Planejar como acordar clientes no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Configuration Manager dá suporte a pacotes de despertar tradicionais para acordar computadores no modo de sono quando você deseja instalar o software necessário, como atualizações de software e aplicativos.
Observação
Este artigo descreve como uma versão mais antiga do Wake on LAN funciona. Essa funcionalidade ainda existe no Configuration Manager versão 1810, que também inclui uma versão mais recente do Wake na LAN. Ambas as versões do Wake on LAN podem e, em muitos casos, serão habilitadas simultaneamente. Para obter mais informações sobre como a nova versão do Wake on LAN funciona a partir de 1810 e habilitando ambas as versões, consulte Como configurar o Wake na LAN.
Como acordar clientes no Configuration Manager
Configuration Manager dá suporte a pacotes de despertar tradicionais para acordar computadores no modo de sono quando você deseja instalar o software necessário, como atualizações de software e aplicativos.
Você pode complementar o método tradicional de pacote de despertar usando as configurações do cliente proxy de despertar. O proxy de despertar usa um protocolo ponto a ponto e computadores eleitos para verificar se outros computadores na sub-rede estão acordados e para acordá-los, se necessário. Quando o site é configurado para o Wake On LAN e os clientes são configurados para proxy de despertar, o processo funciona da seguinte maneira:
Computadores com o cliente Configuration Manager instalado e que não estão dormindo na sub-rede verificam se outros computadores na sub-rede estão acordados. Eles fazem essa verificação enviando um ao outro um comando de ping TCP/IP a cada cinco segundos.
Se não houver resposta de outros computadores, presume-se que eles estejam dormindo. Os computadores que estão acordados tornam-se o computador gerenciador da sub-rede.
Como é possível que um computador não responda por um motivo diferente do que está dormindo (por exemplo, ele é desativado, removido da rede ou a configuração do cliente de despertar do proxy não é mais aplicada), os computadores são enviados um pacote de despertar todos os dias às 14:00 hora local. Os computadores que não responderem não serão mais considerados dormindo e não serão acordados pelo proxy de despertar.
Para dar suporte ao proxy de despertar, pelo menos três computadores devem estar acordados para cada sub-rede. Para atingir esse requisito, três computadores são escolhidos não deterministicamente para serem computadores guardiões da sub-rede. Esse estado significa que eles permanecem acordados, apesar de qualquer política de energia configurada para dormir ou hibernar após um período de inatividade. Os computadores guardiões honram os comandos de desligamento ou reinicialização, por exemplo, como resultado de tarefas de manutenção. Se essa ação acontecer, os computadores guardiões restantes acordarão outro computador na sub-rede para que a sub-rede continue a ter três computadores guardiões.
Os computadores do gerenciador pedem a opção de rede para redirecionar o tráfego de rede para os computadores que dormem para si mesmos.
O redirecionamento é obtido pelo computador gerenciador que transmite um quadro Ethernet que usa o endereço MAC do computador adormecido como o endereço de origem. Esse comportamento faz com que a opção de rede se comporte como se o computador adormecido tivesse se movido para a mesma porta em que o computador gerenciador está ligado. O computador gerenciador também envia pacotes ARP para os computadores que dormem para manter a entrada fresca no cache ARP. O computador gerenciador também responde às solicitações de ARP em nome do computador adormecido e responde com o endereço MAC do computador adormecido.
Aviso
Durante esse processo, o mapeamento IP para MAC para o computador adormecido permanece o mesmo. O proxy de despertar funciona informando ao comutador de rede que um adaptador de rede diferente está usando a porta registrada por outro adaptador de rede. No entanto, esse comportamento é conhecido como uma aba MAC e é incomum para a operação de rede padrão. Algumas ferramentas de monitoramento de rede procuram esse comportamento e podem assumir que algo está errado. Consequentemente, essas ferramentas de monitoramento podem gerar alertas ou desligar portas quando você usa o proxy de despertar.
Não use o proxy de despertar se suas ferramentas e serviços de monitoramento de rede não permitirem retalhos MAC.
Quando um computador gerenciador vê uma nova solicitação de conexão TCP para um computador dormindo e a solicitação é para uma porta em que o computador adormecido estava escutando antes de dormir, o computador gerenciador envia um pacote de despertar para o computador adormecido e, em seguida, para de redirecionar o tráfego para este computador.
O computador adormecido recebe o pacote de despertar e acorda. O computador de envio tenta automaticamente a conexão e, desta vez, o computador está acordado e pode responder.
O proxy de despertar tem os seguintes pré-requisitos e limitações:
Importante
Se você tiver uma equipe separada responsável pela infraestrutura de rede e pelos serviços de rede, notifique e inclua essa equipe durante o período de avaliação e teste. Por exemplo, em uma rede que usa o controle de acesso à rede 802.1X, o proxy de despertar não funcionará e poderá interromper o serviço de rede. Além disso, o proxy de despertar pode fazer com que algumas ferramentas de monitoramento de rede gerem alertas quando as ferramentas detectam o tráfego para acordar outros computadores.
Todos os sistemas operacionais Windows listados como clientes com suporte em sistemas operacionais com suporte para clientes e dispositivos têm suporte para Wake On LAN.
Não há suporte para sistemas operacionais convidados executados em uma máquina virtual.
Os clientes devem estar habilitados para proxy de despertar usando as configurações do cliente. Embora a operação de proxy de despertar não dependa do inventário de hardware, os clientes não relatam a instalação do serviço proxy de despertar, a menos que estejam habilitados para inventário de hardware e enviem pelo menos um inventário de hardware.
Os adaptadores de rede (e possivelmente o BIOS) devem ser habilitados e configurados para pacotes de despertar. Se o adaptador de rede não estiver configurado para pacotes de despertar ou essa configuração estiver desabilitada, Configuration Manager configurará e habilitará automaticamente para um computador quando receber a configuração do cliente para habilitar o proxy de despertar.
Se um computador tiver mais de um adaptador de rede, você não poderá configurar qual adaptador usar para proxy de despertar; a escolha não é determinística. No entanto, o adaptador escolhido é registrado no arquivo SleepAgent_<DOMAIN>@SYSTEM_0.log.
A rede deve permitir solicitações de eco ICMP (pelo menos dentro da sub-rede). Você não pode configurar o intervalo de cinco segundos que é usado para enviar os comandos de ping ICMP.
A comunicação não é criptografada e não autenticada e não há suporte para IPsec.
As seguintes configurações de rede não têm suporte:
802.1X com autenticação de porta
Redes sem fio
Comutadores de rede que associam endereços MAC a portas específicas
Redes somente IPv6
Durações de concessão DHCP inferiores a 24 horas
Se você quiser acordar computadores para a instalação de software agendada, você deve configurar cada site primário para usar pacotes de despertar.
Para usar o proxy de despertar, você deve implantar configurações de cliente proxy de despertar do Power Management, além de configurar o site primário.
Decida se deve usar pacotes de transmissão direcionados por sub-rede ou pacotes unicast e qual número de porta UDP usar. Por padrão, os pacotes de despertar tradicionais são transmitidos usando a porta UDP 9, mas para ajudar a aumentar a segurança, você pode selecionar uma porta alternativa para o site se essa porta alternativa tiver suporte por roteadores e firewalls intervindo.
Escolha Entre Unicast e Subnet-Directed Broadcast para Wake-on-LAN
Se você optar por acordar computadores enviando pacotes de despertar tradicionais, você deve decidir se deve transmitir pacotes unicast ou pacotes de transmissão direta de sub-rede. Se você usar o proxy de despertar, deverá usar pacotes unicast. Caso contrário, use a tabela a seguir para ajudar você a determinar qual método de transmissão escolher.
| Método de transmissão | Vantagem | Desvantagens |
|---|---|---|
| Unicast | Solução mais segura do que transmissões direcionadas por sub-rede porque o pacote é enviado diretamente para um computador em vez de para todos os computadores em uma sub-rede. Talvez não exija reconfiguração de roteadores (talvez seja necessário configurar o cache ARP). Consome menos largura de banda de rede do que transmissões de transmissão direcionadas pela sub-rede. Com suporte com IPv4 e IPv6. |
Os pacotes de despertar não encontram computadores de destino que alteraram seu endereço de sub-rede após o último agendamento de inventário de hardware. Os switches podem ter que ser configurados para encaminhar pacotes UDP. Alguns adaptadores de rede podem não responder a pacotes de despertar em todos os estados de sono quando usam o unicast como o método de transmissão. |
| transmissão Subnet-Directed | Taxa de sucesso maior do que o unicast se você tiver computadores que frequentemente alteram seu endereço IP na mesma sub-rede. Nenhuma reconfiguração de comutador é necessária. Alta taxa de compatibilidade com adaptadores de computador para todos os estados de sono, pois as transmissões direcionadas à sub-rede eram o método de transmissão original para enviar pacotes de despertar. |
Solução menos segura do que usar o unicast porque um invasor poderia enviar fluxos contínuos de solicitações de eco ICMP de um endereço de origem falsificado para o endereço de transmissão direcionado. Isso faz com que todos os hosts respondam a esse endereço de origem. Se os roteadores estiverem configurados para permitir transmissões direcionadas à sub-rede, a configuração adicional será recomendada por motivos de segurança: - Configurar roteadores para permitir apenas transmissões direcionadas por IP do servidor do site Configuration Manager, usando um número de porta UDP especificado. - Configure Configuration Manager para usar o número de porta não padrão especificado. Pode exigir reconfiguração de todos os roteadores intervindo para habilitar transmissões direcionadas à sub-rede. Consome mais largura de banda de rede do que transmissões unicast. Com suporte apenas com IPv4; Não há suporte para IPv6. |
Aviso
Há riscos de segurança associados a transmissões direcionadas à sub-rede: um invasor pode enviar fluxos contínuos de solicitações de eco do ICMP (Protocolo de Mensagem de Controle da Internet) de um endereço de origem falsificado para o endereço de transmissão direcionado, o que faz com que todos os hosts respondam a esse endereço de origem. Esse tipo de ataque de negação de serviço é comumente chamado de ataque de smurf e normalmente é atenuado por não habilitar transmissões direcionadas à sub-rede.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de