Freigeben über


Planen des Reaktivierens von Clients in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Configuration Manager unterstützt herkömmliche Aktivierungspakete, um Computer im Energiesparmodus zu reaktivieren, wenn Sie erforderliche Software wie Softwareupdates und Anwendungen installieren möchten.

Hinweis

In diesem Artikel wird beschrieben, wie eine ältere Version von Wake on LAN funktioniert. Diese Funktionalität gibt es noch in Configuration Manager Version 1810, die auch eine neuere Version von Wake on LAN enthält. Beide Versionen von Wake on LAN können und werden in vielen Fällen gleichzeitig aktiviert werden. Weitere Informationen dazu, wie die neue Version von Wake on LAN ab 1810 funktioniert und eine oder beide Versionen aktiviert, finden Sie unter Konfigurieren von Wake on LAN.

Aktivieren von Clients in Configuration Manager

Configuration Manager unterstützt herkömmliche Aktivierungspakete, um Computer im Energiesparmodus zu reaktivieren, wenn Sie erforderliche Software wie Softwareupdates und Anwendungen installieren möchten.

Sie können die herkömmliche Aktivierungspaketmethode ergänzen, indem Sie die Einstellungen des Aktivierungsproxyclients verwenden. Der Aktivierungsproxy verwendet ein Peer-to-Peer-Protokoll und ausgewählte Computer, um zu überprüfen, ob andere Computer im Subnetz aktiv sind, und um sie bei Bedarf zu reaktivieren. Wenn der Standort für Wake-On-LAN konfiguriert ist und Clients für den Aktivierungsproxy konfiguriert sind, funktioniert der Prozess wie folgt:

  1. Computer, auf denen der Configuration Manager-Client installiert ist und die sich nicht im Subnetz im Ruhezustand befinden, überprüfen, ob andere Computer im Subnetz aktiv sind. Sie führen diese Überprüfung durch, indem sie sich alle fünf Sekunden einen TCP/IP-Ping-Befehl senden.

  2. Wenn keine Antwort von anderen Computern vorliegt, wird davon ausgegangen, dass sie im Ruhezustand sind. Die Computer, die aktiv sind, werden zum Managercomputer für das Subnetz.

    Da es möglich ist, dass ein Computer aus einem anderen Grund als dem Ruhezustand (z. B. ausgeschaltet, aus dem Netzwerk entfernt oder die Proxyreaktivierungsclienteinstellung nicht mehr angewendet wird) nicht mehr reagiert, wird den Computern täglich um 14:00 Uhr Ortszeit ein Aktivierungspaket gesendet. Computer, die nicht reagieren, werden nicht mehr im Ruhezustand angenommen und nicht durch den Aktivierungsproxy aktiviert.

    Um den Aktivierungsproxy zu unterstützen, müssen mindestens drei Computer für jedes Subnetz aktiv sein. Um diese Anforderung zu erfüllen, werden drei Computer nicht deterministisch als Wächtercomputer für das Subnetz ausgewählt. Dieser Zustand bedeutet, dass sie wach bleiben, trotz jeder konfigurierten Energierichtlinie, um nach einer Phase der Inaktivität in den Ruhezustand zu wechseln. Wächtercomputer berücksichtigen beispielsweise Befehle zum Herunterfahren oder Neustarten als Ergebnis von Wartungstasks. Wenn diese Aktion erfolgt, reaktivieren die verbleibenden Wächtercomputer einen anderen Computer im Subnetz, sodass das Subnetz weiterhin über drei Wächtercomputer verfügt.

  3. Manager-Computer bitten den Netzwerkswitch, den Netzwerkdatenverkehr für die im Ruhezustand geschalteten Computer an sich selbst umzuleiten.

    Die Umleitung wird durch den Manager-Computer erreicht, der einen Ethernet-Frame sendet, der die MAC-Adresse des schlafenden Computers als Quelladresse verwendet. Dieses Verhalten führt dazu, dass sich der Netzwerkswitch so verhält, als ob der Computer im Ruhezustand an denselben Port verschoben wurde, an dem sich der Managercomputer befindet. Der Manager-Computer sendet auch ARP-Pakete für die Computer im Ruhezustand, um den Eintrag im ARP-Cache aktuell zu halten. Der Manager-Computer antwortet auch auf ARP-Anforderungen im Namen des schlafenden Computers und antwortet mit der MAC-Adresse des ruhefähigen Computers.

    Warnung

    Während dieses Vorgangs bleibt die IP-zu-MAC-Zuordnung für den computer im Ruhezustand gleich. Der Aktivierungsproxy informiert den Netzwerkswitch darüber, dass ein anderer Netzwerkadapter den Port verwendet, der von einem anderen Netzwerkadapter registriert wurde. Dieses Verhalten wird jedoch als MAC-Flap bezeichnet und ist für den Standardnetzwerkbetrieb ungewöhnlich. Einige Netzwerküberwachungstools suchen nach diesem Verhalten und können davon ausgehen, dass etwas nicht stimmt. Folglich können diese Überwachungstools Warnungen generieren oder Ports herunterfahren, wenn Sie den Aktivierungsproxy verwenden.

    Verwenden Sie keinen Aktivierungsproxy, wenn Ihre Netzwerküberwachungstools und -dienste keine MAC-Flaps zulassen.

  4. Wenn ein Managercomputer eine neue TCP-Verbindungsanforderung für einen inaktiven Computer erkennt und die Anforderung an einen Port gesendet wird, an dem der inaktive Computer vor dem Wechsel in den Ruhezustand lauscht, sendet der Manager-Computer ein Aktivierungspaket an den inaktiven Computer und beendet dann die Umleitung des Datenverkehrs für diesen Computer.

  5. Der Computer im Ruhezustand empfängt das Aktivierungspaket und wird reaktiviert. Der sendenden Computer wiederholt automatisch die Verbindung, und dieses Mal ist der Computer aktiv und kann reagieren.

    Für den Aktivierungsproxy gelten die folgenden Voraussetzungen und Einschränkungen:

Wichtig

Wenn Sie über ein separates Team verfügen, das für die Netzwerkinfrastruktur und die Netzwerkdienste zuständig ist, benachrichtigen Sie dieses Team, und schließen Sie es während Ihres Evaluierungs- und Testzeitraums ein. In einem Netzwerk, das die 802.1X-Netzwerkzugriffssteuerung verwendet, funktioniert beispielsweise der Aktivierungsproxy nicht und kann den Netzwerkdienst unterbrechen. Darüber hinaus kann der Aktivierungsproxy dazu führen, dass einige Netzwerküberwachungstools Warnungen generieren, wenn die Tools den Datenverkehr erkennen, um andere Computer zu reaktivieren.

  • Alle Windows-Betriebssysteme, die unter Unterstützte Betriebssysteme für Clients und Geräte als unterstützte Clients aufgeführt sind, werden für Wake-On-LAN unterstützt.

  • Gastbetriebssysteme, die auf einem virtuellen Computer ausgeführt werden, werden nicht unterstützt.

  • Clients müssen mithilfe von Clienteinstellungen für den Aktivierungsproxy aktiviert werden. Obwohl der Aktivierungsproxyvorgang nicht von der Hardwareinventur abhängig ist, melden Clients die Installation des Aktivierungsproxydiensts nur, wenn sie für die Hardwareinventur aktiviert und mindestens eine Hardwareinventur übermittelt wurden.

  • Netzwerkadapter (und möglicherweise das BIOS) müssen für Aktivierungspakete aktiviert und konfiguriert werden. Wenn der Netzwerkadapter nicht für Aktivierungspakete konfiguriert ist oder diese Einstellung deaktiviert ist, konfiguriert und aktiviert Configuration Manager ihn automatisch für einen Computer, wenn er die Clienteinstellung zum Aktivieren des Aktivierungsproxys empfängt.

  • Wenn ein Computer über mehrere Netzwerkadapter verfügt, können Sie nicht konfigurieren, welcher Adapter für den Aktivierungsproxy verwendet werden soll. die Auswahl ist nicht deterministisch. Der ausgewählte Adapter wird jedoch in der Datei SleepAgent_<DOMAIN>@SYSTEM_0.log aufgezeichnet.

  • Das Netzwerk muss ICMP-Echoanforderungen zulassen (zumindest innerhalb des Subnetzes). Sie können das Intervall von fünf Sekunden, das zum Senden der ICMP-Pingbefehle verwendet wird, nicht konfigurieren.

  • Die Kommunikation ist unverschlüsselt und nicht authentifiziert, und IPsec wird nicht unterstützt.

  • Die folgenden Netzwerkkonfigurationen werden nicht unterstützt:

    • 802.1X mit Portauthentifizierung

    • Drahtlosnetzwerke

    • Netzwerkswitches, die MAC-Adressen an bestimmte Ports binden

    • Reine IPv6-Netzwerke

    • DHCP-Leasedauer unter 24 Stunden

Wenn Sie Computer für die geplante Softwareinstallation reaktivieren möchten, müssen Sie jeden primären Standort für die Verwendung von Aktivierungspaketen konfigurieren.

Um den Aktivierungsproxy zu verwenden, müssen Sie zusätzlich zum Konfigurieren des primären Standorts Einstellungen für den Aktivierungsproxy für die Energieverwaltung bereitstellen.

Entscheiden Sie, ob subnetzgesteuerte Broadcastpakete oder Unicastpakete verwendet werden sollen und welche UDP-Portnummer verwendet werden soll. Standardmäßig werden herkömmliche Aktivierungspakete über UDP-Port 9 übertragen. Zur Erhöhung der Sicherheit können Sie jedoch einen alternativen Port für den Standort auswählen, wenn dieser alternative Port von dazwischenliegenden Routern und Firewalls unterstützt wird.

Auswählen zwischen Unicast und Subnet-Directed Broadcast für Wake-on-LAN

Wenn Sie Computer durch Senden herkömmlicher Aktivierungspakete reaktivieren möchten, müssen Sie entscheiden, ob Unicastpakete oder subnetzbasierte Broadcastpakete übertragen werden sollen. Wenn Sie einen Aktivierungsproxy verwenden, müssen Sie Unicastpakete verwenden. Verwenden Sie andernfalls die folgende Tabelle, um zu bestimmen, welche Übertragungsmethode Sie auswählen möchten.

Übertragungsmethode Vorteil Nachteil
Unicast Sicherere Lösung als subnetzgesteuerte Übertragungen, da das Paket direkt an einen Computer und nicht an alle Computer in einem Subnetz gesendet wird.

Möglicherweise ist keine Neukonfiguration von Routern erforderlich (möglicherweise müssen Sie den ARP-Cache konfigurieren).

Verbraucht weniger Netzwerkbandbreite als subnetzgesteuerte Übertragungen.

Unterstützt mit IPv4 und IPv6.
Aktivierungspakete finden keine Zielcomputer, die ihre Subnetzadresse nach dem letzten Hardwareinventurzeitplan geändert haben.

Switches müssen möglicherweise für die Weiterleitung von UDP-Paketen konfiguriert werden.

Einige Netzwerkadapter reagieren möglicherweise nicht auf Aktivierungspakete in allen Ruhezustandszuständen, wenn sie Unicast als Übertragungsmethode verwenden.
Subnet-Directed Broadcast Höhere Erfolgsrate als Unicast, wenn Computer ihre IP-Adresse häufig im selben Subnetz ändern.

Es ist keine Switch-Neukonfiguration erforderlich.

Hohe Kompatibilitätsrate mit Computeradaptern für alle Standbyzustände, da subnetzgesteuerte Übertragungen die ursprüngliche Übertragungsmethode zum Senden von Aktivierungspaketen waren.
Eine weniger sichere Lösung als die Verwendung von Unicast, da ein Angreifer fortlaufende Datenströme von ICMP-Echoanforderungen von einer gefälschten Quelladresse an die gerichtete Broadcastadresse senden kann. Dies bewirkt, dass alle Hosts auf diese Quelladresse antworten. Wenn Router so konfiguriert sind, dass sie subnetzgesteuerte Übertragungen zulassen, wird aus Sicherheitsgründen die zusätzliche Konfiguration empfohlen:

– Konfigurieren Sie Router so, dass nur IP-gesteuerte Übertragungen vom Configuration Manager-Standortserver zugelassen werden, indem sie eine angegebene UDP-Portnummer verwenden.
– Konfigurieren Sie Configuration Manager, um die angegebene nicht standardmäßige Portnummer zu verwenden.

Möglicherweise ist eine Neukonfiguration aller dazwischen liegenden Router erforderlich, um subnetzgesteuerte Übertragungen zu ermöglichen.

Verbraucht mehr Netzwerkbandbreite als Unicastübertragungen.

Nur mit IPv4 unterstützt; IPv6 wird nicht unterstützt.

Warnung

Es gibt Sicherheitsrisiken im Zusammenhang mit subnetzgesteuerten Übertragungen: Ein Angreifer könnte fortlaufende Streams von ICMP-Echoanforderungen (Internet Control Message Protocol) von einer gefälschten Quelladresse an die gerichtete Broadcastadresse senden, wodurch alle Hosts auf diese Quelladresse antworten. Diese Art von Denial-of-Service-Angriff wird häufig als Schlumpfangriff bezeichnet und wird in der Regel dadurch abgemildert, dass subnetzgesteuerte Übertragungen nicht aktiviert werden.