Configuration Manager 관리 서비스를 설정하는 방법

적용 대상: Configuration Manager(현재 분기)

이 문서의 단계를 사용하여 SMS 공급자에서 관리 서비스를 설정합니다. 시작하기 전에 관리 서비스 필수 구성 요소를 읽어보세요.

보안 HTTPS 통신 사용

보안 HTTPS 연결을 사용하여 네트워크를 통해 전송 중인 데이터를 보호하도록 관리 서비스를 구성합니다.

버전 2010 부터는 더 이상 관리 서비스에 대한 SMS 공급자에서 IIS를 사용하도록 설정할 필요가 없습니다. 사이트는 SMS 공급자에 대한 자체 서명된 인증서를 만들고 IIS 없이 자동으로 바인딩합니다. 이전에 SMS 공급자에 IIS를 설치한 경우 제거할 수 있습니다. 그런 다음, SMS_REST_PROVIDER 구성 요소를 다시 시작합니다. 방화벽에서 HTTPS 포트 443을 열어야 합니다.

관리 서비스는 사이트의 자체 서명된 인증서를 자동으로 사용합니다. 이 동작은 관리 서비스를 더 쉽게 사용할 수 있도록 마찰을 줄이는 데 도움이 됩니다. 사이트는 항상 이 인증서를 생성합니다. 관리 서비스는 고급 HTTP를 사용하는 다른 사이트 시스템이 없더라도 항상 사이트의 인증서를 사용하므로 향상된 HTTP 사이트 설정을 무시합니다. PKI 기반 서버 인증 인증서를 수동으로 바인딩할 수 있습니다. SMS 공급자 서버의 포트 443에 PKI 인증서를 이미 바인딩한 경우 관리 서비스는 기존 인증서를 사용합니다.

서버 인증 인증서 사용

참고

기본적으로 관리 서비스는 사이트의 자체 서명된 인증서를 자동으로 사용합니다. PKI 기반 서버 인증 인증서를 수동으로 바인딩할 수 있습니다. PKI 기반 인증서를 바인딩하려면 SMS 공급자의 포트 443에서 사이트의 자체 서명된 인증서를 수동으로 바인딩 해제합니다.

서버 인증 인증서를 사용하는 두 가지 기본 방법이 있습니다.

• 조직의 PKI(공개 키 인프라)에서

  • 환경에 이미 PKI가 있는 경우 이를 사용하여 SMS 공급자에 대한 서버 인증 인증서를 발급할 수 있습니다. 이 인증서는 관리 지점 또는 배포 지점에 사용할 인증서와 비슷합니다. 자세한 내용은 PKI 인증서 요구 사항을 참조하세요.

  • 대부분의 엔터프라이즈 PKI 구현은 신뢰할 수 있는 루트 CA를 Windows 클라이언트에 추가합니다. 예를 들어 그룹 정책과 함께 Active Directory 인증서 서비스를 사용합니다. 클라이언트가 자동으로 신뢰하지 않는 CA에서 인증서를 발급하는 경우 클라이언트에 CA 신뢰할 수 있는 루트 인증서를 추가합니다. 이 트러스트의 범위를 관리 서비스에 액세스해야 하는 클라이언트로만 지정할 수 있습니다.

• 퍼블릭 및 전역적으로 신뢰할 수 있는 인증서 공급자의 인증서를 사용합니다. Windows 클라이언트에는 이러한 공급자의 신뢰할 수 있는 루트 CA(인증 기관)가 포함됩니다. 이러한 공급자 중 하나에서 발급한 서버 인증 인증서를 사용하면 클라이언트에서 자동으로 신뢰합니다.

SMS 공급자에 대한 서버 인증 인증서가 있으면 SMS 공급자 역할을 호스트하는 서버의 IIS에서 포트 443에 수동으로 바인딩해야 합니다.

먼저 서버에 인증서를 추가합니다. 인증서를 로컬 컴퓨터의 개인 저장소로 가져옵니다. 그런 다음, 다음 옵션 중 하나를 사용하여 인증서를 바인딩합니다.

IIS를 사용하여 인증서 바인딩

SMS 공급자 역할이 있는 서버에 IIS 관리 콘솔이 있는 경우 기본 웹 사이트에서 바인딩 편집 작업을 사용합니다. 포트 443을 추가하고 컴퓨터의 인증서 저장소에서 인증서를 지정합니다.

참고

SMS 공급자 역할에는 IIS가 필요하지 않습니다. 이 절차에서는 IIS 콘솔을 사용하여 인증서를 바인딩합니다. 이러한 인증서 바인딩은 특정 서비스가 아닌 머신용입니다.

netsh를 사용하여 인증서 바인딩

netsh 명령줄을 사용하여 인증서를 바인딩합니다.

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

여기서 <thumbprint> 는 설치된 인증서의 지문이며 <GUID> 임의 GUID입니다.

팁

Windows PowerShell cmdlet New-Guid 을 사용하여 임의의 GUID를 생성합니다.

예를 들면

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

인터넷 액세스 사용

온-프레미스에서만 관리 서비스를 사용하거나 CMG(클라우드 관리 게이트웨이)를 통해 액세스할 수 있도록 설정할 수 있습니다. 일부 시나리오에서는 테넌트 연결 또는 전자 메일을 통한 앱 승인과 같은 인터넷에서 관리 서비스에 액세스해야 합니다.

CMG 트래픽을 허용하도록 SMS 공급자를 구성하려면 먼저 CMG를 설정합니다. 자세한 내용은 CMG 개요를 참조하세요.

그런 다음, 다음 프로세스를 사용하여 CMG를 통해 관리 서비스를 사용하도록 설정합니다.

1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 서버 및 사이트 시스템 역할 노드를 선택합니다.

2. SMS 공급자 역할이 있는 서버를 선택합니다.

   팁

   리본 메뉴의 홈 탭에서 역할이 있는 서버를 선택한 다음 SMS 공급자를 선택합니다. 이 작업은 해당 역할이 있는 사이트 시스템을 보여 줍니다.

3. 세부 정보 창에서 SMS 공급자 역할을 선택하고 사이트 역할 탭의 리본에서 속성을 선택합니다.

4. 관리 서비스에 대한 Configuration Manager 클라우드 관리 게이트웨이 트래픽 허용 옵션을 선택합니다.

인터넷에서 관리 서비스에 액세스하려면 SMS 공급자 FQDN을 CMG 엔드포인트로 대체합니다. 예를 들면

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

팁

이 엔드포인트의 값을 얻으려면 다음 단계를 사용합니다.

• CMG를 만듭니다. 자세한 내용은 CMG 설정을 참조하세요.

• 활성 클라이언트에서 관리자 권한으로 Windows PowerShell 명령 프롬프트를 엽니다.

• 다음 명령을 실행합니다.

  (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
  

콘솔 사용 사용 설정

참고

버전 2111부터 Configuration Manager 콘솔에서 관리 서비스를 사용하도록 설정하는 옵션이 제거됩니다. 관리 서비스는 항상 켜지므로 콘솔은 필요할 때 사용합니다.

Configuration Manager 콘솔의 일부 노드에서 관리 서비스를 사용하도록 설정합니다. 이 변경을 통해 콘솔은 WMI를 통하지 않고 HTTPS를 통해 SMS 공급자와 통신할 수 있습니다.

1. Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다. 리본에서 계층 설정 을 선택합니다.

2. 일반 페이지에서 Configuration Manager 콘솔에서 관리 서비스를 사용하도록 설정하는 옵션을 선택합니다.

이 변경 내용은 관리 작업 영역의 보안 노드 아래에 있는 다음 노드에만 영향을 줍니다.

• 관리 사용자
• 보안 역할
• 보안 범위
• 콘솔 연결

이러한 노드 중 하나를 선택하면 다음 오류 메시지가 표시되면 다음과 같습니다.

Configuration Manager 관리 서비스에 연결할 수 없음

오류 아래의 정보를 검토합니다. 그런 다음 관리 서비스가 활성화, 구성 및 작동하는지 확인합니다. 검토할 로그 파일을 비롯한 자세한 내용은 확인 섹션을 참조하세요.

확인

사이트에서 관리 서비스를 설치하면 Configuration Manager 설치 디렉터리의 RESTPROVIDERSetup.log 파일에 활동을 기록합니다. 기본적으로 이 경로는 입니다 C:\Program Files\Microsoft Configuration Manager\logs.

사이트는 SMS_REST_PROVIDER.log 파일에서 관리 서비스의 상태를 추적합니다. 서비스 시작 및 인증서에 대한 정보를 볼 수 있습니다.

웹 브라우저에서 간단한 쿼리를 수행하여 관리 서비스를 테스트합니다. 예를 들면 다음과 같습니다.

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

관리 서비스는 해당 작업을 Configuration Manager 설치 디렉터리의 SMS 공급자 서버의 adminservice.log 파일에 기록합니다.

위의 메타데이터 쿼리의 경우 로그 파일에는 다음 줄이 표시됩니다.

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

다음 단계

관리 서비스를 사용하는 방법