Plannen hoe u clients ontwaakt in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Configuration Manager ondersteunt traditionele ontwaakpakketten om computers in de slaapstand te activeren wanneer u de vereiste software, zoals software-updates en toepassingen, wilt installeren.
Opmerking
In dit artikel wordt beschreven hoe een oudere versie van Wake on LAN werkt. Deze functionaliteit bestaat nog steeds in Configuration Manager versie 1810, die ook een nieuwere versie van Wake on LAN bevat. Beide versies van Wake on LAN kunnen en zullen in veel gevallen tegelijkertijd worden ingeschakeld. Zie Wake on LAN configureren voor meer informatie over hoe de nieuwe versie van Wake on LAN werkt vanaf 1810 en het inschakelen van een of beide versies.
Clients activeren in Configuration Manager
Configuration Manager ondersteunt traditionele ontwaakpakketten om computers in de slaapstand te activeren wanneer u de vereiste software, zoals software-updates en toepassingen, wilt installeren.
U kunt de traditionele ontwaakpakketmethode aanvullen met behulp van de clientinstellingen van de wake-upproxy. Wake-up proxy maakt gebruik van een peer-to-peer-protocol en geselecteerde computers om te controleren of andere computers in het subnet zijn geactiveerd en om ze zo nodig uit de slaapstand te halen. Wanneer de site is geconfigureerd voor Wake On LAN en clients zijn geconfigureerd voor wake-up proxy, werkt het proces als volgt:
Computers waarop de Configuration Manager-client is geïnstalleerd en die zich niet in de slaapstand bevinden op het subnet, controleren of andere computers in het subnet zijn ingeschakeld. Ze doen deze controle door elkaar elke vijf seconden een TCP/IP-pingopdracht te sturen.
Als er geen reactie van andere computers is, wordt ervan uitgegaan dat ze in de slaapstand staan. De computers die wakker zijn, worden een beheercomputer voor het subnet.
Omdat het mogelijk is dat een computer niet reageert vanwege een andere reden dan dat deze in de slaapstand staat (deze is bijvoorbeeld uitgeschakeld, verwijderd van het netwerk of de instelling van de proxy-ontwaakclient is niet meer toegepast), worden de computers elke dag om 14:00 uur lokale tijd een ontwaakpakket verzonden. Computers die niet reageren, worden niet langer verondersteld in de slaapstand te staan en worden niet wakker door de proxy.
Voor ondersteuning van wake-up proxy moeten ten minste drie computers zijn geactiveerd voor elk subnet. Om deze vereiste te bereiken, worden drie computers niet-deterministisch gekozen als voogd voor het subnet. Deze status betekent dat ze wakker blijven, ondanks een geconfigureerd energiebeleid voor slaapstand of sluimerstand na een periode van inactiviteit. Guardian-computers voeren opdrachten voor afsluiten of opnieuw opstarten uit, bijvoorbeeld als gevolg van onderhoudstaken. Als deze actie plaatsvindt, worden op de resterende guardiancomputers een andere computer in het subnet geactiveerd, zodat het subnet nog steeds drie voogdcomputers heeft.
Beheercomputers vragen de netwerkswitch om netwerkverkeer voor de slapende computers naar zichzelf om te leiden.
De omleiding wordt bereikt door de managercomputer die een Ethernet-frame uitzendt dat het MAC-adres van de slaapcomputer als bronadres gebruikt. Dit gedrag zorgt ervoor dat de netwerkswitch zich gedraagt alsof de slaapstandcomputer is verplaatst naar dezelfde poort waarop de beheercomputer zich bevindt. De managercomputer verzendt ook ARP-pakketten voor de slaapcomputers om de vermelding vers in de ARP-cache te houden. De managercomputer reageert ook op ARP-aanvragen namens de slapende computer en antwoordt met het MAC-adres van de slapende computer.
Waarschuwing
Tijdens dit proces blijft de IP-naar-MAC-toewijzing voor de slaapcomputer hetzelfde. Wake-up proxy werkt door de netwerkswitch te informeren dat een andere netwerkadapter gebruikmaakt van de poort die is geregistreerd door een andere netwerkadapter. Dit gedrag staat echter bekend als een MAC-flap en is ongebruikelijk voor standaardnetwerkbewerkingen. Sommige hulpprogramma's voor netwerkbewaking zoeken naar dit gedrag en kunnen ervan uitgaan dat er iets mis is. Daarom kunnen deze bewakingshulpprogramma's waarschuwingen genereren of poorten afsluiten wanneer u een wake-upproxy gebruikt.
Gebruik geen wake-up proxy als uw hulpprogramma's en services voor netwerkbewaking geen MAC-flaps toestaan.
Wanneer een managercomputer een nieuwe TCP-verbindingsaanvraag voor een slapende computer ziet en de aanvraag is naar een poort waarop de slapende computer luisterde voordat deze in de slaapstand ging, verzendt de managercomputer een ontwaakpakket naar de in slaapstand geplaatste computer en stopt het verkeer voor deze computer.
De slaapcomputer ontvangt het ontwaakpakket en wordt wakker. De verzendende computer probeert de verbinding automatisch opnieuw en deze keer is de computer wakker en kan reageren.
Wake-up proxy heeft de volgende vereisten en beperkingen:
Belangrijk
Als u een afzonderlijk team hebt dat verantwoordelijk is voor de netwerkinfrastructuur en netwerkservices, meldt u dit team en neemt u dit team op tijdens uw evaluatie- en testperiode. Op een netwerk dat 802.1X-netwerktoegangsbeheer gebruikt, werkt de wake-upproxy bijvoorbeeld niet en kan de netwerkservice worden onderbroken. Bovendien kan een ontwaakproxy ervoor zorgen dat sommige hulpprogramma's voor netwerkbewaking waarschuwingen genereren wanneer de hulpprogramma's het verkeer detecteren om andere computers te activeren.
Alle Windows-besturingssystemen die worden vermeld als ondersteunde clients in Ondersteunde besturingssystemen voor clients en apparaten , worden ondersteund voor Wake On LAN.
Gastbesturingssystemen die op een virtuele machine worden uitgevoerd, worden niet ondersteund.
Clients moeten worden ingeschakeld voor het activeren van proxy met behulp van clientinstellingen. Hoewel de ontwaakproxybewerking niet afhankelijk is van hardware-inventarisatie, melden clients de installatie van de wake-upproxyservice niet, tenzij ze zijn ingeschakeld voor hardware-inventarisatie en ten minste één hardware-inventarisatie hebben ingediend.
Netwerkadapters (en mogelijk het BIOS) moeten zijn ingeschakeld en geconfigureerd voor ontwaakpakketten. Als de netwerkadapter niet is geconfigureerd voor ontwaakpakketten of als deze instelling is uitgeschakeld, configureert Configuration Manager deze automatisch en schakelt deze in voor een computer wanneer deze de clientinstelling ontvangt om de wake-upproxy in te schakelen.
Als een computer meer dan één netwerkadapter heeft, kunt u niet configureren welke adapter moet worden gebruikt voor wake-up proxy; de keuze niet-deterministisch is. De gekozen adapter wordt echter vastgelegd in het bestand SleepAgent_<DOMAIN>@SYSTEM_0.log.
Het netwerk moet ICMP-echoaanvragen toestaan (ten minste binnen het subnet). U kunt het interval van vijf seconden dat wordt gebruikt voor het verzenden van de ICMP-pingopdrachten niet configureren.
Communicatie is niet-versleuteld en niet-geverifieerd en IPsec wordt niet ondersteund.
De volgende netwerkconfiguraties worden niet ondersteund:
802.1X met poortverificatie
Draadloze netwerken
Netwerkswitches die MAC-adressen verbinden met specifieke poorten
IPv6-netwerken
DHCP-leaseduur van minder dan 24 uur
Als u computers wilt activeren voor geplande software-installatie, moet u elke primaire site configureren voor het gebruik van ontwaakpakketten.
Als u een wake-upproxy wilt gebruiken, moet u power management-proxy-instellingen implementeren naast het configureren van de primaire site.
Bepaal of u subnetgestuurde broadcastpakketten of unicast-pakketten wilt gebruiken en welk UDP-poortnummer u wilt gebruiken. Traditionele ontwaakpakketten worden standaard verzonden via UDP-poort 9, maar om de beveiliging te verbeteren, kunt u een alternatieve poort voor de site selecteren als deze alternatieve poort wordt ondersteund door tussenliggende routers en firewalls.
Kiezen tussen Unicast en Subnet-Directed Broadcast voor Wake-on-LAN
Als u ervoor kiest om computers te activeren door traditionele ontwaakpakketten te verzenden, moet u beslissen of u unicast-pakketten of subnet-direct broadcast-pakketten wilt verzenden. Als u een wake-upproxy gebruikt, moet u unicast-pakketten gebruiken. Gebruik anders de volgende tabel om te bepalen welke overdrachtsmethode u moet kiezen.
| Overdrachtsmethode | Voordeel | Nadeel |
|---|---|---|
| Unicast | Veiligere oplossing dan subnet-gerichte uitzendingen, omdat het pakket rechtstreeks naar een computer wordt verzonden in plaats van naar alle computers in een subnet. Mogelijk is geen herconfiguratie van routers vereist (mogelijk moet u de ARP-cache configureren). Verbruikt minder netwerkbandbreedte dan subnetgestuurde broadcast-uitzendingen. Ondersteund met IPv4 en IPv6. |
Ontwaakpakketten vinden geen doelcomputers die hun subnetadres hebben gewijzigd na de laatste hardware-inventarisatieplanning. Switches moeten mogelijk worden geconfigureerd om UDP-pakketten door te sturen. Sommige netwerkadapters reageren mogelijk niet in alle slaapstanden op ontwaakpakketten wanneer ze unicast als overdrachtsmethode gebruiken. |
| Subnet-Directed Broadcast | Hoger slagingspercentage dan unicast als u computers hebt die hun IP-adres regelmatig wijzigen in hetzelfde subnet. Er is geen herconfiguratie van de switch vereist. Hoge compatibiliteitssnelheid met computeradapters voor alle slaapstanden, omdat subnetgestuurde uitzendingen de oorspronkelijke overdrachtsmethode waren voor het verzenden van ontwaakpakketten. |
Minder veilige oplossing dan het gebruik van unicast omdat een aanvaller continue stromen icmp-echoaanvragen kan verzenden van een vervalst bronadres naar het adres van de geadresseerde uitzending. Dit zorgt ervoor dat alle hosts dat bronadres beantwoorden. Als routers zijn geconfigureerd om subnetgestuurde uitzendingen toe te staan, wordt de aanvullende configuratie om veiligheidsredenen aanbevolen: - Configureer routers om alleen IP-gerichte uitzendingen vanaf de Configuration Manager siteserver toe te staan, met behulp van een opgegeven UDP-poortnummer. - Configureer Configuration Manager om het opgegeven niet-standaardpoortnummer te gebruiken. Mogelijk moet alle tussenliggende routers opnieuw worden geconfigureerd om subnetgestuurde uitzendingen in te schakelen. Verbruikt meer netwerkbandbreedte dan unicast-overdrachten. Alleen ondersteund met IPv4; IPv6 wordt niet ondersteund. |
Waarschuwing
Er zijn beveiligingsrisico's verbonden aan subnet-gerichte uitzendingen: een aanvaller kan continue stromen ICMP-echoaanvragen (Internet Control Message Protocol) verzenden van een vervalst bronadres naar het adres van de gerichte uitzending, waardoor alle hosts reageren op dat bronadres. Dit type Denial of Service-aanval wordt meestal een smurfenaanval genoemd en wordt meestal verzacht door subnetgestuurde uitzendingen niet in te schakelen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor