Udostępnij za pośrednictwem


Jak skonfigurować usługę administracyjną w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Wykonaj kroki opisane w tym artykule, aby skonfigurować usługę administracyjną u dostawcy programu SMS. Przed rozpoczęciem przeczytaj wymagania wstępne usługi administracyjnej.

Włączanie bezpiecznej komunikacji HTTPS

Skonfiguruj usługę administracyjną tak, aby używała bezpiecznego połączenia HTTPS w celu ochrony danych przesyłanych przez sieć.

Począwszy od wersji 2010, nie trzeba już włączać usług IIS u dostawcy programu SMS dla usługi administracyjnej. Witryna tworzy certyfikat z podpisem własnym dla dostawcy programu SMS i automatycznie wiąże go bez konieczności używania usług IIS. Jeśli wcześniej zainstalowano usługi IIS u dostawcy programu SMS, możesz je usunąć. Następnie uruchom ponownie składnik SMS_REST_PROVIDER. Pamiętaj, że musisz otworzyć port HTTPS 443 w zaporze.

Usługa administracyjna automatycznie używa certyfikatu z podpisem własnym witryny. To zachowanie pomaga zmniejszyć tarcie w celu łatwiejszego korzystania z usługi administracyjnej. Witryna zawsze generuje ten certyfikat. Usługa administracyjna ignoruje ustawienie rozszerzonej lokacji HTTP, ponieważ zawsze używa certyfikatu lokacji, nawet jeśli żaden inny system lokacji nie używa rozszerzonego protokołu HTTP. Nadal można ręcznie powiązać certyfikat uwierzytelniania serwera opartego na infrastrukturze PKI. Jeśli certyfikat PKI został już powiązany z portem 443 na serwerze dostawcy programu SMS, usługa administracyjna używa tego istniejącego certyfikatu.

Używanie certyfikatu uwierzytelniania serwera

Uwaga

Domyślnie usługa administracyjna automatycznie używa certyfikatu z podpisem własnym witryny. Nadal można ręcznie powiązać certyfikat uwierzytelniania serwera opartego na infrastrukturze PKI. Aby można było powiązać certyfikat oparty na infrastrukturze PKI, ręcznie usuń powiązanie certyfikatu z podpisem własnym lokacji z portu 443 u dostawcy programu SMS.

Istnieją dwie podstawowe metody korzystania z certyfikatu uwierzytelniania serwera:

  • Z infrastruktury kluczy publicznych organizacji (PKI)

    • Jeśli środowisko ma już infrastrukturę kluczy publicznych, możesz użyć jej do wystawienia certyfikatu uwierzytelniania serwera dla dostawcy programu SMS. Ten certyfikat jest podobny do certyfikatu używanego dla punktu zarządzania lub punktu dystrybucji. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych.

    • Większość implementacji infrastruktury PKI przedsiębiorstwa dodaje zaufane główne urzędy certyfikacji do klientów systemu Windows. Na przykład przy użyciu usług certyfikatów Active Directory z zasadami grupy. Jeśli wystawisz certyfikat z urzędu certyfikacji, któremu klienci nie ufają automatycznie, dodaj zaufany certyfikat główny urzędu certyfikacji do klientów. Zakres tego zaufania można określić tylko dla klientów, którzy muszą uzyskać dostęp do usługi administracyjnej.

  • Użyj certyfikatu od publicznego i globalnie zaufanego dostawcy certyfikatów. Klienci systemu Windows obejmują zaufane główne urzędy certyfikacji (CA) od tych dostawców. Używając certyfikatu uwierzytelniania serwera wystawionego przez jednego z tych dostawców, klienci automatycznie ufają temu certyfikatowi.

Po utworzeniu certyfikatu uwierzytelniania serwera dla dostawcy programu SMS należy ręcznie powiązać go z portem 443 w usługach IIS na serwerze hostującym rolę dostawcy programu SMS.

Najpierw dodaj certyfikat do serwera. Zaimportuj certyfikat do magazynu osobistego maszyny lokalnej. Następnie użyj jednej z następujących opcji, aby powiązać certyfikat:

Wiązanie certyfikatu z usługami IIS

Jeśli serwer z rolą dostawcy programu SMS ma konsolę zarządzania usługami IIS, użyj akcji Edytuj powiązania w domyślnej witrynie sieci Web. Dodaj port 443 i określ certyfikat z magazynu certyfikatów maszyny.

Uwaga

Rola dostawcy programu SMS nie wymaga usług IIS. Ta procedura używa konsoli usług IIS do powiązania certyfikatu. Te powiązania certyfikatów dotyczą maszyny, a nie żadnej konkretnej usługi.

Wiązanie certyfikatu za pomocą narzędzia netsh

Użyj wiersza polecenia netsh, aby powiązać certyfikat:

netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}

Gdzie <thumbprint> jest odcisk palca zainstalowanego certyfikatu i <GUID> jest losowym identyfikatorem GUID.

Porada

Użyj polecenia cmdlet New-Guid Windows PowerShell, aby wygenerować losowy identyfikator GUID.

Przykład:

netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}

Włączanie dostępu do Internetu

Możesz użyć usługi administracyjnej tylko lokalnie lub włączyć ją w celu uzyskania dostępu za pośrednictwem bramy zarządzania chmurą (CMG). Niektóre scenariusze wymagają dostępu do usługi administracyjnej z Internetu, na przykład dołączania dzierżawy lub zatwierdzania aplikacji za pośrednictwem poczty e-mail.

Zanim będzie można skonfigurować dostawcę programu SMS, aby zezwolić na ruch cmg, najpierw skonfiguruj cmg. Aby uzyskać więcej informacji, zobacz Omówienie cmg.

Następnie użyj następującego procesu, aby włączyć usługę administracyjną za pośrednictwem usługi CMG:

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Serwery i Role systemu lokacji.

  2. Wybierz serwer z rolą dostawcy programu SMS .

    Porada

    Na wstążce na karcie Narzędzia główne wybierz pozycję Serwery z rolą , a następnie wybierz pozycję Dostawca programu SMS. Ta akcja przedstawia systemy lokacji z tą rolą.

  3. W okienku szczegółów wybierz rolę Dostawca programu SMS , a następnie wybierz pozycję Właściwości na wstążce na karcie Rola witryny .

  4. Wybierz opcję Zezwalaj na ruch bramy zarządzania chmurą Configuration Manager dla usługi administracyjnej.

Aby uzyskać dostęp do usługi administracyjnej z Internetu, zastąp nazwę FQDN dostawcy programu SMS punktem końcowym cmg. Przykład:

https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService

Porada

Aby uzyskać wartość dla tego punktu końcowego, wykonaj następujące kroki:

  • Utwórz grupę cmg. Aby uzyskać więcej informacji, zobacz Konfigurowanie cmg.

  • Na aktywnym kliencie otwórz wiersz polecenia Windows PowerShell jako administrator.

  • Uruchom następujące polecenie:

    (Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
    

Włączanie użycia konsoli

Uwaga

Począwszy od wersji 2111, opcja Włącz konsolę Configuration Manager do korzystania z usługi administracyjnej jest usuwana. Usługa administracyjna jest zawsze włączona, więc konsola będzie jej używać w razie potrzeby.

Włącz niektóre węzły konsoli Configuration Manager, aby korzystać z usługi administracyjnej. Ta zmiana umożliwia konsoli komunikowanie się z dostawcą programu SMS za pośrednictwem protokołu HTTPS, a nie za pośrednictwem usługi WMI.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Lokacje. Na wstążce wybierz pozycję Ustawienia hierarchii.

  2. Na stronie Ogólne wybierz opcję Włącz konsolę Configuration Manager, aby korzystać z usługi administracyjnej.

Ta zmiana dotyczy tylko następujących węzłów w węźle Zabezpieczenia w obszarze roboczym Administracja :

  • Użytkownicy administracyjni
  • Role zabezpieczeń
  • Zakresy zabezpieczeń
  • Połączenia konsoli

Po wybraniu jednego z tych węzłów zostanie wyświetlony następujący komunikat o błędzie:

Configuration Manager nie może nawiązać połączenia z usługą administracyjną

Przejrzyj informacje poniżej błędu. Następnie sprawdź, czy usługa administracyjna jest włączona, skonfigurowana i funkcjonalna. Aby uzyskać więcej informacji, w tym pliki dziennika do przejrzenia, zobacz sekcję Weryfikacja .

Sprawdź

Gdy lokacja instaluje usługę administracyjną, rejestruje aktywność w pliku RESTPROVIDERSetup.log w katalogu instalacyjnym Configuration Manager. Domyślnie ta ścieżka to C:\Program Files\Microsoft Configuration Manager\logs.

Witryna śledzi stan kondycji usługi administracyjnej w pliku SMS_REST_PROVIDER.log . Możesz wyświetlić uruchomienie usługi i informacje o certyfikacie.

Przetestuj usługę administracyjną, wykonując proste zapytanie w przeglądarce internetowej, na przykład:

https://smsprovider.contoso.com/adminservice/v1.0/$metadata

Usługa administracyjna rejestruje swoje działanie w pliku adminservice.log na serwerze dostawcy programu SMS w katalogu instalacyjnym Configuration Manager.

W przypadku powyższego zapytania metadanych plik dziennika zawiera następujące wiersze:

Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]

Następne kroki