Konfigurowanie cmg dla Configuration Manager

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Po wprowadzeniu wymagań wstępnych możesz rozpocząć proces konfigurowania bramy zarządzania chmurą (CMG). Przed rozpoczęciem tego procesu upewnij się, że masz niezbędne informacje i wymagania wstępne do utworzenia cmg. Aby uzyskać więcej informacji, zobacz Konfigurowanie listy kontrolnej dla programu CMG.

Ten krok ogólnego procesu obejmuje następujące akcje:

  • Użyj konsoli Configuration Manager, aby utworzyć usługę CMG na platformie Azure.
  • Skonfiguruj lokację główną na potrzeby uwierzytelniania certyfikatu klienta.
  • Dodaj rolę systemu lokacji punktu połączenia cmg.
  • Skonfiguruj punkt zarządzania i punkt aktualizacji oprogramowania dla ruchu cmg.
  • Konfigurowanie grup granic.

Konfigurowanie cmg

Uwaga

Wdrażanie usługi CMG z zestawem skalowania maszyn wirtualnych na platformie Azure zostało po raz pierwszy wprowadzone w wersji 2010 jako funkcja w wersji wstępnej. Począwszy od wersji 2107, nie jest to już funkcja wersji wstępnej.

Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z poziomu aktualizacji.

Wykonaj tę procedurę w lokacji najwyższego poziomu. Ta lokacja jest autonomiczną lokacją główną lub centralną lokacją administracyjną (CAS).

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Cloud Services i wybierz pozycję Brama zarządzania chmurą.

  2. Na wstążce wybierz pozycję Utwórz bramę zarządzania chmurą.

  3. Na stronie Ogólne kreatora najpierw określ środowisko platformy Azure dla tej grupy cmg:

    • AzurePublicCloud: utwórz usługę w globalnej chmurze platformy Azure.
    • AzureUSGovernmentCloud: tworzenie usługi w chmurze azure us government.

  4. Następnie wybierz sposób wdrażania usługi CMG na platformie Azure:

    • Zestaw skalowania maszyn wirtualnych

      • Począwszy od wersji 2203, zestaw skalowania maszyn wirtualnych jest jedyną opcją.

      • Począwszy od wersji 2107, ta opcja jest zalecaną metodą wdrażania. Nawet jeśli masz istniejącą grupę cmg wdrożoną przy użyciu metody usługi w chmurze (klasycznej), wdróż nowe wystąpienia cmg jako zestaw skalowania maszyn wirtualnych.

      • W wersjach 2010 i 2103 należy włączyć tę funkcję wersji wstępnej, aby ją wyświetlić. W tych wersjach jest ona przeznaczona tylko dla klientów z subskrypcją dostawcy rozwiązań w chmurze (CSP). Jeśli wdrożono już grupę cmg przy użyciu metody usługi w chmurze (klasycznej ), ta opcja jest niedostępna. Aby uzyskać więcej informacji, zobacz Plan for CMG: Virtual machine scale sets (Planowanie dla cmg: zestawy skalowania maszyn wirtualnych).

    • Usługa w chmurze (klasyczna)

      Ważna

      Począwszy od wersji 2203, opcja wdrożenia cmg jako usługi w chmurze (klasycznej) jest usuwana. Wszystkie wdrożenia cmg powinny używać zestawu skalowania maszyn wirtualnych. Aby uzyskać więcej informacji, zobacz Funkcje usunięte i przestarzałe.

      • W wersji 2107 i nowszej użyj tej opcji tylko wtedy, gdy nie możesz wdrożyć zestawu skalowania maszyn wirtualnych z powodu jednego z ograniczeń.

      • W wersjach 2010 i 2103 większość klientów powinna korzystać z tej metody wdrażania.

  5. Począwszy od wersji 2309, wybierz Microsoft Entra nazwę dzierżawy, Microsoft Entra nazwa aplikacji zostanie automatycznie wypełniona. Wybierz pozycję Zaloguj. Uwierzytelnianie przy użyciu konta właściciela subskrypcji platformy Azure. Jeśli posiadasz wiele subskrypcji, wybierz identyfikator subskrypcji , która ma być używana.

    Uwaga

    Począwszy od wersji 2309, wycofaliśmy użycie aplikacji pierwszej firmy do utworzenia usługi CMG. Teraz usługa CMG używa aplikacji serwera innej firmy do pobierania tokenów elementu nośnego.

  6. W wersji 2303 i nowszej wybierz pozycję Zaloguj się. Uwierzytelnianie przy użyciu konta właściciela subskrypcji platformy Azure. Kreator automatycznie wypełnia pozostałe pola z informacji przechowywanych podczas Microsoft Entra wymagań wstępnych integracji. Jeśli posiadasz wiele subskrypcji, wybierz identyfikator subskrypcji , która ma być używana.

    Wybierz pozycję Dalej i poczekaj, aż lokacja prze testuje połączenie z platformą Azure.

  7. Na stronie Ustawienia kreatora najpierw przejdź do pliku . Plik PFX certyfikatu uwierzytelniania serwera CMG (plik certyfikatu). Nazwa pospolita z tego certyfikatu służy do wypełniania pól Nazwa usługi i Nazwa wdrożenia .

    Jeśli używasz certyfikatu z symbolem wieloznacznym, zastąp gwiazdkę (*) w polu Nazwa usługi prefiksem globalnie unikatowej nazwy wdrożenia dla usługi CMG.

    1. Opcjonalnie określ opis, aby dalej identyfikować tę grupę cmg w konsoli Configuration Manager.

    2. Wybierz region platformy Azure dla tej grupy cmg. Lista dostępnych regionów może się różnić w zależności od wybranej subskrypcji.

    3. Wybierz opcję Grupa zasobów :

      • Jeśli wybierzesz pozycję Użyj istniejącej, wybierz istniejącą grupę zasobów z listy. Ta grupa zasobów musi już istnieć w tym samym regionie wybranym dla cmg. Jeśli wybierzesz istniejącą grupę zasobów i będzie ona w innym regionie niż poprzednio wybrany region, wdrożenie cmg nie powiedzie się.

      • Jeśli wybierzesz pozycję Utwórz nową, wprowadź nową nazwę grupy zasobów.

    4. Domyślnie rozmiar maszyny wirtualnej to Standardowa (A2_V2). Wybierz inną opcję zgodnie z projektem. Na przykład duże (A4_v2) w celu zwiększenia pojemności klienta na maszynę wirtualną lub laboratorium (B2s) w małym środowisku testowym.

      Ważna

      Maszyna wirtualna o rozmiarze laboratorium (B2s) jest przeznaczona tylko do testowania laboratoryjnego i małych środowisk weryfikacji koncepcji. Na przykład z gałęzią Configuration Manager technical preview. Maszyny wirtualne B2s nie są przeznaczone do użytku produkcyjnego z cmg. Są one tanie i o niskich wynikach.

    5. W polu Wystąpienie maszyny wirtualnej wprowadź liczbę maszyn wirtualnych dla tej usługi. Wartość domyślna to jedna, ale można skalować do 16 maszyn wirtualnych na cmg.

    6. Jeśli używasz certyfikatów uwierzytelniania klienta, wybierz pozycję Certyfikaty , aby dodać zaufane certyfikaty główne. Dodaj wszystkie certyfikaty w łańcuchu zaufania.

      Uwaga

      Zaufany certyfikat główny nie jest wymagany podczas korzystania z identyfikatora Microsoft Entra lub tokenów wystawionych przez lokację na potrzeby uwierzytelniania klienta.

    7. Domyślnie kreator włącza opcję Weryfikowanie odwołania certyfikatu klienta. Aby ta weryfikacja działała, należy publicznie opublikować listę odwołania certyfikatów (CRL). Aby uzyskać więcej informacji, zobacz Publikowanie listy odwołania certyfikatów.

    8. Domyślnie kreator włącza opcję Wymuszanie protokołu TLS 1.2. To ustawienie wymaga, aby maszyna wirtualna platformy Azure używała protokołu szyfrowania TLS 1.2. Nie ma zastosowania do żadnych lokalnych serwerów Configuration Manager lokacji ani klientów. Począwszy od wersji 2107 z pakietem zbiorczym aktualizacji, to ustawienie dotyczy również konta magazynu cmg. Aby uzyskać więcej informacji, zobacz Jak włączyć protokół TLS 1.2.

    9. Domyślnie kreator włącza opcję Zezwalaj cmg na działanie jako punkt dystrybucji w chmurze i obsługę zawartości z usługi Azure Storage. Jeśli planujesz określanie docelowych wdrożeń z zawartością dla klientów, musisz skonfigurować cmg do obsługi zawartości.

  8. Dalej znajduje się strona Alerty kreatora. Aby monitorować ruch cmg z progiem 14-dniowym, włącz alert progowy. Następnie określ próg i wartość procentową, przy której chcesz podnieść różne poziomy alertów. Możesz również włączyć próg alertu magazynu. Po zakończeniu wybierz pozycję Dalej .

  9. Przejrzyj ustawienia i ukończ pracę kreatora.

Configuration Manager rozpoczyna konfigurowanie usługi. Ilość czasu potrzebnego do całkowitego aprowizowania usługi na platformie Azure zależy od określonych ustawień. Aby określić, kiedy usługa jest gotowa, wyświetl kolumnę Stan dla nowej grupy cmg.

Aby rozwiązać problemy z wdrożeniami cmg, użyj plików CloudMgr.log i CMGSetup.log. Aby uzyskać więcej informacji, zobacz Monitorowanie cmg.

Porada

W tym procesie można również użyć polecenia cmdlet New-CMCloudManagementGateway programu PowerShell. Opcjonalnie użyj tego polecenia cmdlet, aby utworzyć usługę CMG. Aby uzyskać więcej informacji, zobacz New-CMCloudManagementGateway.

Konfigurowanie lokacji głównej na potrzeby uwierzytelniania certyfikatu klienta

Jeśli używasz certyfikatów uwierzytelniania klienta dla klientów do uwierzytelniania za pomocą usługi CMG, wykonaj tę procedurę, aby skonfigurować każdą lokację główną.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz pozycję Lokacje.

  2. Wybierz lokację główną, do której są przypisani klienci internetowi, a następnie wybierz pozycję Właściwości.

  3. Przejdź do karty Zabezpieczenia komunikacji i wybierz pozycję Użyj certyfikatu klienta PKI (uwierzytelnianie klienta), jeśli jest dostępny.

  4. Jeśli nie publikujesz listy CRL, wyłącz następującą opcję: Klienci sprawdzają listę odwołania certyfikatów (CRL) dla systemów lokacji.

Dodawanie punktu połączenia cmg

Punkt połączenia cmg to rola systemu lokacji, która jest wymagana do komunikacji z lokalnego wdrożenia Configuration Manager do opartej na chmurze grupy cmg. Przed rozpoczęciem tego procesu należy opracować plan dla roli i zidentyfikować co najmniej jeden istniejący serwer systemu lokacji. Aby uzyskać więcej informacji, zobacz Plan for the CMG (Planowanie dla cmg).

Aby dodać punkt połączenia cmg, poniższe kroki podsumowują instrukcje dotyczące instalowania ról systemu lokacji:

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Serwery i Role systemu lokacji.

  2. Wybierz istniejący serwer lokacji, do którego chcesz dodać tę rolę. Na wstążce na karcie Narzędzia główne wybierz pozycję Dodaj role systemu lokacji.

  3. Na ekranie Wybór roli systemu wybierz pozycję Punkt połączenia bramy zarządzania chmurą, a następnie wybierz pozycję Dalej. Wybierz nazwę bramy zarządzania chmurą , z którą łączy się ten serwer. Kreator wyświetli region dla wybranej grupy cmg.

Ważna

Jeśli używasz certyfikatów uwierzytelniania klienta, punkt połączenia cmg potrzebuje tego certyfikatu. Aby uzyskać więcej informacji, zobacz certyfikat uwierzytelniania klienta.

Aby rozwiązać problemy z kondycją usługi CMG, użyj plików CMGService.log i SMS_Cloud_ProxyConnector.log. Aby uzyskać więcej informacji, zobacz Pliki dziennika.

Porada

Opcjonalnie możesz również użyć polecenia cmdlet programu PowerShell Add-CMCloudManagementGatewayConnectionPoint , aby dodać rolę punktu połączenia CMG do serwera systemu lokacji.

Aby uzyskać więcej informacji, zobacz Add-CMCloudManagementGatewayConnectionPoint.

Konfigurowanie ról kierowanych do klienta dla ruchu cmg

Skonfiguruj systemy lokacji punktu zarządzania i punktu aktualizacji oprogramowania, aby akceptować ruch cmg. Wykonaj tę procedurę w lokacji głównej dla wszystkich punktów zarządzania i punktów aktualizacji oprogramowania, które obsługują klientów internetowych.

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Konfiguracja lokacji i wybierz węzeł Serwery i Role systemu lokacji. Na karcie Narzędzia główne wstążki w grupie Widok wybierz pozycję Serwery z rolą. Następnie wybierz pozycję Punkt zarządzania z listy.

  2. Wybierz serwer systemu lokacji, który chcesz skonfigurować dla ruchu cmg. Wybierz rolę punktu zarządzania w okienku szczegółów, a następnie w grupie Rola witryny na wstążce wybierz pozycję Właściwości.

  3. W arkuszu właściwości punktu zarządzania w obszarze Połączenia klienta wybierz pozycję Zezwalaj Configuration Manager ruch bramy zarządzania chmurą.

    W zależności od projektu cmg i wersji Configuration Manager może być konieczne włączenie opcji HTTPS. Aby uzyskać więcej informacji, zobacz Włączanie punktu zarządzania dla protokołu HTTPS.

  4. Wybierz przycisk OK , aby zamknąć okno właściwości punktu zarządzania.

Powtórz te kroki dla innych punktów zarządzania w razie potrzeby i dla wszystkich punktów aktualizacji oprogramowania.

Konfigurowanie grup granic

Grupę cmg można skojarzyć z grupą granic. Ta konfiguracja umożliwia klientom korzystanie z usługi CMG na potrzeby komunikacji z klientem zgodnie z relacjami grupy granic. Ta konfiguracja jest korzystna dla klientów sieci VPN lub oddziałów, gdzie lepszym rozwiązaniem może być zarządzanie nimi za pośrednictwem usługi CMG niż za pośrednictwem połączenia sieci VPN lub sieci WAN. Jeśli włączysz opcję Preferuj źródła oparte na chmurze w stosunku do źródeł lokalnych , klienci będą preferować cmg zarówno dla zasad, jak i zawartości.

Aby uzyskać więcej informacji na temat grup granic, zobacz Konfigurowanie grup granic.

Podczas tworzenia lub konfigurowania grupy granic na karcie Odwołania dodaj bramę zarządzania chmurą. Ta akcja kojarzy grupę cmg z tą grupą granic.

Usługi branchcache

Aby włączyć obsługę zawartości cmg do korzystania z usługi Windows BranchCache, zainstaluj funkcję Usługi BranchCache na serwerze lokacji.

  • Jeśli serwer lokacji ma rolę lokalnego systemu lokacji punktu dystrybucji, skonfiguruj opcję we właściwościach tej roli, aby włączyć i skonfigurować usługę BranchCache. Aby uzyskać więcej informacji, zobacz Konfigurowanie punktu dystrybucji.

  • Jeśli serwer lokacji nie ma roli punktu dystrybucji, zainstaluj funkcję Usługi BranchCache w systemie Windows. Aby uzyskać więcej informacji, zobacz Instalowanie funkcji Usługi BranchCache.

Jeśli zawartość została już dystrybuowana do grupy cmg, a następnie zdecydujesz się włączyć usługę BranchCache, najpierw zainstaluj tę funkcję. Następnie ponownie redystrybuuj zawartość do grupy cmg.

Dystrybuowanie zawartości i zarządzanie nią

Rozłóż zawartość do cmg z obsługą zawartości tak samo jak każdy inny punkt dystrybucji. Punkt zarządzania nie zawiera grupy cmg na liście lokalizacji zawartości, chyba że ma zawartość, którą żądają klienci. Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości i zarządzanie nią.

Zarządzaj zawartością w usłudze CMG tak samo jak w każdym innym punkcie dystrybucji. Te akcje obejmują przypisanie go do grupy punktów dystrybucji i zarządzanie pakietami zawartości. Aby uzyskać więcej informacji, zobacz Instalowanie i konfigurowanie punktów dystrybucji.

Następne kroki

Kontynuuj konfigurację programu CMG, konfigurując klientów dla usługi CMG:

Konfigurowanie klientów dla usługi CMG