Freigeben über


Bereitstellen einer Aufgabensequenz über das Internet

Gilt für: Configuration Manager (Current Branch)

Configuration Manager unterstützt verschiedene Methoden zum Bereitstellen einer Tasksequenz für Remoteclients über das Internet. Sie können ein Windows-Upgrade bereitstellen, startbare Medien verwenden oder es im Softwarecenter starten. In diesem Artikel werden die spezifischen Konfigurationen für diese Szenarien behandelt. Verwenden Sie zunächst Bereitstellen einer Tasksequenz , um die grundlegende Bereitstellung zu erstellen. Verwenden Sie dann die Konfigurationen in diesem Artikel, um sie für internetbasierte Clients anzupassen.

Warnung

Sie können das Verhalten für Tasksequenzbereitstellungen mit hohem Risiko verwalten. Eine Bereitstellung mit hohem Risiko ist eine Bereitstellung, die automatisch installiert wird und das Potenzial hat, unerwünschte Ergebnisse zu verursachen. Beispielsweise wird eine Tasksequenz mit dem Zweck Erforderlich , die ein Betriebssystem bereitstellt, als Bereitstellung mit hohem Risiko betrachtet. Weitere Informationen finden Sie unter Einstellungen zum Verwalten von Bereitstellungen mit hohem Risiko.

Ausführen der Tasksequenz im Internet zulassen

Auf der Seite Benutzerfreundlichkeit des Assistenten zum Bereitstellen von Software können Sie die Bereitstellung so konfigurieren, dass Tasksequenz für Client im Internet ausgeführt werden kann. Diese Einstellung ist für alle internetbasierten Clientszenarien erforderlich. In den folgenden Abschnitten werden die wichtigsten Szenarien behandelt, wenn Sie diese Einstellung aktivieren.

Hinweis

Die erweiterte Tasksequenzeinstellung auf Ein anderes Programm zuerst ausführen gilt nicht für Tasksequenzen, die auf Clients ausgeführt werden, die über ein Cloud management Gateway (CMG) kommunizieren. Diese Option verwendet den UNC-Netzwerkpfad des Pakets, auf den nicht über CMG zugegriffen werden kann.

Direktes Windows-Upgrade

Verwenden Sie diese Einstellung für Bereitstellungen einer Windows-Tasksequenz für direktes Upgrade auf internetbasierte Clients über das Cloudverwaltungsgateway (CLOUD Management Gateway, CMG). Alle unterstützten Versionen von Configuration Manager unterstützen dieses Szenario. Weitere Informationen finden Sie unter Bereitstellen eines direkten Windows-Upgrades über CMG.

Installieren einer Windows-Imageerstellungs-Tasksequenz aus dem Softwarecenter

Ab Version 2006 können Sie eine Tasksequenz mit einem Startimage auf einem Gerät bereitstellen, das über das CMG kommuniziert. Der Benutzer muss die Tasksequenz über das Softwarecenter starten.

Hinweis

Wenn ein in Microsoft Entra eingebundener Client eine Tasksequenz für die Betriebssystembereitstellung ausführt, wird der Client im neuen Betriebssystem nicht automatisch microsoft Entra ID beitreten. Auch wenn er nicht in Microsoft Entra eingebunden ist, wird der Client weiterhin verwaltet.

Wenn Sie eine Tasksequenz für die Betriebssystembereitstellung auf einem internetbasierten Client ausführen, der entweder in Microsoft Entra eingebunden ist oder die tokenbasierte Authentifizierung verwendet, müssen Sie die CCMHOSTNAME-Eigenschaft im Schritt Windows und ConfigMgr einrichten angeben.

Verwenden von startbaren Medien zum Installieren einer Windows-Imageerstellungstasksequenz

Ab Version 2010 können Sie startbare Medien verwenden, um internetbasierte Geräte, die eine Verbindung über ein CMG herstellen, neu zu erstellen. Dieses Szenario hilft Ihnen, Remotemitarbeiter besser zu unterstützen. Wenn Windows nicht gestartet wird, sodass der Benutzer auf das Softwarecenter zugreifen kann, können Sie ihnen jetzt ein USB-Laufwerk senden, um Windows neu zu installieren. Weitere Informationen finden Sie unter Bereitstellen eines Betriebssystems über CMG mithilfe von startbaren Medien.

In Version 2002 und früheren Versionen werden Vorgänge, die ein Startmedium erfordern, mit dieser Einstellung nicht unterstützt. Lassen Sie die Ausführung einer Tasksequenz im Internet nur für generische Softwareinstallationen oder skriptbasierte Tasksequenzen zu, die Vorgänge im Standardbetriebssystem ausführen.

Hinweis

Starten Sie für alle internetbasierten Tasksequenzszenarien in Version 2002 und früheren Versionen die Tasksequenz über das Softwarecenter. Windows PE, PXE oder Tasksequenzmedien werden nicht unterstützt.

Bereitstellen eines direkten Windows-Upgrades über CMG

Die Tasksequenz für das direkte Windows-Upgrade unterstützt die Bereitstellung auf internetbasierten Clients, die über das Cloudverwaltungsgateway (CLOUD Management Gateway , CMG) verwaltet werden. Diese Möglichkeit ermöglicht Remotebenutzern ein einfacheres Upgrade auf Windows, ohne eine Verbindung mit dem Intranet herstellen zu müssen.

Stellen Sie sicher, dass alle Inhalte, auf die von der Tasksequenz für direkte Upgrades verwiesen wird, an ein inhaltsfähiges CMG verteilt werden. Aktivieren Sie die CMG-Einstellung: CmG kann als Cloudverteilungspunkt fungieren und Inhalte aus Azure Storage bereitstellen. Andernfalls können Geräte die Tasksequenz nicht ausführen.

Wenn Sie eine Upgradetasksequenz bereitstellen, verwenden Sie die folgenden Einstellungen:

  • Lassen Sie die Ausführung der Tasksequenz für den Client im Internet auf der Registerkarte Benutzerfreundlichkeit der Bereitstellung zu.

  • Wählen Sie eine der folgenden Optionen auf der Registerkarte Verteilungspunkte der Bereitstellung aus:

    • Lokales Herunterladen von Inhalten, wenn dies für die ausgeführte Tasksequenz erforderlich ist. Die Tasksequenz-Engine kann Pakete bei Bedarf aus einem inhaltsfähigen CMG herunterladen. Diese Option bietet zusätzliche Flexibilität bei der Bereitstellung von windows-in-situ-Upgrades auf internetbasierten Geräten.

    • Laden Sie alle Inhalte lokal herunter, bevor Sie die Tasksequenz starten. Mit dieser Option lädt der Configuration Manager-Client den Inhalt aus der Cloudquelle herunter, bevor die Tasksequenz gestartet wird.

  • (Optional) Laden Sie inhalte für diese Tasksequenz auf der Registerkarte Allgemein der Bereitstellung vorab herunter. Weitere Informationen finden Sie unter Konfigurieren von Vorabcacheinhalten.

Hinweis

Starten Sie die Tasksequenz im Softwarecenter. Windows PE, PXE oder Tasksequenzmedien werden in diesem Szenario nicht unterstützt.

Unterstützung für startbare Medien für cloudbasierte Inhalte

Ab Version 2010 können startbare Medien cloudbasierte Inhalte herunterladen. Beispielsweise senden Sie einen USB-Schlüssel an einen Benutzer in einem Remotebüro, um ein Reimaging für sein Gerät zu erstellen. Oder ein Büro, das über einen lokalen PXE-Server verfügt, aber Sie möchten, dass Geräte Clouddienste so weit wie möglich priorisieren. Anstatt das WAN weiter zu besteuern, um große Inhalte für die Betriebssystembereitstellung herunterzuladen, können Startmedien und PXE-Bereitstellungen jetzt Inhalte aus cloudbasierten Quellen abrufen. Beispielsweise ein Cloudverwaltungsgateway (CLOUD Management Gateway, CMG), das Sie zum Freigeben von Inhalten aktivieren.

Hinweis

Das Gerät benötigt weiterhin eine Intranetverbindung mit dem Verwaltungspunkt.

Wenn die Tasksequenz ausgeführt wird, lädt sie Inhalte aus den cloudbasierten Quellen herunter. Überprüfen Sie smsts.log auf dem Client.

Voraussetzungen für startbare Medien

  • Aktivieren Sie die folgende Clienteinstellung in der Gruppe Cloud Services : Zugriff auf Cloudverteilungspunkt zulassen. Stellen Sie sicher, dass die Clienteinstellung auf den Zielclients bereitgestellt wird. Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen – Clouddienste.

  • Für die Begrenzungsgruppe, in der sich der Client befindet:

  • Verteilen Sie den Inhalt, auf den die Tasksequenz verweist, an das inhaltsfähige CMG.

Bereitstellen eines Betriebssystems über CMG mithilfe startbarer Medien

Ab Version 2010 können Sie Startmedien verwenden, um internetbasierte Geräte, die eine Verbindung über ein CMG herstellen, neu zu erstellen. Dieses Szenario hilft Ihnen, Remotemitarbeiter besser zu unterstützen. Wenn Windows nicht gestartet wird, sodass der Benutzer auf das Softwarecenter zugreifen kann, können Sie ihnen jetzt ein USB-Laufwerk senden, um Windows neu zu installieren.

Voraussetzungen für Startmedien über CMG

  • Einrichten eines CMG

  • Verteilen Sie für alle Inhalte, auf die in der Tasksequenz verwiesen wird, an ein inhaltsfähiges CMG. Weitere Informationen finden Sie unter Verteilen von Inhalten.

  • Aktivieren Sie die folgenden Clienteinstellungen in der Gruppe Clouddienste :

    • Zugriff auf Cloudverteilungspunkt zulassen

    • Clients die Verwendung eines Cloudverwaltungsgateways ermöglichen

  • Konfigurieren Sie den Tasksequenzschritt Netzwerkeinstellungen anwenden , um einer Arbeitsgruppe beizutreten. Während der Tasksequenz kann das Gerät nicht der lokalen Active Directory-Domäne beitreten. Es verfügt nicht über eine Verbindung mit einem Domänencontroller, um der Domäne beizutreten.

  • Wenn Sie die Tasksequenz für eine Sammlung bereitstellen, konfigurieren Sie die folgenden Einstellungen:

    • Seite "Benutzerfreundlichkeit": Ausführen der Tasksequenz für den Client im Internet zulassen

    • Seite "Bereitstellungseinstellungen": Stellen Sie eine Option zur Verfügung, die Medien enthält.

    • Seite "Verteilungspunkte", Bereitstellungsoptionen: Inhalt lokal herunterladen, wenn dies für die ausgeführte Tasksequenz erforderlich ist. Weitere Informationen finden Sie unter Bereitstellungsoptionen.

  • Stellen Sie sicher, dass das Gerät über eine konstante Internetverbindung verfügt, während die Tasksequenz ausgeführt wird. Windows PE unterstützt keine Drahtlosnetzwerke, sodass das Gerät eine kabelgebundene Netzwerkverbindung benötigt.

  • Wenn Sie ein PKI-basiertes Zertifikat für die Startmedien verwenden, konfigurieren Sie es für SHA256 mit dem Microsoft Enhanced RSA- und AES-Anbieter. Diese Zertifikatkonfiguration wird empfohlen, ist aber nicht erforderlich. Das Zertifikat kann ein V3-Zertifikat (CNG) sein.

  • Wenn Sie in den Versionen 2010 und 2103 den Verwaltungspunkt auf Nur-Internetverbindungen zulassen konfigurieren, können Sie keine Startmedien über ein CMG verwenden. Um dieses Problem zu umgehen, konfigurieren Sie den Verwaltungspunkt auf Intranet- und Internetverbindungen zulassen.

  • Wenn Ihr CMG ein PKI-basiertes Zertifikat verwendet, müssen Sie dem Startabbild das vertrauenswürdige Stammzertifikat hinzufügen. Andernfalls kann Windows PE nicht mit dem CMG kommunizieren, da es dem CMG-Zertifikat nicht vertraut. Weitere Informationen finden Sie unter Hinzufügen eines vertrauenswürdigen Stammzertifikats zu einem Startimage.

Erstellen eines Startmediums für die Verwendung eines CMG

Starten Sie den Assistenten zum Erstellen von Tasksequenzmedien für startbare Medien. Weitere Informationen finden Sie unter Erstellen von startbaren Medien. Ändern Sie den Standardprozess mithilfe der folgenden Schritte:

  • Wählen Sie auf der Seite Medienverwaltung des Assistenten die Option für standortbasierte Medien aus.

  • Legen Sie auf der Seite Sicherheit ein sicheres Kennwort fest, um dieses Medium zu schützen.

  • Wählen Sie auf der Seite Startimage unter Verwaltungspunkt im Dialogfeld Verwaltungspunkte hinzufügen das Cloudverwaltungsgateway aus.

Wenn Sie ein mit dem Internet verbundenes Gerät mithilfe dieses Mediums starten, kommuniziert es mit dem angegebenen CMG. Das Startmedium lädt die Richtlinie für die Tasksequenzbereitstellung über das CMG herunter. Während die Tasksequenz ausgeführt wird, lädt sie alle zusätzlichen Inhalte und Richtlinien über das Internet herunter.

Nachdem die Tasksequenz ausgeführt wurde, verwendet der Client die tokenbasierte Authentifizierung.

Hinzufügen eines vertrauenswürdigen Stammzertifikats zu einem Startabbild

Wenn Ihr CMG ein PKI-basiertes Zertifikat verwendet, müssen Sie dem Startabbild das vertrauenswürdige Stammzertifikat hinzufügen. Andernfalls kann Windows PE nicht mit dem CMG kommunizieren, da es dem CMG-Zertifikat nicht vertraut.

Schritt 1: Exportieren des Zertifikatregistrierungsblobs

Auf einem System, auf dem das vertrauenswürdige Stammzertifikat installiert ist:

  1. Öffnen Sie das Startmenü. Geben Sie ein run , um das Fenster Ausführen zu öffnen. Öffnen Sie mmc.

  2. Wählen Sie im Menü Datei die Option Snap-In hinzufügen/entfernen... aus.

  3. Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option Zertifikate und dann Hinzufügen aus.

    1. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto und dann Weiter aus.

    2. Wählen Sie im Dialogfeld Computer auswählen die Option Lokaler Computer und dann Fertig stellen aus.

    3. Wählen Sie im Dialogfeld Snap-Ins hinzufügen oder entfernen die Option OK aus.

  4. Erweitern Sie Zertifikate, erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen, und wählen Sie Zertifikate aus.

  5. Wählen Sie das Stammzertifikat aus. Wählen Sie im Menü Aktion die Option Öffnen aus.

  6. Wechseln Sie zur Registerkarte Details .

  7. Kopieren Sie den Wert für den Fingerabdruck des Zertifikats. Zum Beispiel eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. Führen Sie im Startmenü aus regedit.

  9. Navigieren Sie zum folgenden Registrierungsschlüssel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Weitere Informationen zu diesem Registrierungsschlüssel finden Sie unter Systemspeicherorte.

  10. Wählen Sie den Registrierungsschlüssel aus, der dem Fingerabdruck des Stammzertifikats entspricht.

  11. Wählen Sie im Menü Datei die Option Exportieren aus. Geben Sie einen Dateinamen an, und speichern Sie die .reg Datei.

  12. Bearbeiten Sie die Datei im Editor. Ändern Sie SOFTWARE im Schlüsselpfad in winpe-offline, und speichern Sie die Datei. Beispiel:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. Kopieren Sie diese Datei an einen Speicherort, auf den Sie für den nächsten Schritt zugreifen können.

Schritt 2: Importieren des Zertifikatregistrierungsblobs in das Offlinestartimage

Auf einem System mit der Startabbilddatei:

  1. Binden Sie die WIM-Datei ein. Beispiel: DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

  2. Führen Sie im Startmenü aus regedit.

  3. Wählen Sie HKEY_LOCAL_MACHINE aus. Wählen Sie im Menü Datei die Option Hive laden aus.

  4. Navigieren Sie zu C:\Mount\Windows\System32\config SOFTWARE, und wählen Sie diese Option aus. Diese Datei ist die Offlineregistrierungsstruktur für das Windows PE-Image, das in C:\Mounteingebunden ist.

    Wichtig

    Stellen Sie sicher, dass dieser Pfad zum eingebundenen Windows PE-Image und nicht zum Standardpfad des Windows-Betriebssystems gehört.

  5. Nennen Sie den Schlüssel für die geladene winpe-offlineStruktur .

  6. Wählen Sie im Menü Datei die Option Importieren aus. Navigieren Sie zu der geänderten .reg Datei, die Sie zuvor exportiert und geändert haben. Klicken Sie auf Öffnen.

  7. Navigieren Sie zum folgenden Registrierungsschlüssel: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates und vergewissern Sie sich, dass der neue Schlüssel hinzugefügt wurde.

  8. Wählen Sie den folgenden Registrierungsschlüssel aus: Computer\HKEY_LOCAL_MACHINE\winpe-offline. Wählen Sie im Menü Datei die Option Hive entladen und dann Ja aus.

  9. Schließen Sie den Registrierungs-Editor und alle anderen Fenster, die auf Dateien in C:\Mountverweisen.

  10. Heben Sie die Bereitstellung des Startabbilds auf , und committen Sie die Änderungen. Beispiel: DISM /Unmount-image /Commit /MountDir:C:\Mount

Das Startimage enthält jetzt das vertrauenswürdige Stammzertifikat.

Nächste Schritte

Überwachen von Betriebssystembereitstellungen

Verwalten von Tasksequenzen zum Automatisieren von Aufgaben