Een takenreeks implementeren via internet
Van toepassing op: Configuration Manager (current branch)
Configuration Manager ondersteunt verschillende methoden voor het implementeren van een takenreeks op externe clients via internet. U kunt een Windows-upgrade implementeren, opstartbare media gebruiken of deze starten vanuit Software Center. In dit artikel worden de specifieke configuraties voor deze scenario's besproken. Gebruik eerst Een takenreeks implementeren om de basisimplementatie te maken. Gebruik vervolgens de configuraties in dit artikel om deze aan te passen voor internetclients.
Waarschuwing
U kunt het gedrag voor takenreeksimplementaties met een hoog risico beheren. Een implementatie met een hoog risico is een implementatie die automatisch wordt geïnstalleerd en ongewenste resultaten kan veroorzaken. Een takenreeks met het doel Vereist waarmee een besturingssysteem wordt geïmplementeerd, wordt bijvoorbeeld beschouwd als een implementatie met een hoog risico. Zie Instellingen voor het beheren van implementaties met een hoog risico voor meer informatie.
Takenreeks uitvoeren op internet toestaan
Op de pagina Gebruikerservaring van de wizard Software implementeren kunt u de implementatie configureren om takenreeksen voor client op internet uit te voeren. Deze instelling is vereist voor alle clientscenario's op basis van internet. In de volgende secties worden de belangrijkste scenario's behandeld wanneer u deze instelling inschakelt.
Opmerking
De geavanceerde instelling voor takenreeks eerst een ander programma uitvoeren is niet van toepassing op takenreeksen die worden uitgevoerd op clients die communiceren via een cloudbeheergateway (CMG). Deze optie maakt gebruik van het UNC-netwerkpad van het pakket, dat niet toegankelijk is via CMG.
Windows in-place upgrade
Gebruik deze instelling voor implementaties van een takenreeks voor in-place windows-upgrades naar internetclients via de cloudbeheergateway (CMG). Alle ondersteunde versies van Configuration Manager ondersteunen dit scenario. Zie Windows in-place upgrade implementeren via CMG voor meer informatie.
Een windows-imaging-takenreeks installeren vanuit Software Center
Vanaf versie 2006 kunt u een takenreeks met een opstartinstallatiekopie implementeren op een apparaat dat communiceert via de CMG. De gebruiker moet de takenreeks starten vanuit Software Center.
Opmerking
Wanneer een aan Microsoft Entra gekoppelde client een takenreeks voor de implementatie van het besturingssysteem uitvoert, wordt de client in het nieuwe besturingssysteem niet automatisch toegevoegd aan Microsoft Entra ID. Hoewel deze niet is toegevoegd aan Microsoft Entra, wordt de client nog steeds beheerd.
Wanneer u een takenreeks voor de implementatie van het besturingssysteem uitvoert op een client op internet, die is gekoppeld aan Microsoft Entra of gebruikmaakt van verificatie op basis van tokens, moet u de eigenschap CCMHOSTNAME opgeven in de stap Windows en ConfigMgr instellen .
Opstartbare media gebruiken om een Windows Imaging-takenreeks te installeren
Vanaf versie 2010 kunt u opstartbare media gebruiken om op internet gebaseerde apparaten die verbinding maken via een CMG opnieuw te maken. Met dit scenario kunt u externe werknemers beter ondersteunen. Als Windows niet wordt gestart zodat de gebruiker toegang heeft tot Software Center, kunt u deze nu een USB-station sturen om Windows opnieuw te installeren. Zie Een besturingssysteem implementeren via CMG met behulp van opstartbare media voor meer informatie.
In versie 2002 en eerder worden bewerkingen waarvoor een opstartmedium is vereist, niet ondersteund met deze instelling. Sta alleen toe dat een takenreeks op internet wordt uitgevoerd voor algemene software-installaties of op scripts gebaseerde takenreeksen die bewerkingen uitvoeren in het standaardbesturingssysteem.
Opmerking
Voor alle internettakenreeksscenario's in versie 2002 en eerder start u de takenreeks vanuit Software Center. Ze bieden geen ondersteuning voor Windows PE-, PXE- of takenreeksmedia.
Windows in-place upgrade implementeren via CMG
De takenreeks windows in-place upgrade ondersteunt implementatie op internetclients die worden beheerd via de Cloud Management Gateway (CMG). Met deze mogelijkheid kunnen externe gebruikers gemakkelijker upgraden naar Windows zonder dat ze verbinding hoeven te maken met het intranet.
Zorg ervoor dat alle inhoud waarnaar wordt verwezen door de takenreeks voor in-place upgrade, wordt gedistribueerd naar een CMG met inhoud. Schakel de CMG-instelling in: CMG toestaan om te functioneren als een clouddistributiepunt en inhoud te leveren vanuit Azure Storage. Anders kunnen apparaten de takenreeks niet uitvoeren.
Wanneer u een upgradetakenreeks implementeert, gebruikt u de volgende instellingen:
Sta takenreeksen toe voor client op internet op het tabblad Gebruikerservaring van de implementatie.
Kies een van de volgende opties op het tabblad Distributiepunten van de implementatie:
Download inhoud lokaal wanneer dat nodig is voor de actieve takenreeks. De takenreeksengine kan pakketten op aanvraag downloaden van een CMG met inhoud. Deze optie biedt extra flexibiliteit met uw implementaties van in-place windows-upgrades op internetapparaten.
Download alle inhoud lokaal voordat u de takenreeks start. Met deze optie downloadt de Configuration Manager-client de inhoud uit de cloudbron voordat de takenreeks wordt gestart.
(Optioneel) Download vooraf inhoud voor deze takenreeks op het tabblad Algemeen van de implementatie. Zie Pre-cache-inhoud configureren voor meer informatie.
Opmerking
Start de takenreeks vanuit Software Center. Dit scenario biedt geen ondersteuning voor Windows PE-, PXE- of takenreeksmedia.
Ondersteuning voor opstartbare media voor inhoud in de cloud
Vanaf versie 2010 kunnen opstartbare media inhoud in de cloud downloaden. U verzendt bijvoorbeeld een USB-sleutel naar een gebruiker in een extern kantoor om een nieuwe installatiekopie van het apparaat te maken. Of een kantoor met een lokale PXE-server, maar u wilt dat apparaten cloudservices zoveel mogelijk prioriteit geven. In plaats van het WAN verder te belasten om grote besturingssysteemimplementatie-inhoud te downloaden, kunnen opstartmedia en PXE-implementaties nu inhoud ophalen uit cloudbronnen. Bijvoorbeeld een cloudbeheergateway (CMG) die u inschakelt om inhoud te delen.
Opmerking
Het apparaat heeft nog steeds een intranetverbinding met het beheerpunt nodig.
Wanneer de takenreeks wordt uitgevoerd, downloadt deze inhoud van de cloudbronnen. Controleer smsts.log op de client.
Vereisten voor opstartbare media
Schakel de volgende clientinstelling in de groep Cloud Services in: Toegang tot clouddistributiepunt toestaan. Zorg ervoor dat de clientinstelling is geïmplementeerd op de doelclients. Zie Over clientinstellingen - Cloudservices voor meer informatie.
Voor de grensgroep waarin de client zich bevindt:
Koppel de CMG met inhoud. Zie Een grensgroep configureren voor meer informatie.
Schakel de volgende optie in: Geef de voorkeur aan cloudbronnen boven on-premises bronnen. Zie Grensgroepopties voor peerdownloads voor meer informatie.
Distribueer de inhoud waarnaar wordt verwezen door de takenreeks naar de CMG met inhoud.
Een besturingssysteem implementeren via CMG met behulp van opstartbare media
Vanaf versie 2010 kunt u opstartmedia gebruiken om opnieuw een installatiekopie te maken van internetapparaten die verbinding maken via een CMG. Met dit scenario kunt u externe werknemers beter ondersteunen. Als Windows niet wordt gestart zodat de gebruiker toegang heeft tot Software Center, kunt u deze nu een USB-station sturen om Windows opnieuw te installeren.
Vereisten voor opstartmedia via CMG
Voor alle inhoud waarnaar in de takenreeks wordt verwezen, distribueert u deze naar een CMG met inhoud. Zie Inhoud distribueren voor meer informatie.
Schakel de volgende clientinstellingen in de groep Cloudservices in:
Toegang tot clouddistributiepunt toestaan
Clients in staat stellen een cloudbeheergateway te gebruiken
Configureer de takenreeksstap Netwerkinstellingen toepassen om lid te worden van een werkgroep. Tijdens de takenreeks kan het apparaat niet deelnemen aan het on-premises Active Directory-domein. Deze heeft geen verbinding met een domeincontroller om lid te worden van het domein.
Wanneer u de takenreeks in een verzameling implementeert, configureert u de volgende instellingen:
Pagina Gebruikerservaring: Toestaan dat takenreeksen worden uitgevoerd voor client op internet
Pagina Implementatie-instellingen: beschikbaar maken voor een optie die media bevat.
Pagina Distributiepunten, implementatieopties: Inhoud lokaal downloaden wanneer dat nodig is voor de actieve takenreeks. Zie Implementatieopties voor meer informatie.
Zorg ervoor dat het apparaat een constante internetverbinding heeft terwijl de takenreeks wordt uitgevoerd. Windows PE biedt geen ondersteuning voor draadloze netwerken, dus het apparaat heeft een bekabelde netwerkverbinding nodig.
Als u een PKI-certificaat gebruikt voor de opstartmedia, configureert u dit voor SHA256 met de Microsoft Enhanced RSA- en AES-provider. Deze certificaatconfiguratie wordt aanbevolen, maar is niet vereist. Het certificaat kan een v3-certificaat (CNG) zijn.
Als u in versies 2010 en 2103 het beheerpunt configureert op Alleen-internetverbindingen toestaan, kunt u geen opstartmedia gebruiken via een CMG. U kunt dit probleem omzeilen door het beheerpunt te configureren op Intranet- en internetverbinding toestaan.
Als uw CMG gebruikmaakt van een PKI-certificaat, moet u het vertrouwde basiscertificaat toevoegen aan de opstartinstallatiekopie. Anders kan Windows PE niet communiceren met de CMG omdat het het cmg-certificaat niet vertrouwt. Zie Een vertrouwd basiscertificaat toevoegen aan een opstartinstallatiekopie voor meer informatie.
Opstartmedia maken voor het gebruik van een CMG
Start de wizard Takenreeksmedia maken voor opstartbare media. Zie Opstartbare media maken voor meer informatie. Wijzig het standaardproces met behulp van de volgende stappen:
Selecteer op de pagina Mediabeheer van de wizard de optie voor op site gebaseerde media.
Stel op de pagina Beveiliging een sterk wachtwoord in om dit medium te beveiligen.
Selecteer op de pagina Opstartinstallatiekopie onder Beheerpunt de gateway voor cloudbeheer in het dialoogvenster Beheerpunten toevoegen .
Wanneer u een apparaat met internetverbinding opstart met behulp van dit medium, communiceert het met de opgegeven CMG. Het opstartmedium downloadt het beleid voor de takenreeksimplementatie via de CMG. Wanneer de takenreeks wordt uitgevoerd, worden eventuele aanvullende inhoud en beleidsregels via internet gedownload.
Nadat de takenreeks is uitgevoerd, gebruikt de client verificatie op basis van tokens.
Een vertrouwd basiscertificaat toevoegen aan een opstartinstallatiekopie
Als uw CMG gebruikmaakt van een PKI-certificaat, moet u het vertrouwde basiscertificaat toevoegen aan de opstartinstallatiekopie. Anders kan Windows PE niet communiceren met de CMG omdat het het cmg-certificaat niet vertrouwt.
Stap 1: de blob van het certificaatregister exporteren
Op een systeem waarop het vertrouwde basiscertificaat is geïnstalleerd:
Open het Startmenu. Typ
run
om het venster Uitvoeren te openen. Openmmc
.Kies in het menu Bestand de optie Module toevoegen/verwijderen....
Selecteer in het dialoogvenster Modules toevoegen of verwijderen de optie Certificaten en selecteer vervolgens Toevoegen.
Selecteer in het dialoogvenster Certificatenmodule de optie Computeraccount en selecteer vervolgens Volgende.
Selecteer in het dialoogvenster Computer selecteren de optie Lokale computer en selecteer vervolgens Voltooien.
Selecteer IN het dialoogvenster Modules toevoegen of verwijderen de optie OK.
Vouw Certificaten uit, vouw Vertrouwde basiscertificeringsinstanties uit en selecteer Certificaten.
Selecteer het basiscertificaat. Selecteer openen in het menu Actie.
Ga naar het tabblad Details .
Kopieer de waarde voor de vingerafdruk van het certificaat. Bijvoorbeeld
eb971f84c0c44b9eb22a378fecb45747eb971f84
Voer in het Startmenu uit
regedit
.Blader naar de volgende registersleutel:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates
. Zie Locaties van systeemarchief voor meer informatie over deze registersleutel.Selecteer de registersleutel die overeenkomt met de vingerafdruk van het basiscertificaat.
Selecteer Exporteren in het menu Bestand. Geef een bestandsnaam op en sla het bestand op
.reg
.Bewerk het bestand in Kladblok. Ga in het sleutelpad naar
SOFTWARE
winpe-offline
en sla het bestand op. Bijvoorbeeld:[HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]
Kopieer dit bestand naar een locatie waartoe u toegang hebt voor de volgende stap.
Stap 2: de blob van het certificaatregister importeren in de offline opstartinstallatiekopie
Op een systeem met het opstartinstallatiekopiebestand:
Koppel het WIM-bestand. Bijvoorbeeld
DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount
.Voer in het Startmenu uit
regedit
.Selecteer HKEY_LOCAL_MACHINE. Selecteer In het menu Bestand de optie Hive laden.
Blader naar
C:\Mount\Windows\System32\config
en selecteer SOFTWARE. Dit bestand is de offline registercomponent voor de Windows PE-installatiekopie die is gekoppeld aanC:\Mount
.Belangrijk
Zorg ervoor dat dit pad naar de gekoppelde Windows PE-installatiekopie is, niet naar het standaardpad van het Windows-besturingssysteem.
Geef de sleutel voor de geladen hive een naam
winpe-offline
.Selecteer importeren in het menu Bestand. Blader naar het gewijzigde
.reg
bestand dat u eerder hebt geëxporteerd en gewijzigd. Selecteer Openen.Blader naar de volgende registersleutel:
Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates
en controleer of de nieuwe sleutel is toegevoegd.Selecteer de volgende registersleutel:
Computer\HKEY_LOCAL_MACHINE\winpe-offline
. Selecteer in het menu Bestand de optie Hive verwijderen en selecteer Ja.Sluit de register-editor en eventuele andere vensters die verwijzen naar bestanden in
C:\Mount
.Ontkoppel de opstartinstallatiekopie en voer de wijzigingen door. Bijvoorbeeld
DISM /Unmount-image /Commit /MountDir:C:\Mount
De opstartinstallatiekopie bevat nu het vertrouwde basiscertificaat.