Vorbereiten von Windows-Servern für die Unterstützung von Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Bevor Sie einen Windows-Computer als Standortsystemserver für Configuration Manager verwenden können, muss er die Voraussetzungen für die beabsichtigte Verwendung erfüllen. Diese Voraussetzungen umfassen häufig ein oder mehrere Windows-Features oder -Rollen. Da sich die Methode zum Aktivieren von Windows-Features und -Rollen je nach Betriebssystemversion unterscheidet, finden Sie ausführliche Informationen in der Dokumentation für Ihre Betriebssystemversion.
Die Informationen in diesem Artikel bieten eine Übersicht über die Typen von Windows-Konfigurationen, die zur Unterstützung Configuration Manager Standortsystemen erforderlich sind. Konfigurationsdetails für bestimmte Standortsystemrollen finden Sie unter Voraussetzungen für Standort- und Standortsystem.
Windows-Features und -Rollen
Wenn Sie Windows-Features und -Rollen auf einem Computer einrichten, müssen Sie den Computer möglicherweise neu starten, um diese Konfiguration abzuschließen. Bevor Sie also einen Configuration Manager Standort- oder Standortsystemserver installieren, identifizieren Sie Computer, auf denen bestimmte Standortsystemrollen gehostet werden.
Features
Die folgenden Windows-Features sind auf bestimmten Standortsystemservern erforderlich. Richten Sie sie vor der Installation einer Standortsystemrolle auf diesem Computer ein.
.NET Framework: Unterschiedliche Standortsystemrollen erfordern unterschiedliche Versionen von .NET Framework.
Intelligente Hintergrundübertragungsdienste (Background Intelligent Transfer Services, BITS): Verwaltungspunkte erfordern BITS, um die Kommunikation mit verwalteten Geräten zu unterstützen. Dieses Feature umfasst alle automatisch ausgewählten Optionen.
BranchCache: Verteilungspunkte können mit BranchCache eingerichtet werden, um Clients zu unterstützen.
Daten-Deduplizierung: Verteilungspunkte können mit eingerichtet werden und profitieren von der Daten-Deduplizierung.
Remotedifferenzielle Komprimierung (Remote Differential Compression, RDC): Jeder Computer, auf dem ein Standortserver oder ein Verteilungspunkt gehostet wird, erfordert RDC. RDC wird verwendet, um Paketsignaturen zu generieren und digitale Signaturen zu vergleichen.
Rollen
Die folgenden Windows-Rollen sind erforderlich, um bestimmte Funktionen wie Softwareupdates und Betriebssystembereitstellungen zu unterstützen. IIS ist für die gängigsten Standortsystemrollen erforderlich.
Registrierungsdienst für Netzwerkgeräte (unter Active Directory-Zertifikatdienste): Diese Windows-Rolle ist eine Voraussetzung für die Verwendung von Zertifikatprofilen in Configuration Manager.
Webserver (IIS):Die folgenden Standortsystemrollen verwenden IIS:
- Verteilungspunkt
- Registrierungspunkt
- Registrierungsproxypunkt
- Fallbackstatuspunkt
- Verwaltungspunkt
- Softwareupdatepunkt
- Zustandsmigrationspunkt
Die erforderliche Iis-Mindestversion ist die Version, die mit dem Betriebssystem des Standortservers bereitgestellt wird.
Windows-Bereitstellungsdienste: Diese Rolle wird bei der Betriebssystembereitstellung verwendet.
Windows Server Update Services: Diese Rolle ist für Softwareupdates erforderlich.
IIS-Anforderungsfilterung für Verteilungspunkte
Standardmäßig verwendet IIS die Anforderungsfilterung, um den Zugriff auf mehrere Dateinamenerweiterungen und Ordnerspeicherorte durch HTTP- oder HTTPS-Kommunikation zu blockieren. Auf einem Verteilungspunkt verhindert diese Konfiguration, dass Clients Pakete herunterladen, die über blockierte Erweiterungen oder Ordnerspeicherorte verfügen.
Wenn Ihre Paketquelldateien Über Erweiterungen verfügen, die in IIS durch Ihre Konfiguration für die Anforderungsfilterung blockiert werden, richten Sie die Anforderungsfilterung ein, um sie zuzulassen. Verwenden Sie den IIS-Manager, um die Anforderungsfilterungsfunktion auf Ihren Verteilungspunktcomputern zu bearbeiten.
Darüber hinaus werden die folgenden Dateinamenerweiterungen von Configuration Manager für Pakete und Anwendungen verwendet. Stellen Sie sicher, dass ihre Konfigurationen für die Anforderungsfilterung diese Dateierweiterungen nicht blockieren:
- . Pck
- .PKG
- . Sta
- . Tar
Quelldateien für eine Softwarebereitstellung können z. B. einen Ordner namens bin enthalten oder eine Datei mit der Dateinamenerweiterung .mdb enthalten.
Standardmäßig blockiert die IIS-Anforderungsfilterung den Zugriff auf diese Elemente. Bin wird als ausgeblendetes Segment und MDB als Dateinamenerweiterung blockiert.
Wenn Sie die IIS-Standardkonfiguration auf einem Verteilungspunkt verwenden, können Clients, die BITS verwenden, diese Softwarebereitstellung nicht vom Verteilungspunkt herunterladen und angeben, dass sie auf Inhalte warten.
Damit die Clients diesen Inhalt herunterladen können, bearbeiten Sie die Anforderungsfilterung auf jedem anwendbaren Verteilungspunkt im IIS-Manager. Erlauben Sie den Zugriff auf die Dateierweiterungen und Ordner, die sich in den von Ihnen bereitgestellten Paketen und Anwendungen befinden.
Wichtig
Änderungen am Anforderungsfilter können die Angriffsfläche des Computers erhöhen.
- Änderungen, die Sie auf Serverebene vornehmen, gelten für alle Websites auf dem Server.
- Änderungen, die Sie an einzelnen Websites vornehmen, gelten nur für diese Website.
Führen Sie aus Sicherheitsgründen Configuration Manager auf einem dedizierten Webserver aus. Wenn Sie andere Anwendungen auf dem Webserver ausführen müssen, verwenden Sie eine benutzerdefinierte Website für Configuration Manager. Weitere Informationen finden Sie unter Websites für Standortsystemserver.
HTTP-Verben
Weitere Informationen finden Sie unter Konfigurieren der Anforderungsfilterung in IIS.
Verwaltungspunkte
Um sicherzustellen, dass Clients erfolgreich mit einem Verwaltungspunkt kommunizieren können, stellen Sie auf dem Verwaltungspunktserver sicher, dass IIS die folgenden HTTP-Verben zulässt:
- GET
- POST
- CCM_POST
- KOPF
- PROPFIND
Verteilungspunkte
Verteilungspunkte erfordern, dass IIS die folgenden HTTP-Verben zulässt:
- GET
- KOPF
- PROPFIND