De beheerservice instellen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Gebruik de stappen in dit artikel om de beheerservice in te stellen op uw SMS-provider. Lees voordat u begint de vereisten voor de beheerservice.
Beveiligde HTTPS-communicatie inschakelen
Configureer de beheerservice om een beveiligde HTTPS-verbinding te gebruiken om de gegevens te beveiligen die via het netwerk worden verzonden.
Vanaf versie 2010 hoeft u IIS niet meer in te schakelen op de SMS-provider voor de beheerservice. De site maakt een zelfondertekend certificaat voor de SMS-provider en verbindt dit automatisch zonder IIS. Als IIS eerder was geïnstalleerd op de SMS-provider, kunt u dit verwijderen. Start vervolgens het SMS_REST_PROVIDER-onderdeel opnieuw op. Houd er rekening mee dat u HTTPS-poort 443 op uw firewall moet openen.
De beheerservice maakt automatisch gebruik van het zelfondertekende certificaat van de site. Dit gedrag helpt de wrijving te verminderen voor eenvoudiger gebruik van de beheerservice. Dit certificaat wordt altijd door de site gegenereerd. De beheerservice negeert de instelling uitgebreide HTTP-site, omdat deze altijd gebruikmaakt van het certificaat van de site, zelfs als er geen ander sitesysteem gebruikmaakt van Verbeterde HTTP. U kunt nog steeds handmatig een op PKI gebaseerd serververificatiecertificaat binden. Als u een PKI-certificaat al hebt gebonden aan poort 443 op de SMS-providerserver, gebruikt de beheerservice dat bestaande certificaat.
Een serververificatiecertificaat gebruiken
Opmerking
Standaard maakt de beheerservice automatisch gebruik van het zelfondertekende certificaat van de site. U kunt nog steeds handmatig een op PKI gebaseerd serververificatiecertificaat binden. Voordat u uw PKI-certificaat kunt binden, moet u het zelfondertekende certificaat van de site handmatig opheffen vanaf poort 443 op de SMS-provider.
Er zijn twee primaire methoden voor het gebruik van een serververificatiecertificaat:
Vanuit de PKI (Public Key Infrastructure) van uw organisatie
Als uw omgeving al een PKI heeft, kunt u deze gebruiken om een serververificatiecertificaat voor de SMS-provider uit te geven. Dit certificaat is vergelijkbaar met het certificaat dat u zou gebruiken voor een beheerpunt of distributiepunt. Zie PKI-certificaatvereisten voor meer informatie.
De meeste PKI-implementaties voor ondernemingen voegen de vertrouwde basis-CA's toe aan Windows-clients. Bijvoorbeeld met Behulp van Active Directory Certificate Services met groepsbeleid. Als u het certificaat uitgeeft van een CA die uw clients niet automatisch vertrouwen, voegt u het vertrouwde basiscertificaat van de CA toe aan clients. U kunt deze vertrouwensrelatie alleen toepassen op de clients die toegang nodig hebben tot de beheerservice.
Gebruik een certificaat van een openbare en wereldwijd vertrouwde certificaatprovider. Windows-clients bevatten vertrouwde basiscertificeringsinstanties (CA's) van deze providers. Door gebruik te maken van een serververificatiecertificaat dat is uitgegeven door een van deze providers, vertrouwen uw clients het automatisch.
Zodra u een serververificatiecertificaat voor de SMS-provider hebt, moet u dit handmatig verbinden met poort 443 in IIS op de server die als host fungeert voor de SMS-providerrol.
Voeg eerst het certificaat toe aan de server. Importeer het certificaat in het persoonlijke archief van de lokale computer. Gebruik vervolgens een van de volgende opties om het certificaat te binden:
Het certificaat binden met IIS
Als de server met de rol SMS-provider de IIS-beheerconsole heeft, gebruikt u de actie Bindingen bewerken op de standaardwebsite. Voeg poort 443 toe en geef uw certificaat op uit het certificaatarchief van de computer.
Opmerking
Voor de sms-providerrol is IIS niet vereist. In deze procedure wordt de IIS-console gebruikt om het certificaat te binden. Deze certificaatbindingen zijn voor de computer, niet voor een specifieke service.
Het certificaat binden met netsh
Gebruik de netsh-opdrachtregel om het certificaat te binden:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Waarbij <thumbprint>
de vingerafdruk van het geïnstalleerde certificaat is en <GUID>
een willekeurige GUID is.
Tip
Gebruik de cmdlet New-Guid
Windows PowerShell om een willekeurige GUID te genereren.
Bijvoorbeeld:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Internettoegang inschakelen
U kunt de beheerservice alleen on-premises gebruiken of u kunt deze inschakelen voor toegang via de cloudbeheergateway (CMG). Sommige scenario's vereisen toegang tot de beheerservice via internet, zoals tenantkoppeling of app-goedkeuringen via e-mail.
Voordat u de SMS-provider kunt configureren om CMG-verkeer toe te staan, moet u eerst een CMG instellen. Zie Overzicht van CMG voor meer informatie.
Gebruik vervolgens het volgende proces om de beheerservice via de CMG in te schakelen:
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Servers en sitesysteemrollen.
Selecteer de server met de functie SMS-provider .
Tip
Selecteer op het lint op het tabblad Start de optie Servers met rol en selecteer vervolgens SMS-provider. Met deze actie ziet u de sitesystemen met die rol.
Selecteer in het detailvenster de rol SMS-provider en selecteer Eigenschappen op het lint op het tabblad Siterol .
Selecteer de optie Verkeer van Configuration Manager cloudbeheergateway toestaan voor beheerservice.
Vervang de FQDN van de SMS-provider door het CMG-eindpunt om toegang te krijgen tot de beheerservice vanaf internet. Bijvoorbeeld:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Tip
Gebruik de volgende stappen om de waarde voor dit eindpunt op te halen:
Maak een CMG. Zie Een CMG instellen voor meer informatie.
Open op een actieve client een Windows PowerShell opdrachtprompt als beheerder.
Voer de volgende opdracht uit:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Consolegebruik inschakelen
Opmerking
Vanaf versie 2111 wordt de optie voor het inschakelen van de Configuration Manager-console voor gebruik van de beheerservice verwijderd. De beheerservice is altijd ingeschakeld, dus de console gebruikt deze wanneer dat nodig is.
Schakel sommige knooppunten van de Configuration Manager-console in om de beheerservice te gebruiken. Met deze wijziging kan de console communiceren met de SMS-provider via HTTPS in plaats van via WMI.
Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Siteconfiguratie uit en selecteer het knooppunt Sites. Selecteer Hiërarchie-instellingen op het lint.
Selecteer op de pagina Algemeen de optie De Configuration Manager-console inschakelen om de beheerservice te gebruiken.
Deze wijziging is alleen van invloed op de volgende knooppunten onder het knooppunt Beveiliging in de werkruimte Beheer :
- Gebruikers met beheerdersrechten
- Beveiligingsrollen
- Beveiligingsbereiken
- Consoleverbindingen
Wanneer u een van deze knooppunten selecteert, wordt het volgende foutbericht weergegeven:
Configuration Manager kan geen verbinding maken met de beheerservice
Bekijk de informatie onder de fout. Controleer vervolgens of de beheerservice is ingeschakeld, geconfigureerd en functioneel is. Zie de sectie Verifiëren voor meer informatie, waaronder logboekbestanden die u kunt controleren.
Controleren
Wanneer de site de beheerservice installeert, wordt de activiteit geregistreerd in het bestand RESTPROVIDERSetup.log in de Configuration Manager installatiemap. Dit pad is C:\Program Files\Microsoft Configuration Manager\logs
standaard .
De site houdt de status van de beheerservice bij in het bestand SMS_REST_PROVIDER.log . U ziet de start van de service en informatie over het certificaat.
Test de beheerservice door een eenvoudige query uit te voeren in een webbrowser, bijvoorbeeld:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
De beheerservice registreert de activiteiten in het bestand adminservice.log op de SMS Provider-server in de Configuration Manager installatiemap.
Voor de bovenstaande metagegevensquery bevat het logboekbestand de volgende regels:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]