Préparer les serveurs Windows à la prise en charge des Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Avant de pouvoir utiliser un ordinateur Windows comme serveur de système de site pour Configuration Manager, il doit remplir les conditions préalables pour son utilisation prévue. Ces prérequis incluent souvent une ou plusieurs fonctionnalités ou rôles Windows. Étant donné que la méthode permettant d’activer les fonctionnalités et les rôles Windows diffère d’une version du système d’exploitation à l’autre, reportez-vous à la documentation relative à la version de votre système d’exploitation pour plus d’informations.
Les informations contenues dans cet article fournissent une vue d’ensemble des types de configurations Windows nécessaires pour prendre en charge Configuration Manager systèmes de site. Pour plus d’informations sur la configuration des rôles de système de site spécifiques, consultez Prérequis pour le système de site et le système de site.
Fonctionnalités et rôles Windows
Lorsque vous configurez des fonctionnalités et des rôles Windows sur un ordinateur, vous devrez peut-être redémarrer l’ordinateur pour terminer cette configuration. Par conséquent, avant d’installer un Configuration Manager serveur de système de site ou de site, identifiez les ordinateurs qui hébergeront des rôles de système de site spécifiques.
Fonctionnalités
Les fonctionnalités Windows suivantes sont requises sur certains serveurs de système de site. Configurez-les avant d’installer un rôle de système de site sur cet ordinateur.
.NET Framework : différents rôles de système de site nécessitent différentes versions de .NET Framework.
Services de transfert intelligents en arrière-plan (BITS) : les points de gestion nécessitent bits pour prendre en charge la communication avec les appareils gérés. Cette fonctionnalité inclut toutes les options sélectionnées automatiquement.
BranchCache : les points de distribution peuvent être configurés avec BranchCache pour prendre en charge les clients.
Déduplication des données : les points de distribution peuvent être configurés avec la déduplication des données et en tirer parti.
Compression différentielle à distance (RDC) : chaque ordinateur qui héberge un serveur de site ou un point de distribution nécessite rdc. RDC est utilisé pour générer des signatures de package et comparer des signatures numériques.
Rôles
Les rôles Windows suivants sont nécessaires pour prendre en charge des fonctionnalités spécifiques, telles que les mises à jour logicielles et les déploiements de système d’exploitation. IIS est requis par les rôles de système de site les plus courants.
Service d’inscription de périphérique réseau (sous Services de certificats Active Directory) : ce rôle Windows est un prérequis pour utiliser des profils de certificat dans Configuration Manager.
Serveur web (IIS) : les rôles de système de site suivants utilisent IIS :
- Point de distribution
- Point d’inscription
- Point de proxy d’inscription
- Point d’état de secours
- Point de gestion
- Point de mise à jour logicielle
- Point de migration d’état
La version minimale d’IIS requise est la version fournie avec le système d’exploitation du serveur de site.
Services de déploiement Windows : ce rôle est utilisé avec le déploiement du système d’exploitation.
Windows Server Update Services : ce rôle est requis pour les mises à jour logicielles.
Filtrage des requêtes IIS pour les points de distribution
Par défaut, IIS utilise le filtrage des requêtes pour bloquer l’accès à plusieurs extensions de nom de fichier et emplacements de dossiers par la communication HTTP ou HTTPS. Sur un point de distribution, cette configuration empêche les clients de télécharger des packages qui ont des extensions ou des emplacements de dossiers bloqués.
Lorsque vos fichiers sources de package ont des extensions qui sont bloquées dans IIS par votre configuration de filtrage des requêtes, configurez le filtrage des requêtes pour les autoriser. Utilisez le Gestionnaire des services Internet pour modifier la fonctionnalité de filtrage des demandes sur vos ordinateurs de point de distribution.
En outre, les extensions de nom de fichier suivantes sont utilisées par Configuration Manager pour les packages et les applications. Assurez-vous que vos configurations de filtrage des requêtes ne bloquent pas ces extensions de fichier :
- . PCK
- .PKG
- . Sta
- . Tar
Par exemple, les fichiers sources d’un déploiement de logiciels peuvent inclure un dossier nommé bin ou avoir un fichier portant l’extension de nom de fichier .mdb .
Par défaut, le filtrage des requêtes IIS bloque l’accès à ces éléments. Bin est bloqué en tant que segment masqué et .mdb est bloqué en tant qu’extension de nom de fichier.
Lorsque vous utilisez la configuration IIS par défaut sur un point de distribution, les clients qui utilisent BITS ne parviennent pas à télécharger ce déploiement logiciel à partir du point de distribution et à indiquer qu’ils attendent du contenu.
Pour permettre aux clients de télécharger ce contenu, sur chaque point de distribution applicable, modifiez le filtrage des demandes dans le Gestionnaire des services Internet. Autorisez l’accès aux extensions de fichier et aux dossiers qui se trouvent dans les packages et applications que vous déployez.
Importante
Les modifications du filtre de requête peuvent augmenter la surface d’attaque de l’ordinateur.
- Les modifications que vous apportez au niveau du serveur s’appliquent à tous les sites web sur le serveur.
- Les modifications que vous apportez à des sites web individuels s’appliquent uniquement à ce site web.
Pour une sécurité optimale, exécutez Configuration Manager sur un serveur web dédié. Si vous avez besoin d’exécuter d’autres applications sur le serveur web, utilisez un site web personnalisé pour Configuration Manager. Pour plus d’informations, consultez Sites web pour les serveurs de système de site.
Verbes HTTP
Pour plus d’informations, consultez Configurer le filtrage des requêtes dans IIS.
Points de gestion
Pour vous assurer que les clients peuvent communiquer avec un point de gestion, sur le serveur de point d’administration, assurez-vous qu’IIS autorise les verbes HTTP suivants :
- GET
- POST
- CCM_POST
- TÊTE
- PROPFIND
Points de distribution
Les points de distribution nécessitent qu’IIS autorise les verbes HTTP suivants :
- GET
- TÊTE
- PROPFIND