushinstallationskonto an. Dieses Konto muss über lokale Administratorrechte auf dem Zielcomputer verfügen, um den Client installieren zu können. Wenn Sie kein Clientpushinstallationskonto angeben, versucht Configuration Manager, das Standortsystemcomputerkonto zu verwenden. Domänenübergreifender Clientpush schlägt fehl, wenn das Standortsystemcomputerkonto verwendet wird.
Hinweis
Um Clientpush von einem sekundären Standort zu verwenden, geben Sie das Konto am sekundären Standort an, das den Clientpush initiiert.
Weitere Informationen zum Clientpushinstallationskonto finden Sie im nächsten Verfahren : Verwenden des Clientpushinstallations-Assistenten.
Geben Sie alle erforderlichen Installationseigenschaften auf der Registerkarte Installationseigenschaften an .
Wenn Sie das Active Directory-Schema für Configuration Manager erweitert haben, veröffentlicht der Standort die angegebenen Clientinstallationseigenschaften in Active Directory Domain Services. Wenn CCMSetup ohne Installationseigenschaften ausgeführt wird, liest es diese Eigenschaften aus Active Directory.
Hinweis
Wenn Sie die Clientpushinstallation an einem sekundären Standort aktivieren, legen Sie die SMSSITECODE-Eigenschaft auf den Configuration Manager-Standortcode des übergeordneten primären Standorts fest. Wenn Sie das Active Directory-Schema für Configuration Manager erweitert haben, legen Sie diese Eigenschaft auf AUTO fest, um automatisch die richtige Standortzuweisung zu finden.
Verwenden des Clientpushinstallations-Assistenten
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.
Wählen Sie den Standort aus, für den Sie die automatische standortweite Clientpushinstallation konfigurieren möchten.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Einstellungen die Option Clientinstallationseinstellungen und dann Clientpushinstallation aus.
Geben Sie alle erforderlichen Installationseigenschaften auf der Registerkarte Installationseigenschaften an .
Wenn Sie das Active Directory-Schema für Configuration Manager erweitert haben, veröffentlicht der Standort die angegebenen Clientinstallationseigenschaften in Active Directory Domain Services. Wenn CCMSetup ohne Installationseigenschaften ausgeführt wird, liest es diese Eigenschaften aus Active Directory.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität.
Wählen Sie im Knoten Geräte einen oder mehrere Computer aus. Oder wählen Sie eine Sammlung von Computern im Knoten Gerätesammlungen aus .
Wählen Sie auf der Registerkarte Start des Menübands eine der folgenden Optionen aus:
Um den Client per Push auf ein oder mehrere Geräte zu übertragen, wählen Sie in der Gruppe Gerät die Option Client installieren aus.
Um den Client per Push an eine Sammlung von Geräten zu übertragen, wählen Sie in der Gruppe Sammlungdie Option Client installieren aus.
Überprüfen Sie im Assistenten zum Installieren von Configuration Manager-Client auf der Seite Vorab die Informationen, und wählen Sie dann Weiter aus.
Wählen Sie auf der Seite Installationsoptionen die entsprechenden Optionen aus.
Überprüfen Sie die Installationseinstellungen, und schließen Sie dann den Assistenten ab.
Hinweis
Verwenden Sie diesen Assistenten, um Clients auch dann zu installieren, wenn der Standort nicht für Clientpush konfiguriert ist.
Softwareupdatebasierte Installation
Bei der softwareupdatebasierten Clientinstallation wird der Client als Softwareupdate auf einem Softwareupdatepunkt veröffentlicht. Verwenden Sie diese Methode für eine erstmalige Installation oder ein Upgrade.
Wenn der Configuration Manager-Client auf einem Computer installiert ist, empfängt der Computer die Clientrichtlinie vom Standort. Diese Richtlinie umfasst den Namen und port des Softwareupdatepunktservers, von dem Softwareupdates abgerufen werden sollen.
Wichtig
Verwenden Sie für softwareupdatebasierte Installation denselben WSUS-Server (Windows Server Update Services) für die Clientinstallation und Softwareupdates. Dieser Server muss der aktive Softwareupdatepunkt an einem primären Standort sein. Weitere Informationen finden Sie unter Installieren eines Softwareupdatepunkts.
Wenn der Configuration Manager-Client nicht auf einem Computer installiert ist, konfigurieren Sie ein Gruppenrichtlinienobjekt, und weisen Sie es zu. Die Gruppenrichtlinie gibt den Servernamen des Softwareupdatepunkts an.
Sie können einer softwareupdatebasierten Clientinstallation keine Befehlszeileneigenschaften hinzufügen. Wenn Sie das Active Directory-Schema für Configuration Manager erweitert haben, fragt die Clientinstallation die Active Directory-Domänendienste automatisch nach den Installationseigenschaften ab.
Wenn Sie das Active Directory-Schema nicht erweitert haben, verwenden Sie gruppenrichtlinien, um Clientinstallationseinstellungen bereitzustellen. Diese Einstellungen werden automatisch auf jede softwareupdatebasierte Clientinstallation angewendet. Weitere Informationen finden Sie im Abschnitt Bereitstellen von Clientinstallationseigenschaften und im Artikel Zuweisen von Clients zu einem Standort.
Gehen Sie wie folgt vor, um Computer ohne Configuration Manager-Client für die Verwendung des Softwareupdatepunkts zu konfigurieren. Es gibt auch ein Verfahren zum Veröffentlichen der Clientsoftware auf dem Softwareupdatepunkt.
Tipp
Wenn sich Computer nach einer vorherigen Softwareinstallation in einem Ausstehenden Neustartzustand befinden, kann eine softwareupdatebasierte Clientinstallation dazu führen, dass der Computer neu gestartet wird.
Konfigurieren eines Gruppenrichtlinienobjekts zum Angeben des Softwareupdatepunkts
Verwenden Sie die Gruppenrichtlinien-Verwaltungskonsole , um ein neues oder vorhandenes Gruppenrichtlinienobjekt zu öffnen.
Erweitern Sie Computerkonfiguration, Administrative Vorlagen und Windows-Komponenten, und wählen Sie dann Windows Update aus.
Öffnen Sie die Eigenschaften der Einstellung Geben Sie den Intranetspeicherort des Microsoft Update-Diensts an, und wählen Sie dann Aktiviert aus.
Festlegen des Intranetupdatediensts für die Erkennung von Updates: Geben Sie den Namen und Port des Softwareupdatepunktservers an.
Wenn Sie das Configuration Manager-Standortsystem für die Verwendung eines vollqualifizierten Domänennamens (FQDN) konfiguriert haben, verwenden Sie dieses Format.
Wenn das Configuration Manager-Standortsystem nicht für die Verwendung eines FQDN konfiguriert ist, verwenden Sie ein Kurznamenformat.
Tipp
Informationen zum Ermitteln der Portnummer finden Sie unter Ermitteln der von WSUS verwendeten Porteinstellungen.
Beispiel im FQDN-Format:
http://server1.contoso.com:8530
Festlegen des Intranetstatistikservers: Diese Einstellung wird in der Regel mit demselben Servernamen konfiguriert.
Weisen Sie das Gruppenrichtlinienobjekt den Computern zu, auf denen Sie den Client installieren und Softwareupdates erhalten möchten.
Veröffentlichen des Configuration Manager-Clients am Softwareupdatepunkt
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Standortkonfiguration, und wählen Sie den Knoten Standorte aus.
Wählen Sie den Standort aus, für den Sie die softwareupdatebasierte Clientinstallation konfigurieren möchten.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Einstellungen die Option Clientinstallationseinstellungen und dann Software Update-Based Clientinstallation aus.
Wählen Sie Softwareupdatebasierte Clientinstallation aktivieren aus.
Wenn die Clientversion des Standorts aktueller ist als die Version auf dem Softwareupdatepunkt, wird das Dialogfeld Spätere Version des Clientpakets erkannt geöffnet. Wählen Sie Ja aus, um die neueste Version zu veröffentlichen.
Hinweis
Wenn Sie die Clientsoftware noch nicht auf dem Softwareupdatepunkt veröffentlicht haben, ist dieses Dialogfeld leer.
Das Softwareupdate für den Configuration Manager-Client wird nicht automatisch aktualisiert, wenn eine neue Version vorhanden ist. Wenn Sie den Standort aktualisieren, wiederholen Sie dieses Verfahren, um den Client zu aktualisieren.
Gruppenrichtlinieninstallation
Verwenden Sie gruppenrichtlinien in Active Directory Domain Services, um den Configuration Manager-Client zu veröffentlichen oder zuzuweisen. Der Client wird installiert, wenn der Computer gestartet wird. Wenn Sie Gruppenrichtlinien verwenden, wird der Client in der Systemsteuerung unter Software angezeigt. Der Benutzer kann es von dort aus installieren.
Verwenden Sie das Windows Installer-Paket CCMSetup.msi für gruppenrichtlinienbasierte Installationen. Diese Datei befindet sich im <ConfigMgr installation directory>\bin\i386
Ordner auf dem Standortserver. Sie können dieser Datei keine Eigenschaften hinzufügen, um das Installationsverhalten zu ändern.
Wichtig
Sie müssen über Administratorberechtigungen verfügen, um auf die Clientinstallationsdateien zugreifen zu können.
Wenn Sie das Active Directory-Schema für Configuration Manager erweitert haben und die Domäne auf der Registerkarte Veröffentlichung des Dialogfelds Standorteigenschaften ausgewählt haben, durchsuchen Clientcomputer automatisch Active Directory Domain Services nach Installationseigenschaften. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften, die in Active Directory Domain Services veröffentlicht werden.
Wenn Sie das Active Directory-Schema nicht erweitert haben, finden Sie im Abschnitt bereitstellen von Clientinstallationseigenschaften Informationen zum Speichern von Installationseigenschaften in der Windows-Registrierung von Computern. Der Client verwendet diese Installationseigenschaften bei der Installation.
Weitere Informationen finden Sie unter Verwenden von Gruppenrichtlinien zum Remoteinstallieren von Software.
Manuelle Installation
Installieren Sie die Clientsoftware mithilfe von CCMSetup.exe manuell auf Computern. Sie finden dieses Programm und seine unterstützenden Dateien im Ordner Client im Configuration Manager-Installationsordner auf dem Standortserver. Der Standort gibt diesen Ordner für das Netzwerk wie folgt weiter:
\\<site server name>\SMS_<site code>\Client\
<site server name>
ist der Name des primären Standortservers.
<site code>
ist der primäre Standortcode, dem der Client zugewiesen ist. Um CCMSetup.exe über die Befehlszeile auf dem Client auszuführen, stellen Sie eine Verbindung mit diesem Netzwerkspeicherort her, und führen Sie dann den Befehl aus.
Wichtig
Sie müssen über Administratorberechtigungen verfügen, um auf die Clientinstallationsdateien zugreifen zu können.
CCMSetup.exe kopiert alle erforderlichen Voraussetzungen auf den Clientcomputer und ruft das Windows Installer-Paket (Client.msi) auf, um den Client zu installieren. Sie können Client.msi nicht direkt ausführen.
Um das Verhalten der Clientinstallation zu ändern, geben Sie Befehlszeilenoptionen für CCMSetup.exe und Client.msi an. Stellen Sie sicher, dass Sie CCMSetup-Parameter angeben, die mit /
beginnen, bevor Sie Client.msi Eigenschaften angeben. Zum Beispiel:
CCMSetup.exe /mp:SMSMP01 /logon SMSSITECODE=AUTO FSP=SMSFP01
In diesem Beispiel wird der Client mit den folgenden Optionen installiert:
Option | Beschreibung |
---|---|
/mp:SMSMP01 |
Dieser CCMSetup-Parameter gibt den Verwaltungspunkt SMSMP01 zum Herunterladen der erforderlichen Clientinstallationsdateien an. |
/logon |
Dieser CCMSetup-Parameter gibt an, dass die Installation beendet werden soll, wenn auf dem Computer ein vorhandener Configuration Manager-Client gefunden wird. |
SMSSITECODE=AUTO |
Diese Client.msi Eigenschaft gibt an, dass der Client versucht, den zu verwendenden Configuration Manager-Standortcode zu suchen, z. B. mithilfe von Active Directory Domain Services. |
FSP=SMSFP01 |
Diese Client.msi-Eigenschaft gibt an, dass der Fallbackstatuspunkt namens SMSFP01 zum Empfangen von Zustandsmeldungen verwendet wird, die vom Clientcomputer gesendet werden. |
Weitere Informationen finden Sie unter Informationen zu Clientinstallationsparametern und -eigenschaften.
Tipp
Informationen zum Verfahren zum Installieren des Configuration Manager-Clients auf einem modernen Windows-Gerät mithilfe der Microsoft Entra-Identität finden Sie unter Installieren und Zuweisen von Configuration Manager-Clients mit Microsoft Entra ID für die Authentifizierung. Dieses Verfahren gilt für Clients in einem Intranet oder im Internet.
Beispiele für manuelle Installation
Diese Beispiele gelten für in Active Directory eingebundene Clients in einem Intranet. Sie verwenden die folgenden Werte:
- MPSERVER: Server, der den Verwaltungspunkt hosten
- FSPSERVER: Server, auf dem der Fallbackstatuspunkt gehostet wird
- ABC: Standortcode
- contoso.com: Domänenname
Angenommen, Sie haben alle Standortsystemserver mit einem Intranet-FQDN konfiguriert und die Standortinformationen in Active Directory veröffentlicht.
Beginnen Sie mit den folgenden Schritten auf dem Clientcomputer:
- Melden Sie sich als lokaler Administrator an.
- Ordnen Sie Laufwerk Z zu zu
\\MPSERVER\SMS_ABC\Client
. - Schalten Sie die Eingabeaufforderung auf Laufwerk Z um.
Führen Sie dann einen der folgenden Befehle aus:
Manuelles Beispiel 1
CCMSetup.exe
Mit diesem Befehl wird der Client ohne zusätzliche Parameter oder Eigenschaften installiert. Der Client wird automatisch mit den Clientinstallationseigenschaften konfiguriert, die in Active Directory Domain Services veröffentlicht werden, einschließlich der folgenden Einstellungen:
- Standortcode: Diese Einstellung erfordert, dass der Netzwerkstandort des Clients in einer Begrenzungsgruppe enthalten ist, die Sie für die Clientzuweisung konfiguriert haben.
- Verwaltungspunkt.
- Fallbackstatuspunkt.
- Kommunikation nur über HTTPS.
Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften, die in Active Directory Domain Services veröffentlicht werden.
Manuelles Beispiel 2
CCMSetup.exe /MP:mpserver.contoso.com /UsePKICert SMSSITECODE=ABC CCMHOSTNAME=server05.contoso.com CCMFIRSTCERT=1 FSP=server06.constoso.com
Dieser Befehl überschreibt die automatische Konfiguration, die Active Directory Domain Services bereitstellt. Es ist nicht erforderlich, dass Sie den Netzwerkspeicherort des Clients in eine Begrenzungsgruppe einschließen, die für die Clientzuweisung konfiguriert ist. Stattdessen gibt die Installation die folgenden Einstellungen an:
- Standortcode
- Intranetverwaltungspunkt
- Internetbasierter Verwaltungspunkt
- Fallbackstatuspunkt, der Verbindungen aus dem Internet akzeptiert
- Verwenden eines PKI-Zertifikats (Public Key Infrastructure) (sofern verfügbar) mit der längsten Gültigkeitsdauer
Installation des Anmeldeskripts
Configuration Manager unterstützt die Verwendung von Anmeldeskripts zum Installieren der Configuration Manager-Clientsoftware. Verwenden Sie die Programmdatei CCMSetup.exe in einem Anmeldeskript, um die Clientinstallation auszulösen.
Bei der Installation des Anmeldeskripts werden dieselben Methoden wie bei der manuellen Clientinstallation verwendet. Geben Sie den /logon
Installationsparameter für CCMSsetup.exe an. Wenn bereits eine Version des Clients auf dem Computer vorhanden ist, verhindert dieser Parameter die Installation des Clients. Dieses Verhalten verhindert die erneute Installation des Clients bei jeder Ausführung des Anmeldeskripts.
Wenn Sie keine Installationsquelle mithilfe des /Source
Parameters angeben und kein Verwaltungspunkt, von dem die Installation abgerufen werden soll, durch den /MP
Parameter angegeben wird, sucht CCMSetup.exe den Verwaltungspunkt, indem Active Directory Domain Services durchsucht wird. Dieses Verhalten tritt nur auf, wenn Sie das Schema für Configuration Manager erweitert und den Standort in Active Directory Domain Services veröffentlicht haben. Alternativ kann der Client DNS verwenden, um einen Verwaltungspunkt zu suchen.
Paket- und Programminstallation
Verwenden Sie Configuration Manager, um ein Paket und programm zu erstellen und bereitzustellen, mit dem die Clientsoftware für ausgewählte Geräte aktualisiert wird. Configuration Manager stellt eine Paketdefinitionsdatei bereit, die die Paketeigenschaften mit normalerweise verwendeten Werten auffüllt. Passen Sie das Verhalten der Clientinstallation an, indem Sie zusätzliche Befehlszeilenparameter und -eigenschaften angeben.
Hinweis
Sie können configuration Manager 2007-Clients mit dieser Methode nicht aktualisieren. Verwenden Sie stattdessen das automatische Clientupgrade, das automatisch ein Paket erstellt und bereitstellt, das die neueste Version des Clients enthält. Weitere Informationen finden Sie unter Upgraden von Clients.
Weitere Informationen zum Migrieren von älteren Versionen des Configuration Manager-Clients finden Sie unter Planen einer Clientmigrationsstrategie.
Erstellen eines Pakets und Programms für die Clientsoftware
Gehen Sie wie folgt vor, um ein Configuration Manager-Paket und -Programm zu erstellen, das Sie auf Configuration Manager-Clientcomputern bereitstellen können, um die Clientsoftware zu aktualisieren.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Softwarebibliothek , erweitern Sie Anwendungsverwaltung, und wählen Sie den Knoten Pakete aus.
Wählen Sie auf der Registerkarte Start des Menübands in der Gruppe Erstellen die Option Paket aus Definition erstellen aus.
Wählen Sie auf der Seite Paketdefinition des Assistenten in der Liste Herausgeber die Option Microsoft aus, und wählen Sie in der Liste Paketdefinition die Option Configuration Manager-Clientupgrade aus.
Wählen Sie auf der Seite Quelldateiendie Option Dateien immer aus einem Quellordner abrufen aus.
Wählen Sie auf der Seite Quellordnerdie Option Netzwerkpfad (UNC-Name) aus. Geben Sie dann den Netzwerkpfad des Servers und der Freigabe ein, die die Clientinstallationsdateien enthält.
Hinweis
Der Computer, auf dem die Configuration Manager-Bereitstellung ausgeführt wird, muss Zugriff auf den angegebenen Netzwerkordner haben. Andernfalls schlägt die Clientinstallation fehl.
Um die Eigenschaften der Clientinstallation zu ändern, ändern Sie die CCMSetup.exe Befehlszeile auf der Registerkarte Allgemein des Dialogfelds Eigenschaften des Configuration Manager-Agents für automatisches Upgrade . Die Standardinstallationseigenschaften sind
/noservice SMSSITECODE=AUTO
.Verteilen Sie das Paket an alle Verteilungspunkte, auf denen Sie das Clientupgradepaket hosten möchten. Stellen Sie das Paket dann in Gerätesammlungen bereit, die Clients enthalten, die Sie aktualisieren möchten.
Mdm-verwaltete Intune-Windows-Geräte
Stellen Sie den Configuration Manager-Client auf Geräten bereit, die bei Microsoft Intune registriert sind.
Dieses Verfahren gilt für einen herkömmlichen Client, der mit einem Intranet verbunden ist. Es werden herkömmliche Clientauthentifizierungsmethoden verwendet. Um sicherzustellen, dass das Gerät nach der Installation des Clients in einem verwalteten Zustand verbleibt, muss es sich im Intranet und innerhalb einer Configuration Manager-Standortgrenze befinden.
Informationen zum Verfahren zum Installieren des Configuration Manager-Clients auf einem Windows-Gerät mithilfe der Microsoft Entra-Identität finden Sie unter Installieren und Zuweisen von Configuration Manager-Clients mit Microsoft Entra ID für die Authentifizierung.
Nach der Installation des Configuration Manager-Clients wird die Registrierung von Geräten bei Intune nicht aufgehoben. Sie können den Configuration Manager-Client und die MDM-Registrierung gleichzeitig verwenden. Weitere Informationen finden Sie unter Übersicht über die Co-Verwaltung.
Hinweis
Sie können andere Clientinstallationsmethoden verwenden, um den Configuration Manager-Client auf einem von Intune verwalteten Gerät zu installieren. Wenn sich beispielsweise ein mit Intune verwaltetes Gerät im Intranet befindet und der Active Directory-Domäne beigetreten ist, können Sie den Configuration Manager-Client mithilfe einer Gruppenrichtlinie installieren.
Installieren des Configuration Manager-Clients mithilfe von Intune
Fügen Sie in Intune eine branchenspezifische Windows-App hinzu , die die Configuration Manager-Clientinstallationsdatei CCMSetup.msienthält. Sie finden diese Datei im
\bin\i386
Ordner des Configuration Manager-Installationsverzeichnisses auf dem Standortserver.Geben Sie im Intune-Softwareherausgeber Befehlszeilenparameter ein. Verwenden Sie beispielsweise diesen Befehl mit einem herkömmlichen Client in einem Intranet:
CCMSETUPCMD="/MP:<FQDN of management point> SMSMP=<FQDN of management point> SMSSITECODE=<your site code> DNSSUFFIX=<DNS suffix of management point>"
Hinweis
Ein Beispiel für einen Befehl zur Verwendung mit einem Windows-Client mithilfe der Microsoft Entra-Authentifizierung finden Sie unter Vorbereiten internetbasierter Geräte für die Co-Verwaltung.
Weisen Sie die App einer Gruppe der registrierten Windows-Computer zu.
Installation des Betriebssystemimages
Installieren Sie den Configuration Manager-Client auf einem Referenzcomputer, den Sie zum Erstellen eines Betriebssystemimages verwenden.
Wichtig
Wenn Sie die Configuration Manager-Tasksequenz zum Bereitstellen eines Betriebssystemimages verwenden, wird der Configuration Manager-Client durch den Schritt ConfigMgr-Client vorbereiten vollständig entfernt.
Vorbereiten des Clientcomputers für die Imageerstellung
Installieren Sie die Configuration Manager-Clientsoftware manuell auf dem Referenzcomputer. Weitere Informationen finden Sie unter Manuelles Installieren von Configuration Manager-Clients.
Wichtig
Geben Sie keinen Configuration Manager-Standortcode für den Client in den CCMSetup.exe Befehlszeileneigenschaften an.
Geben Sie an einer Eingabeaufforderung ein
net stop ccmexec
, um den SMS-Agent-Hostdienst (CcmExec.exe) auf dem Referenzcomputer zu beenden.Löschen Sie die SMSCFG.INI-Datei aus dem Windows-Ordner auf dem Referenzcomputer.
Entfernen Sie die Zertifikate aus dem SMS-Zertifikatspeicher des lokalen Computers.
Entfernen Sie alle anderen gültigen Clientauthentifizierungszertifikate, die im lokalen Computerspeicher auf dem Referenzcomputer gespeichert sind. Wenn Sie beispielsweise PKI-Zertifikate verwenden, entfernen Sie vor dem Image des Computers die Zertifikate im persönlichen Speicher für Computer und Benutzer.
Wenn die Clients in einer anderen Configuration Manager-Hierarchie als die Hierarchie des Referenzcomputers installiert sind, entfernen Sie den vertrauenswürdigen Stammschlüssel vom Referenzcomputer.
Hinweis
Wenn Clients active Directory Domain Services nicht abfragen können, um einen Verwaltungspunkt zu finden, verwenden sie den vertrauenswürdigen Stammschlüssel, um vertrauenswürdige Verwaltungspunkte zu ermitteln. Wenn Sie alle Clients mit Image in derselben Hierarchie wie auf dem Mastercomputer bereitstellen, lassen Sie den vertrauenswürdigen Stammschlüssel unverändert.
Wenn Sie die Clients in verschiedenen Hierarchien bereitstellen, entfernen Sie den vertrauenswürdigen Stammschlüssel. Stellen Sie diese Clients außerdem mit dem neuen vertrauenswürdigen Stammschlüssel zur Verfügung. Weitere Informationen finden Sie unter Planen des vertrauenswürdigen Stammschlüssels.
Verwenden Sie Ihre Imaging-Software, um ein Bild des Referenzcomputers zu erfassen.
Stellen Sie das Image auf den Zielcomputern bereit.
Arbeitsgruppencomputer
Configuration Manager unterstützt die Clientinstallation für Computer in Arbeitsgruppen. Installieren Sie den Client auf Arbeitsgruppencomputern mithilfe der unter Manuelles Installieren von Configuration Manager-Clients angegebenen Methode.
Voraussetzungen
Installieren Sie den Client manuell auf jedem Arbeitsgruppencomputer. Während der Installation muss der interaktive Benutzer über lokale Administratorrechte verfügen.
Um auf Ressourcen in der Configuration Manager-Standortserverdomäne zuzugreifen, konfigurieren Sie das Netzwerkzugriffskonto für den Standort. Geben Sie dieses Konto in der Softwareverteilungsstandortkomponente an. Weitere Informationen finden Sie unter Standortkomponenten.
Begrenzungen
Arbeitsgruppenclients können keine Verwaltungspunkte aus Active Directory Domain Services finden. Stattdessen verwenden sie DNS oder einen anderen Verwaltungspunkt.
Globales Roaming wird nicht unterstützt. Arbeitsgruppenclients können keine Standortinformationen von Active Directory Domain Services abfragen.
Active Directory-Ermittlungsmethoden können keine Computer in Arbeitsgruppen ermitteln.
Sie können keine Software für Benutzer von Arbeitsgruppencomputern bereitstellen.
Sie können die Clientpushinstallationsmethode nicht verwenden, um den Client auf Arbeitsgruppencomputern zu installieren.
Arbeitsgruppenclients können Kerberos nicht für die Authentifizierung verwenden und erfordern möglicherweise eine manuelle Genehmigung.
Sie können einen Arbeitsgruppenclient nicht als Verteilungspunkt konfigurieren. Configuration Manager erfordert, dass Verteilungspunktcomputer Mitglieder einer Domäne sind.
Installieren des Clients auf Arbeitsgruppencomputern
Überprüfen Sie die Voraussetzungen, und befolgen Sie dann die Anweisungen im Abschnitt Manuelles Installieren von Configuration Manager-Clients.
Arbeitsgruppenbeispiel 1
In diesem Beispiel werden die folgenden Aktionen ausgeführt:
- Installiert den Client für die Intranetclientverwaltung.
- Gibt den Standortcode an
- Gibt das DNS-Suffix zum Suchen eines Verwaltungspunkts an.
CCMSetup.exe SMSSITECODE=ABC DNSSUFFIX=constoso.com
Arbeitsgruppenbeispiel 2
In diesem Beispiel muss sich der Client an einem Netzwerkspeicherort befinden, der in einer Begrenzungsgruppe konfiguriert ist. Wenn diese Anforderung nicht erfüllt ist, funktioniert die automatische Standortzuweisung nicht. Der Befehl enthält einen Fallbackstatuspunkt auf dem Server FSPSERVER. Diese Eigenschaft hilft dabei, die Clientbereitstellung nachzuverfolgen und Probleme mit der Clientkommunikation zu identifizieren.
CCMSetup.exe FSP=fspserver.constoso.com
Internetbasierte Clientverwaltung
Hinweis
Dieser Abschnitt gilt nicht für Clients, die ein Cloudverwaltungsgateway verwenden. Informationen zum Installieren internetbasierter Clients mithilfe eines Cloudverwaltungsgateways finden Sie unter Installieren und Zuweisen von Configuration Manager-Clients mit Microsoft Entra ID für die Authentifizierung.
Wenn der Configuration Manager-Standort die internetbasierte Clientverwaltung für Clients unterstützt, die sich manchmal in einem Intranet und manchmal im Internet befinden, haben Sie beim Installieren von Clients im Intranet zwei Optionen:
Schließen Sie die eigenschaft Client.msi
CCMHOSTNAME=<internet FQDN of the internet-based management point>
ein, wenn Sie den Client installieren, z. B. durch manuelle Installation oder Clientpush. Wenn Sie diese Methode verwenden, weisen Sie den Client direkt dem Standort zu. Sie können die automatische Standortzuweisung nicht verwenden. Weitere Informationen finden Sie im Abschnitt Manuelles Installieren von Configuration Manager-Clients , der ein Beispiel für diese Konfigurationsmethode enthält.Installieren Sie den Client für die Intranetclientverwaltung, und weisen Sie dem Client dann einen internetbasierten Clientverwaltungspunkt zu. Ändern Sie den Verwaltungspunkt mithilfe der Clienteigenschaften auf der Seite Configuration Manager in der Systemsteuerung oder mithilfe eines Skripts. Wenn Sie diese Methode verwenden, können Sie die automatische Clientzuweisung verwenden. Weitere Informationen finden Sie im Abschnitt Konfigurieren von Clients für die internetbasierte Clientverwaltung nach der Clientinstallation .
Um Clients im Internet zu installieren, wählen Sie eine der folgenden unterstützten Methoden aus:
Stellen Sie einen Mechanismus bereit, mit dem diese Clients vorübergehend über ein VPN eine Verbindung mit dem Intranet herstellen können. Installieren Sie dann den Client mithilfe einer geeigneten Clientinstallationsmethode.
Verwenden Sie eine installationsmethode, die unabhängig von Configuration Manager ist. Packen Sie beispielsweise die Quelldateien der Clientinstallation auf Wechselmedien, und senden Sie die Medien an Benutzer. Die Quelldateien für die
<installation path>\Client
Clientinstallation befinden sich im Ordner auf dem Configuration Manager-Standortserver. Fügen Sie auf den Medien ein Skript ein, das manuell über den Clientordner kopiert werden soll. Installieren Sie in diesem Ordner den Client mithilfe von CCMSetup.exe und allen entsprechenden CCMSetup-Befehlszeileneigenschaften.
Hinweis
Configuration Manager unterstützt die Installation eines Clients nicht direkt über den internetbasierten Verwaltungspunkt oder den internetbasierten Softwareupdatepunkt.
Clients, die über das Internet verwaltet werden, müssen mit internetbasierten Standortsystemen kommunizieren. Stellen Sie sicher, dass diese Clients auch über PKI-Zertifikate (Public Key Infrastructure) verfügen, bevor Sie den Client installieren. Installieren Sie diese Zertifikate unabhängig von Configuration Manager. Weitere Informationen finden Sie unter PKI-Zertifikatanforderungen.
Installieren von Clients im Internet durch Angeben von CCMSetup-Befehlszeileneigenschaften
Befolgen Sie die Anweisungen im Abschnitt Manuelles Installieren von Configuration Manager-Clients. Schließen Sie immer die folgenden Optionen ein:
CCMSetup-Befehlszeilenparameter
/source:<local path of the copied Client folder>
CCMSetup-Befehlszeilenparameter
/UsePKICert
Client.msi-Eigenschaft
CCMHOSTNAME=<FQDN of internet-based management point>
Client.msi-Eigenschaft
SMSSIGNCERT=<local path of exported site server signing certificate>
Client.msi-Eigenschaft
SMSSITECODE=<site code of internet-based management point>
Hinweis
Wenn der Standort über mehr als einen internetbasierten Verwaltungspunkt verfügt, spielt es keine Rolle, welchen Sie für die
CCMHOSTNAME
Eigenschaft angeben. Wenn ein Configuration Manager-Client eine Verbindung mit dem angegebenen internetbasierten Verwaltungspunkt herstellt, sendet er dem Client eine Liste der verfügbaren internetbasierten Verwaltungspunkte am Standort. Der Client wählt nach dem Zufallsprinzip einen aus der Liste aus.Wenn sie nicht möchten, dass der Client die Zertifikatsperrliste (Certificate Revocation List, CRL) überprüft, geben Sie den Befehlszeilenparameter
/NoCRLCheck
CCMSetup an.Wenn Sie einen internetbasierten Fallbackstatuspunkt verwenden, geben Sie die Client.msi Eigenschaft
FSP=<internet FQDN of the internet-based fallback status point>
an.Wenn Sie den Client für die reine Internetclientverwaltung installieren, geben Sie die Client.msi Eigenschaft
CCMALWAYSINF=1
an.Bestimmen Sie, ob Sie zusätzliche CCMSetup-Befehlszeilenparameter angeben müssen. Wenn der Client beispielsweise über mehr als ein gültiges PKI-Zertifikat verfügt, müssen Sie möglicherweise ein Zertifikatauswahlkriterium angeben. Eine Liste der verfügbaren Eigenschaften finden Sie unter Informationen zu Clientinstallationsparametern und -eigenschaften.
Internetbasiertes Beispiel
CCMSetup.exe /source: D:\Clients /UsePKICert CCMHOSTNAME=server1.contoso.com SMSSIGNCERT=siteserver.cer SMSSITECODE=ABC FSP=server2.contoso.com CCMALWAYSINF=1 CCMFIRSTCERT=1
In diesem Beispiel wird der Client mit den folgenden Verhaltensweisen installiert:
- Verwenden Sie Quelldateien aus einem Ordner auf Laufwerk D.
- Verwenden Sie ein PKI-Clientzertifikat.
- Wählen Sie das Zertifikat mit der längsten Gültigkeitsdauer aus.
- Reine Internetclientverwaltung.
- Weisen Sie dem Client die Verwendung des internetbasierten Verwaltungspunkts namens SERVER1 zu.
- Weisen Sie den internetbasierten Fallbackstatuspunkt in der domäne contoso.com zu.
- Weisen Sie den Client dem ABC-Standort zu.
So konfigurieren Sie Clients für die internetbasierte Clientverwaltung nach der Clientinstallation
Um den internetbasierten Verwaltungspunkt nach der Installation des Clients zuzuweisen, verwenden Sie eines dieser Verfahren. Die erste erfordert eine manuelle Konfiguration und eignet sich für einige wenige Clients. Die zweite eignet sich besser für die Konfiguration vieler Clients.
Konfigurieren von Clients für die internetbasierte Clientverwaltung nach der Clientinstallation über die Configuration Manager-Systemsteuerung
Öffnen Sie die Configuration Manager-Systemsteuerung auf dem Client.
Geben Sie auf der Registerkarte Netzwerk den vollqualifizierten Domänennamen (FQDN) des internetbasierten Verwaltungspunkts als Internet-FQDN ein.
Hinweis
Die Registerkarte Netzwerk ist nur verfügbar, wenn der Client über ein Client-PKI-Zertifikat verfügt.
Wenn der Client über einen Proxyserver auf das Internet zugreift, geben Sie die Proxyservereinstellungen ein.
Konfigurieren von Clients für die internetbasierte Clientverwaltung nach der Clientinstallation mithilfe eines Skripts
PowerShell
Öffnen Sie einen PowerShell-Inline-Editor, z. B. PowerShell ISE oder Visual Studio Code. Sie können auch einen Text-Editor verwenden, z. B. Editor.
Kopieren Sie die folgenden Codezeilen, und fügen Sie sie in den Editor ein. Ersetzen Sie durch
'mp.contoso.com'
den Internet-FQDN Ihres internetbasierten Verwaltungspunkts.$newInternetBasedManagementPointFQDN = 'mp.contoso.com' $client = New-Object -ComObject Microsoft.SMS.Client $client.SetInternetManagementPointFQDN($newInternetBasedManagementPointFQDN) Restart-Service CcmExec $client.GetInternetManagementPointFQDN()
Hinweis
Die letzte Zeile dient nur dazu, den neuen Wert des Internetverwaltungspunkts zu überprüfen.
Um einen angegebenen internetbasierten Verwaltungspunkt zu löschen, entfernen Sie den Server-FQDN-Wert innerhalb der Anführungszeichen. Die Zeile wird zu
$newInternetBasedManagementPointFQDN = ''
.Speichern Sie die Datei mit der Erweiterung .ps1.
Führen Sie das Skript mit erhöhten Rechten auf Clientcomputern aus. Verwenden Sie eine der folgenden Methoden:
Stellen Sie die Datei mithilfe eines Pakets und eines Programms auf vorhandenen Configuration Manager-Clients bereit.
Führen Sie die Datei lokal auf vorhandenen Configuration Manager-Clients aus, indem Sie im Datei-Explorer auf die Skriptdatei doppelklicken.
Möglicherweise müssen Sie den Client neu starten, damit die Änderungen wirksam werden.
Bereitstellen von Clientinstallationseigenschaften
Bereitstellen von Clientinstallationseigenschaften für Gruppenrichtlinien- und softwareupdatebasierte Clientinstallationen. Verwenden Sie Windows-Gruppenrichtlinien, um Computer mit Configuration Manager-Clientinstallationseigenschaften bereitzustellen. Diese Eigenschaften werden in der Registrierung des Computers gespeichert. Der Client liest sie bei der Installation. Dieses Verfahren ist normalerweise nicht erforderlich, kann aber für einige Clientinstallationsszenarien erforderlich sein, z. B.:
Sie verwenden die Gruppenrichtlinieneinstellungen oder softwareupdatebasierte Clientinstallationsmethoden. Sie haben das Active Directory-Schema für Configuration Manager nicht erweitert.
Sie möchten clientinstallationseigenschaften auf bestimmten Computern überschreiben.
Hinweis
Wenn installationseigenschaften in der CCMSetup.exe Befehlszeile bereitgestellt werden, werden auf Computern bereitgestellte Installationseigenschaften nicht verwendet.
Auf dem Configuration Manager-Installationsmedium wird eine administrative Gruppenrichtlinienvorlage mit dem Namen ConfigMgrInstallation.adm
bereitgestellt. Verwenden Sie diese Vorlage, um Clientcomputer mit Installationseigenschaften bereitzustellen.
Tipp
Standardmäßig unterstützt keine Zeichenfolgen, ConfigMgrInstallation.adm
die größer als 255 Zeichen sind. Diese Konfiguration kann sich auf das Hinzufügen mehrerer Parameter oder Parameter mit langen Werten auswirken, z. B. CCMCERTISSUERS.
Gehen Sie wie folgt vor, um dieses Problem zu umgehen:
- Bearbeiten
ConfigMgrInstallation.adm
sie im Editor. - Ändern Sie für die -Eigenschaft
VALUENAME SetupParameters
denMAXLEN
Wert in eine größere ganze Zahl. Beispiel:MAXLEN 511
.
Konfigurieren und Zuweisen von Clientinstallationseigenschaften mithilfe eines Gruppenrichtlinienobjekts
Importieren Sie die administrative Vorlage ConfigMgrInstallation.adm in ein neues oder vorhandenes Gruppenrichtlinienobjekt (GPO), indem Sie einen Editor wie den Windows-Gruppenrichtlinienobjekt-Editor verwenden. Sie finden diese Datei im
TOOLS\ConfigMgrADMTemplates
Ordner auf dem Configuration Manager-Installationsmedium.Öffnen Sie die Eigenschaften der importierten Einstellung Clientbereitstellungseinstellungen konfigurieren.
Wählen Sie Aktiviert aus.
Geben Sie im Feld CCMSetup die erforderlichen CCMSetup-Befehlszeileneigenschaften ein. Eine Liste aller CCMSetup-Befehlszeileneigenschaften und Beispiele für deren Verwendung finden Sie unter Informationen zu Clientinstallationsparametern und -eigenschaften.
Weisen Sie das Gruppenrichtlinienobjekt den Computern zu, die Sie mit Configuration Manager-Clientinstallationseigenschaften bereitstellen möchten.