Como configurar o serviço de administração no Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Use as etapas neste artigo para configurar o serviço de administração em seu Provedor de SMS. Antes de começar, leia os pré-requisitos do serviço de administração.
Habilitar a comunicação HTTPS segura
Configure o serviço de administração para usar uma conexão HTTPS segura para proteger os dados em trânsito em toda a rede.
A partir da versão 2010, você não precisa mais habilitar o IIS no Provedor de SMS para o serviço de administração. O site cria um certificado autoassinado para o Provedor de SMS e o associa automaticamente sem a necessidade de IIS. Se você tiver instalado anteriormente o IIS no Provedor de SMS, poderá removê-lo. Em seguida, reinicie o componente SMS_REST_PROVIDER. Lembre-se de que você precisa abrir a porta HTTPS 443 no firewall.
O serviço de administração usa automaticamente o certificado autoassinado do site. Esse comportamento ajuda a reduzir o atrito para facilitar o uso do serviço de administração. O site sempre gera esse certificado. O serviço de administração ignora a configuração avançada do site HTTP, pois sempre usa o certificado do site, mesmo que nenhum outro sistema de site esteja usando HTTP aprimorado. Você ainda pode associar manualmente um certificado de autenticação de servidor baseado em PKI. Se você já vinculou um certificado PKI à porta 443 no servidor provedor de SMS, o serviço de administração usará esse certificado existente.
Usar um certificado de autenticação de servidor
Observação
Por padrão, o serviço de administração usa automaticamente o certificado autoassinado do site. Você ainda pode associar manualmente um certificado de autenticação de servidor baseado em PKI. Antes de associar o certificado baseado em PKI, desvinculize manualmente o certificado autoassinado do site da porta 443 no Provedor de SMS.
Há dois métodos primários de usar um certificado de autenticação de servidor:
Da PKI (infraestrutura de chave pública) da sua organização
Se o ambiente já tiver um PKI, você poderá usá-lo para emitir um certificado de autenticação de servidor para o Provedor de SMS. Esse certificado é semelhante ao certificado que você usaria para um ponto de gerenciamento ou ponto de distribuição. Para obter mais informações, confira Requisitos de certificado PKI.
A maioria das implementações PKI corporativas adiciona os CAs raiz confiáveis aos clientes Windows. Por exemplo, usando os Serviços de Certificado do Active Directory com a política de grupo. Se você emitir o certificado de uma AC em que seus clientes não confiam automaticamente, adicione o certificado raiz confiável da AC aos clientes. Você pode escopo dessa confiança apenas para os clientes que precisam acessar o serviço de administração.
Use um certificado de um provedor de certificados público e globalmente confiável. Os clientes Windows incluem CAs (autoridades de certificado raiz confiáveis) desses provedores. Usando um certificado de autenticação de servidor emitido por um desses provedores, seus clientes confiam automaticamente nele.
Depois de ter um certificado de autenticação de servidor para o Provedor de SMS, você precisará associá-lo manualmente à porta 443 no IIS no servidor que hospeda a função provedor de SMS.
Primeiro, adicione o certificado ao servidor. Importe o certificado para o repositório pessoal do computador local. Em seguida, use uma das seguintes opções para associar o certificado:
Associar o certificado ao IIS
Se o servidor com a função provedor de SMS tiver o Console de Gerenciamento do IIS, use a ação Editar Associações no site padrão. Adicione a porta 443 e especifique seu certificado no repositório de certificados do computador.
Observação
A função provedor de SMS não requer IIS. Esse procedimento está usando o console do IIS para associar o certificado. Essas associações de certificado são para o computador, não para qualquer serviço específico.
Associar o certificado com netsh
Use a linha de comando netsh para associar o certificado:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Onde <thumbprint>
está a impressão digital do certificado instalado e <GUID>
é um GUID aleatório.
Dica
Use o cmdlet New-Guid
Windows PowerShell para gerar um GUID aleatório.
Por exemplo:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Habilitar o acesso à Internet
Você só pode usar o serviço de administração local ou habilitá-lo para acesso por meio do CMG (gateway de gerenciamento de nuvem). Alguns cenários exigem acesso ao serviço de administração da Internet, como anexação de locatários ou aprovações de aplicativo por email.
Antes de configurar o Provedor de SMS para permitir o tráfego CMG, primeiro configure um CMG. Para obter mais informações, consulte Visão geral do CMG.
Em seguida, use o seguinte processo para habilitar o serviço de administração por meio do CMG:
No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Servidores e Funções do Sistema de Site.
Selecione o servidor com a função provedor de SMS .
Dica
Na faixa de opções, na guia Página Inicial , selecione Servidores com Função e selecione Provedor de SMS. Esta ação mostra os sistemas do site com essa função.
No painel de detalhes, selecione a função Provedor de SMS e selecione Propriedades na faixa de opções na guia Função de Site .
Selecione a opção Para permitir Configuration Manager tráfego de gateway de gerenciamento de nuvem para o serviço de administração.
Para acessar o serviço de administração pela Internet, substitua o FQDN do Provedor de SMS pelo ponto de extremidade CMG. Por exemplo:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Dica
Para obter o valor desse ponto de extremidade, use as seguintes etapas:
Crie um CMG. Para obter mais informações, consulte Configurar um CMG.
Em um cliente ativo, abra um prompt de comando Windows PowerShell como administrador.
Execute o seguinte comando:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Habilitar o uso do console
Observação
A partir da versão 2111, a opção de Habilitar o console Configuration Manager para usar o serviço de administração é removida. O serviço de administração está sempre ativado, portanto, o console o usará quando necessário.
Habilite alguns nós do console Configuration Manager para usar o serviço de administração. Essa alteração permite que o console se comunique com o Provedor de SMS por HTTPS em vez de via WMI.
No console Configuration Manager, acesse o workspace Administração, expanda Configuração do Site e selecione o nó Sites. Na faixa de opções, selecione Configurações de Hierarquia.
Na página Geral, selecione a opção Habilitar o console Configuration Manager para usar o serviço de administração.
Essa alteração afeta apenas os seguintes nós no nó Segurança no workspace Administração :
- Usuários Administrativos
- Funções de segurança
- Escopos de segurança
- Conexões de console
Ao selecionar um desses nós, se a seguinte mensagem de erro for exibida:
Configuration Manager não pode se conectar ao serviço de administração
Examine as informações abaixo do erro. Em seguida, verifique se o serviço de administração está habilitado, configurado e funcional. Para obter mais informações, incluindo arquivos de log a serem revisados, consulte a seção Verificar .
Verify
Quando o site instala o serviço de administração, ele registra a atividade no arquivo RESTPROVIDERSetup.log no diretório de instalação Configuration Manager. Por padrão, esse caminho é C:\Program Files\Microsoft Configuration Manager\logs
.
O site acompanha o estado de integridade do serviço de administração no arquivo SMS_REST_PROVIDER.log . Você pode ver o início do serviço e as informações sobre o certificado.
Teste o serviço de administração fazendo uma consulta simples em um navegador da Web, por exemplo:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
O serviço de administração registra sua atividade no arquivo adminservice.log no servidor provedor de SMS no diretório de instalação Configuration Manager.
Para a consulta de metadados acima, o arquivo de log mostra as seguintes linhas:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]