CMG instellen voor Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Zodra u aan de vereisten voldoet, kunt u het proces voor het instellen van een cloudbeheergateway (CMG) starten. Voordat u dit proces start, moet u over de benodigde informatie en vereisten beschikken om een CMG te maken. Zie Controlelijst voor CMG instellen voor meer informatie.
Deze stap van het algehele proces omvat de volgende acties:
- Gebruik de Configuration Manager-console om de CMG-service in Azure te maken.
- Configureer de primaire site voor clientcertificaatverificatie.
- Voeg de sitesysteemrol CMG-verbindingspunt toe.
- Configureer het beheerpunt en het software-updatepunt voor CMG-verkeer.
- Grensgroepen configureren.
Een CMG instellen
Opmerking
Het implementeren van een CMG met een virtuele-machineschaalset in Azure is voor het eerst geïntroduceerd in versie 2010 als een prereleasefunctie. Vanaf versie 2107 is het geen voorlopige functie meer.
Configuration Manager schakelt deze optionele functie niet standaard in. U moet deze functie inschakelen voordat u deze kunt gebruiken. Zie Optionele functies van updates inschakelen voor meer informatie.
Voer deze procedure uit op de site op het hoogste niveau. Deze site is een zelfstandige primaire site of de centrale beheersite (CAS).
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer Cloud Management Gateway.
Selecteer Cloud Management Gateway maken op het lint.
Geef op de pagina Algemeen van de wizard eerst de Azure-omgeving voor deze CMG op:
- AzurePublicCloud: maak de service in de globale Azure-cloud.
- AzureUSGovernmentCloud: maak de service in de Azure US Government-cloud.
Kies vervolgens hoe u de CMG in Azure wilt implementeren:
Virtuele-machineschaalset
Vanaf versie 2203 is schaalset voor virtuele machines de enige optie.
Vanaf versie 2107 is deze optie de aanbevolen implementatiemethode. Zelfs als u een bestaande CMG hebt geïmplementeerd met de cloudservicemethode (klassiek), implementeert u nieuwe CMG-exemplaren als een virtuele-machineschaalset.
In versies 2010 en 2103 moet u deze prereleasefunctie inschakelen om deze te zien. In deze releases is het alleen bedoeld voor klanten met een CSP-abonnement (Cloud Solution Provider). Als u al een CMG hebt geïmplementeerd met de cloudservicemethode (klassiek), is deze optie niet beschikbaar. Zie Cmg plannen: virtuele-machineschaalsets voor meer informatie.
Cloudservice (klassiek)
Belangrijk
Vanaf versie 2203 wordt de optie voor het implementeren van een CMG als cloudservice (klassiek) verwijderd. Alle CMG-implementaties moeten gebruikmaken van een virtuele-machineschaalset. Zie Verwijderde en afgeschafte functies voor meer informatie.
Gebruik deze optie in versie 2107 en hoger alleen als u niet kunt implementeren met een virtuele-machineschaalset vanwege een van de beperkingen.
In versies 2010 en 2103 moeten de meeste klanten deze implementatiemethode gebruiken.
Vanaf versie 2309 selecteert u Microsoft Entra tenantnaamMicrosoft Entra app-naam automatisch wordt ingevuld. Selecteer Aanmelden. Verifieer met een account van een Azure-abonnementseigenaar . Als u meerdere abonnementen hebt, selecteert u de abonnements-id van het abonnement dat u wilt gebruiken.
Opmerking
Vanaf versie 2309 hebben we het gebruik van een eigen app voor het maken van CMG afgeschaft. CMG gebruikt nu een server-app van derden om bearer-tokens op te halen.
In versies 2303 en lager selecteert u Aanmelden. Verifieer met een account van een Azure-abonnementseigenaar . De wizard vult automatisch de resterende velden in op basis van de gegevens die zijn opgeslagen tijdens de Microsoft Entra integratievereisten. Als u meerdere abonnementen hebt, selecteert u de abonnements-id van het abonnement dat u wilt gebruiken.
Selecteer Volgende en wacht tot de site de verbinding met Azure test.
Blader op de pagina Instellingen van de wizard eerst naar de . PFX-bestand voor het CMG-serververificatiecertificaat (certificaatbestand). De algemene naam van dit certificaat wordt gebruikt om de velden Servicenaam en Implementatienaam in te vullen.
Als u een certificaat met jokertekens gebruikt, vervangt u het sterretje (
*
) in het veld Servicenaam door het wereldwijd unieke implementatienaamvoorvoegsel voor uw CMG.Geef eventueel een beschrijving op om deze CMG verder te identificeren in de Configuration Manager-console.
Selecteer een Azure-regio voor deze CMG. De lijst met beschikbare regio's kan variëren, afhankelijk van het geselecteerde abonnement.
Selecteer een resourcegroepoptie :
Als u Bestaande gebruiken kiest, selecteert u een bestaande resourcegroep in de lijst. Deze resourcegroep moet al bestaan in dezelfde regio die u hebt geselecteerd voor de CMG. Als u een bestaande resourcegroep selecteert en deze zich in een andere regio bevindt dan de eerder geselecteerde regio, kan de CMG niet worden geïmplementeerd.
Als u nieuwe kiest, voert u de naam van de nieuwe resourcegroep in.
De VM-grootte is standaard (A2_V2). Selecteer een andere optie zoals uw ontwerp aangeeft. Bijvoorbeeld Groot (A4_v2) voor een verhoogde clientcapaciteit per VM of Lab (B2s) in een kleine testomgeving.
Belangrijk
De VM met de grootte van het lab (B2s) is alleen bedoeld voor labtests en kleine proof-of-concept-omgevingen. Bijvoorbeeld met de Configuration Manager technical preview-vertakking. De B2s-VM's zijn niet bedoeld voor productiegebruik met de CMG. Ze zijn goedkoop en presteren slecht.
Voer in het veld VM-exemplaar het aantal VM's voor deze service in. De standaardwaarde is één, maar u kunt omhoog schalen naar 16 VM's per CMG.
Als u clientverificatiecertificaten gebruikt, selecteert u Certificaten om vertrouwde basiscertificaten toe te voegen. Voeg alle certificaten toe in de vertrouwensketen.
Opmerking
Een vertrouwd basiscertificaat is niet vereist bij het gebruik van Microsoft Entra-id of door de site uitgegeven tokens voor clientverificatie.
Standaard schakelt de wizard de optie in om de intrekking van clientcertificaat te verifiëren. Deze verificatie werkt alleen als er een certificaatintrekkingslijst (CRL) openbaar wordt gepubliceerd. Zie De certificaatintrekkingslijst publiceren voor meer informatie.
Standaard schakelt de wizard de optie TLS 1.2 afdwingen in. Voor deze instelling moet de Azure-VM het TLS 1.2-versleutelingsprotocol gebruiken. Deze is niet van toepassing op on-premises Configuration Manager siteservers of -clients. Vanaf versie 2107 met het updatepakket is deze instelling ook van toepassing op het CMG-opslagaccount. Zie TLS 1.2 inschakelen voor meer informatie.
Standaard schakelt de wizard de optie CMG toestaan om te functioneren als een clouddistributiepunt en inhoud te leveren vanuit Azure Storage inschakelen. Als u van plan bent om implementaties met inhoud op clients te richten, moet u de CMG configureren voor het leveren van inhoud.
De volgende pagina is de pagina Waarschuwingen van de wizard. Als u CMG-verkeer wilt bewaken met een drempelwaarde van 14 dagen, schakelt u de drempelwaardewaarschuwing in. Geef vervolgens de drempelwaarde en het percentage op waarmee de verschillende waarschuwingsniveaus moeten worden verhogen. U kunt ook een waarschuwingsdrempel voor opslag inschakelen. Kies Volgende wanneer u klaar bent.
Controleer de instellingen en voltooi de wizard.
Configuration Manager begint met het instellen van de service. De hoeveelheid tijd die nodig is om de service volledig in te richten in Azure is afhankelijk van de instellingen die u hebt opgegeven. Als u wilt bepalen wanneer de service klaar is, bekijkt u de kolom Status voor de nieuwe CMG.
Als u problemen met CMG-implementaties wilt oplossen, gebruikt u CloudMgr.log en CMGSetup.log. Zie CMG bewaken voor meer informatie.
Tip
U kunt ook de PowerShell-cmdlet New-CMCloudManagementGateway voor dit proces gebruiken. Gebruik eventueel deze cmdlet om de CMG-service te maken. Zie New-CMCloudManagementGateway voor meer informatie.
Primaire site configureren voor verificatie van clientcertificaten
Als u clientverificatiecertificaten voor clients gebruikt om te verifiëren met de CMG, volgt u deze procedure om elke primaire site te configureren.
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer Sites.
Selecteer de primaire site waaraan uw internetclients zijn toegewezen en kies Eigenschappen.
Ga naar het tabblad Communication Security en selecteer PKI-clientcertificaat (clientverificatie) gebruiken indien beschikbaar.
Als u geen CRL publiceert, schakelt u de volgende optie uit: Clients controleren de certificaatintrekkingslijst (CRL) voor sitesystemen.
Het CMG-verbindingspunt toevoegen
Het CMG-verbindingspunt is de sitesysteemrol die is vereist voor communicatie van uw on-premises Configuration Manager implementatie naar de cmg in de cloud. Voordat u dit proces start, moet u al een plan voor de rol hebben ontwikkeld en ten minste één bestaande sitesysteemserver hebben geïdentificeerd. Zie Plannen voor de CMG voor meer informatie.
Als u het CMG-verbindingspunt wilt toevoegen, worden in de volgende stappen de instructies voor het installeren van sitesysteemrollen samengevat:
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Servers en sitesysteemrollen.
Selecteer een bestaande siteserver waaraan u deze rol wilt toevoegen. Selecteer op het lint op het tabblad Start de optie Sitesysteemrollen toevoegen.
Kies in het scherm Systeemrolselectie de optie Cloudbeheergatewayverbindingspunt en selecteer vervolgens Volgende. Kies de naam van de cloudbeheergateway waarmee deze server verbinding maakt. In de wizard wordt de regio voor de geselecteerde CMG weergegeven.
Belangrijk
Als u clientverificatiecertificaten gebruikt, heeft het CMG-verbindingspunt dit certificaat nodig. Zie clientverificatiecertificaat voor meer informatie.
Gebruik CMGService.log en SMS_Cloud_ProxyConnector.log om problemen met de status van de CMG-service op te lossen. Zie Logboekbestanden voor meer informatie.
Tip
U kunt eventueel ook de PowerShell-cmdlet Add-CMCloudManagementGatewayConnectionPoint gebruiken om de cmg-verbindingspuntrol toe te voegen aan een sitesysteemserver.
Zie Add-CMCloudManagementGatewayConnectionPoint voor meer informatie.
Clientgerichte rollen configureren voor CMG-verkeer
Configureer het beheerpunt- en software-updatepuntsitesystemen om CMG-verkeer te accepteren. Voer deze procedure uit op de primaire site, voor alle beheerpunten en software-updatepunten die internetclients onderhouden.
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Servers en sitesysteemrollen. Selecteer op het tabblad Start van het lint in de groep Weergave de optie Servers met rol. Selecteer vervolgens Beheerpunt in de lijst.
Selecteer de sitesysteemserver die u wilt configureren voor CMG-verkeer. Selecteer de rol Beheerpunt in het detailvenster en selecteer vervolgens eigenschappen in de groep Siterol van het lint.
Selecteer in het eigenschappenvenster beheerpunt onder Clientverbindingen de optie Verkeer Configuration Manager cloudbeheergateway toestaan.
Afhankelijk van uw CMG-ontwerp en Configuration Manager-versie, moet u mogelijk de HTTPS-optie inschakelen. Zie Beheerpunt inschakelen voor HTTPS voor meer informatie.
Selecteer OK om het venster met beheerpunteigenschappen te sluiten.
Herhaal deze stappen indien nodig voor andere beheerpunten en voor eventuele software-updatepunten.
Grensgroepen configureren
U kunt een CMG koppelen aan een grensgroep. Met deze configuratie kunnen clients de CMG gebruiken voor clientcommunicatie volgens grensgroeprelaties. Deze configuratie is nuttig voor VPN- of filiaalclients, waar het mogelijk beter is om ze te beheren via een CMG dan via de VPN- of WAN-verbinding. Als u de optie cloudgebaseerde bronnen boven on-premises bronnen inschakelt, geven clients de voorkeur aan de CMG voor zowel beleid als inhoud.
Zie Grensgroepen configureren voor meer informatie over grensgroepen.
Wanneer u een grensgroep maakt of configureert, voegt u op het tabblad Verwijzingen een gateway voor cloudbeheer toe. Met deze actie wordt de CMG gekoppeld aan deze grensgroep.
BranchCache
Als u een CMG met inhoud wilt inschakelen om Windows BranchCache te gebruiken, installeert u de functie BranchCache op de siteserver.
Als de siteserver een sitesysteemrol on-premises distributiepunt heeft, configureert u de optie in de eigenschappen van die rol om BranchCache in te schakelen en te configureren. Zie Een distributiepunt configureren voor meer informatie.
Als de siteserver geen distributiepuntrol heeft, installeert u de functie BranchCache in Windows. Zie De functie BranchCache installeren voor meer informatie.
Als u al inhoud hebt gedistribueerd naar een CMG en vervolgens besluit BranchCache in te schakelen, installeert u eerst de functie. Vervolgens herdistribueer u de inhoud naar de CMG.
Inhoud distribueren en beheren
Distribueer inhoud naar de CMG met inhoud op dezelfde manier als elk ander distributiepunt. Het beheerpunt neemt de CMG niet op in de lijst met inhoudslocaties, tenzij het de inhoud bevat die clients aanvragen. Zie Inhoud distribueren en beheren voor meer informatie.
Beheer inhoud op een CMG op dezelfde manier als elk ander distributiepunt. Deze acties omvatten het toewijzen aan een distributiepuntgroep en het beheren van inhoudspakketten. Zie Distributiepunten installeren en configureren voor meer informatie.
Volgende stappen
Ga door met het instellen van cmg door clients te configureren voor CMG: