Udostępnij za pośrednictwem


Planowanie sposobu wznawczania klientów w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Configuration Manager obsługuje tradycyjne pakiety wznawcze w celu wznawczania komputerów w trybie uśpienia, gdy chcesz zainstalować wymagane oprogramowanie, takie jak aktualizacje oprogramowania i aplikacje.

Uwaga

W tym artykule opisano, jak działa starsza wersja funkcji Wake on LAN. Ta funkcja nadal istnieje w Configuration Manager wersji 1810, która zawiera również nowszą wersję funkcji Wake on LAN. Obie wersje funkcji Wake on LAN mogą i w wielu przypadkach będą włączane jednocześnie. Aby uzyskać więcej informacji na temat sposobu działania nowej wersji funkcji Wake on LAN począwszy od 1810 r. i włączania obu wersji, zobacz How to configure Wake on LAN (Jak skonfigurować wake on LAN).

Jak obudzić klientów w Configuration Manager

Configuration Manager obsługuje tradycyjne pakiety wznawcze w celu wznawczania komputerów w trybie uśpienia, gdy chcesz zainstalować wymagane oprogramowanie, takie jak aktualizacje oprogramowania i aplikacje.

Tradycyjną metodę pakietów wznawczania można uzupełnić przy użyciu ustawień klienta serwera proxy wznawczego. Serwer proxy wznawczania używa protokołu równorzędnego i wybranych komputerów do sprawdzania, czy inne komputery w podsieci są w stanie uśpienia i w razie potrzeby ich wznawiadcza. Po skonfigurowaniu lokacji pod kątem sieci LAN wznawczania i skonfigurowaniu klientów na potrzeby serwera proxy wznawczego działania proces działa w następujący sposób:

  1. Komputery z zainstalowanym klientem Configuration Manager, które nie są w stanie uśpienia w podsieci, sprawdzają, czy inne komputery w podsieci są wybudzone. Sprawdzają to, wysyłając sobie nawzajem polecenie ping TCP/IP co pięć sekund.

  2. Jeśli nie ma odpowiedzi z innych komputerów, zakłada się, że śpią. Komputery, które są wybudzone, stają się komputerem menedżera dla podsieci.

    Ponieważ jest możliwe, że komputer może nie odpowiadać z powodu innego niż uśpienie (na przykład jest on wyłączony, usunięty z sieci lub ustawienie klienta wznawiania serwera proxy nie jest już stosowane), komputery są wysyłane pakiet wznawiania codziennie o godzinie 14:00 czasu lokalnego. Komputery, które nie odpowiadają, nie będą już zakładane jako śpiące i nie zostaną obudzone przez serwer proxy wznawiania.

    Aby obsługiwać serwer proxy wznawczania, co najmniej trzy komputery muszą być wybudzone dla każdej podsieci. Aby osiągnąć to wymaganie, trzy komputery nie są deterministycznie wybierane jako komputery ochrony dla podsieci. Ten stan oznacza, że nie śpią, pomimo skonfigurowanych zasad zasilania do uśpienia lub hibernacji po okresie braku aktywności. Komputery ochrony honorują polecenia zamykania lub ponownego uruchamiania, na przykład w wyniku zadań konserwacji. W przypadku takiej akcji pozostałe komputery strażników wybudzą inny komputer w podsieci, tak aby podsieć nadal miała trzy komputery stróżujące.

  3. Komputery menedżera proszą przełącznik sieciowy o przekierowanie ruchu sieciowego dla komputerów śpiących do siebie.

    Przekierowywanie jest osiągane przez komputer menedżera, który emituje ramkę Ethernet, która używa adresu MAC komputera śpiącego jako adresu źródłowego. To zachowanie sprawia, że przełącznik sieciowy zachowuje się tak, jakby komputer uśpienia został przeniesiony do tego samego portu, na jakim znajduje się komputer menedżera. Komputer menedżera wysyła również pakiety ARP dla komputerów śpiących, aby zachować świeżość wpisu w pamięci podręcznej ARP. Komputer menedżera odpowiada również na żądania ARP w imieniu komputera uśpienia i odpowiada adresem MAC komputera śpiącego.

    Ostrzeżenie

    W trakcie tego procesu mapowanie adresu IP na komputer MAC dla komputera śpiącego pozostaje takie samo. Serwer proxy wznawiania działa, informując przełącznik sieciowy, że inna karta sieciowa używa portu zarejestrowanego przez inną kartę sieciową. Jednak to zachowanie jest znane jako klapa MAC i jest nietypowe w przypadku standardowej operacji sieciowej. Niektóre narzędzia do monitorowania sieci szukają tego zachowania i mogą zakładać, że coś jest nie tak. W związku z tym te narzędzia do monitorowania mogą generować alerty lub zamykać porty podczas korzystania z serwera proxy wznawczego.

    Nie używaj serwera proxy wznawczania, jeśli narzędzia i usługi do monitorowania sieci nie zezwalają na klapy mac.

  4. Gdy komputer menedżera widzi nowe żądanie połączenia TCP dla komputera śpiącego, a żądanie jest do portu, na który komputer uśpienia nasłuchiwał przed uśpieniem, komputer menedżera wysyła pakiet wznawczania do komputera śpiącego, a następnie zatrzymuje przekierowywanie ruchu dla tego komputera.

  5. Komputer uśpienia odbiera pakiet wznawczości i budzi się. Komputer wysyłający automatycznie ponawia próbę połączenia i tym razem komputer jest w stanie uśpienia i może odpowiedzieć.

    Serwer proxy wznawczania ma następujące wymagania wstępne i ograniczenia:

Ważna

Jeśli masz osobny zespół odpowiedzialny za infrastrukturę sieci i usługi sieciowe, powiadom i dołącz ten zespół w okresie oceny i testowania. Na przykład w sieci używającej kontroli dostępu do sieci 802.1X serwer proxy wznawczania nie będzie działać i może zakłócić działanie usługi sieciowej. Ponadto serwer proxy wznawczania może spowodować, że niektóre narzędzia do monitorowania sieci będą generować alerty, gdy narzędzia wykryje ruch w celu wybudzenia innych komputerów.

  • Wszystkie systemy operacyjne Windows wymienione jako obsługiwana klienci w obsługiwanych systemach operacyjnych dla klientów i urządzeń są obsługiwane w przypadku wznawczania w sieci LAN.

  • Systemy operacyjne gościa działające na maszynie wirtualnej nie są obsługiwane.

  • Klienci muszą mieć włączoną obsługę serwera proxy wznawczania przy użyciu ustawień klienta. Mimo że operacja serwera proxy wznawiania nie zależy od spisu sprzętu, klienci nie zgłaszają instalacji usługi serwera proxy wznawiania, chyba że są oni włączeni dla spisu sprzętu i przesyłają co najmniej jeden spis sprzętu.

  • Karty sieciowe (i być może bios) muszą być włączone i skonfigurowane dla pakietów wznawczego. Jeśli karta sieciowa nie jest skonfigurowana pod kątem pakietów wznawień lub to ustawienie jest wyłączone, Configuration Manager automatycznie skonfiguruje i włączy ją dla komputera po odebraniu ustawienia klienta w celu włączenia serwera proxy wznawienia.

  • Jeśli komputer ma więcej niż jedną kartę sieciową, nie można skonfigurować karty do użycia na potrzeby serwera proxy wznawczego. wybór nie jest deterministyczny. Jednak wybrana karta jest rejestrowana w pliku SleepAgent_<DOMAIN>@SYSTEM_0.log.

  • Sieć musi zezwalać na żądania echa protokołu ICMP (przynajmniej w podsieci). Nie można skonfigurować interwału pięciu sekund, który jest używany do wysyłania poleceń ping protokołu ICMP.

  • Komunikacja jest niezaszyfrowana i nieuwierzytelniona, a protokół IPsec nie jest obsługiwany.

  • Następujące konfiguracje sieci nie są obsługiwane:

    • 802.1X z uwierzytelnianiem portów

    • Sieci bezprzewodowe

    • Przełączniki sieciowe, które wiążą adresy MAC z określonymi portami

    • Sieci tylko IPv6

    • Czas trwania dzierżawy DHCP krótszy niż 24 godziny

Jeśli chcesz obudzić komputery na potrzeby zaplanowanej instalacji oprogramowania, musisz skonfigurować każdą lokację główną tak, aby używała pakietów wznawczego.

Aby korzystać z serwera proxy wznawczania, należy wdrożyć ustawienia klienta serwera proxy wznawczania usługi Power Management oprócz konfigurowania lokacji głównej.

Zdecyduj, czy mają być używane pakiety emisji kierowane do podsieci, czy pakiety emisji pojedynczej, oraz jaki numer portu UDP ma być używany. Domyślnie tradycyjne pakiety wznawcze są przesyłane przy użyciu portu UDP 9, ale aby zwiększyć bezpieczeństwo, możesz wybrać alternatywny port dla lokacji, jeśli ten alternatywny port jest obsługiwany przez interweniujące routery i zapory.

Wybieranie między emisją pojedynczą a emisją Subnet-Directed dla funkcji Wake-on-LAN

Jeśli zdecydujesz się obudzić komputery, wysyłając tradycyjne pakiety wznawiadcza, musisz zdecydować, czy przesyłać pakiety emisji pojedynczej, czy pakiety emisji bezpośredniej podsieci. Jeśli używasz serwera proxy wznawczania, musisz użyć pakietów emisji pojedynczej. W przeciwnym razie użyj poniższej tabeli, aby określić, którą metodę transmisji wybrać.

Metoda transmisji Korzyści Wadą
Emisji pojedynczej Bezpieczniejsze rozwiązanie niż emisje kierowane do podsieci, ponieważ pakiet jest wysyłany bezpośrednio do komputera, a nie do wszystkich komputerów w podsieci.

Może nie wymagać ponownej konfiguracji routerów (może być konieczne skonfigurowanie pamięci podręcznej ARP).

Zużywa mniejszą przepustowość sieci niż transmisje emisji kierowane do podsieci.

Obsługiwane przy użyciu protokołu IPv4 i IPv6.
Pakiety wznawiania nie znajdują komputerów docelowych, które zmieniły swój adres podsieci po ostatnim harmonogramie spisu sprzętu.

Może być konieczne skonfigurowanie przełączników do przekazywania pakietów UDP.

Niektóre karty sieciowe mogą nie reagować na pakiety wznawcze we wszystkich stanach uśpienia, gdy używają emisji pojedynczej jako metody transmisji.
emisja Subnet-Directed Wyższy wskaźnik sukcesu niż emisja pojedyncza, jeśli masz komputery, które często zmieniają swój adres IP w tej samej podsieci.

Nie jest wymagana ponowna konfiguracja przełącznika.

Wysoka zgodność z kartami komputerowymi dla wszystkich stanów uśpienia, ponieważ emisje kierowane do podsieci były oryginalną metodą transmisji do wysyłania pakietów wznawiadcza.
Mniej bezpieczne rozwiązanie niż użycie emisji pojedynczej, ponieważ osoba atakująca może wysyłać ciągłe strumienie żądań echa ICMP ze sfałszowanego adresu źródłowego na adres emisji kierowanej. Powoduje to, że wszystkie hosty odpowiadają na ten adres źródłowy. Jeśli routery są skonfigurowane tak, aby zezwalały na emisje kierowane do podsieci, zalecana jest dodatkowa konfiguracja ze względów bezpieczeństwa:

— Skonfiguruj routery tak, aby zezwalały tylko na emisje kierowane przez adres IP z serwera lokacji Configuration Manager przy użyciu określonego numeru portu UDP.
— Skonfiguruj Configuration Manager, aby używać określonego numeru portu, który nie jest domyślny.

Może wymagać ponownej konfiguracji wszystkich interweniujących routerów w celu włączenia emisji kierowanych do podsieci.

Zużywa większą przepustowość sieci niż transmisje emisji pojedynczej.

Obsługiwane tylko przy użyciu protokołu IPv4; Protokół IPv6 nie jest obsługiwany.

Ostrzeżenie

Istnieją zagrożenia bezpieczeństwa związane z emisjami kierowanymi do podsieci: osoba atakująca może wysyłać ciągłe strumienie żądań echa protokołu ICMP (Internet Control Message Protocol) ze sfałszowanego adresu źródłowego na adres emisji kierowanej, co powoduje, że wszystkie hosty odpowiadają na ten adres źródłowy. Ten typ ataku typu "odmowa usługi" jest często nazywany atakiem smerfowym i jest zwykle ograniczany przez niewłączenie emisji kierowanych do podsieci.