Поделиться через

Развертывание последовательности задач через Интернет

  • Статья

Относится к Configuration Manager (Current Branch)

Configuration Manager поддерживает различные методы развертывания последовательности задач на удаленных клиентах через Интернет. Вы можете развернуть обновление Windows, использовать загрузочный носитель или запустить его из Центра программного обеспечения. В этой статье рассматриваются конкретные конфигурации для этих сценариев. Сначала используйте команду Развернуть последовательность задач , чтобы создать базовое развертывание. Затем используйте конфигурации, приведенные в этой статье, чтобы настроить его для интернет-клиентов.

Предупреждение

Вы можете управлять поведением для развертываний последовательности задач с высоким риском. Развертывание с высоким риском — это развертывание, которое устанавливается автоматически и может привести к нежелательным результатам. Например, последовательность задач с назначением Обязательно , которая развертывает ОС, считается развертыванием с высоким риском. Дополнительные сведения см. в разделе Параметры для управления развертываниями с высоким риском.

Разрешить выполнение последовательности задач в Интернете

На странице Взаимодействие с пользователем мастера развертывания программного обеспечения можно настроить развертывание так, чтобы разрешить выполнение последовательности задач для клиента в Интернете. Этот параметр необходим для всех клиентских сценариев через Интернет. В следующих разделах рассматриваются основные сценарии включения этого параметра.

Примечание.

Дополнительный параметр последовательности задач для запуска другой программы сначала не применяется к последовательности задач, которые выполняются на клиентах, которые обмениваются данными через шлюз управления облаком (CMG). Этот параметр использует сетевой путь UNC пакета, который недоступен через CMG.

Обновление Windows на месте

Используйте этот параметр для развертывания последовательности задач обновления Windows на месте для интернет-клиентов через шлюз управления облаком (CMG). Все поддерживаемые версии Configuration Manager поддерживают этот сценарий. Дополнительные сведения см. в статье Развертывание обновления Windows на месте с помощью CMG.

Установка последовательности задач создания образов Windows из Центра программного обеспечения

Начиная с версии 2006, можно развернуть последовательность задач с загрузочным образом на устройстве, которое обменивается данными через CMG. Пользователю необходимо запустить последовательность задач из Центра программного обеспечения.

Примечание.

Когда присоединенный к Microsoft Entra клиент запускает последовательность задач развертывания ОС, клиент в новой ОС не будет автоматически присоединяться к идентификатору Microsoft Entra. Несмотря на то, что он не присоединен к Microsoft Entra, клиент по-прежнему управляется.

При запуске последовательности задач развертывания ОС на интернет-клиенте, присоединенном к Microsoft Entra или использующего проверку подлинности на основе маркеров, необходимо указать свойство CCMHOSTNAME на шаге Настройка Windows и ConfigMgr .

Использование загрузочного носителя для установки последовательности задач создания образов Windows

Начиная с версии 2010, вы можете использовать загрузочный носитель для повторного создания образа интернет-устройств, подключающихся через CMG. Этот сценарий помогает улучшить поддержку удаленных сотрудников. Если Windows не запускается, чтобы пользователь получил доступ к центру программного обеспечения, теперь вы можете отправить ему USB-накопитель для переустановки Windows. Дополнительные сведения см. в статье Развертывание ОС через CMG с помощью загрузочного носителя.

В версии 2002 и более ранних операциях, для которых требуется загрузочный носитель, этот параметр не поддерживается. Разрешить выполнение последовательности задач в Интернете только для универсальных установок программного обеспечения или последовательностей задач на основе скриптов, выполняющих операции в стандартной ОС.

Примечание.

Для всех сценариев последовательности задач в Интернете в версии 2002 и более ранних запустите последовательность задач из Центра программного обеспечения. Они не поддерживают Windows PE, PXE или носитель последовательности задач.

Развертывание обновления Windows на месте с помощью CMG

Последовательность задач обновления Windows на месте поддерживает развертывание на интернет-клиентах, управляемых через шлюз управления облаком (CMG). Эта возможность позволяет удаленным пользователям проще выполнять обновление до Windows без необходимости подключения к интрасети.

Убедитесь, что все содержимое, на которые ссылается последовательность задач обновления на месте, распространяется в cmg с поддержкой содержимого. Включите параметр CMG: Разрешить CMG функционировать в качестве облачной точки распространения и обслуживать содержимое из хранилища Azure. В противном случае устройства не смогут выполнять последовательность задач.

При развертывании последовательности задач обновления используйте следующие параметры:

  • Разрешить выполнение последовательности задач для клиента в Интернете на вкладке Взаимодействие с пользователем развертывания.

  • Выберите один из следующих параметров на вкладке Точки распространения развертывания:

    • Скачайте содержимое локально, если это необходимо для выполняемой последовательности задач. Подсистема последовательности задач может скачивать пакеты по запросу из CMG с поддержкой содержимого. Этот параметр обеспечивает дополнительную гибкость при развертывании обновления Windows на месте для интернет-устройств.

    • Скачайте все содержимое локально перед запуском последовательности задач. При использовании этого параметра клиент Configuration Manager скачивает содержимое из облачного источника перед запуском последовательности задач.

  • (Необязательно) Предварительно скачайте содержимое для этой последовательности задач на вкладке Общие развертывания. Дополнительные сведения см. в разделе Настройка содержимого перед кэшем.

Примечание.

Запустите последовательность задач из Центра программного обеспечения. Этот сценарий не поддерживает Windows PE, PXE или носитель последовательности задач.

Поддержка загрузочных носителей для облачного содержимого

Начиная с версии 2010 загрузочный носитель может скачивать облачное содержимое. Например, вы отправляете USB-ключ пользователю в удаленном офисе для повторного создания образа устройства. Или офис с локальным PXE-сервером, но вы хотите, чтобы устройства максимально расставлять приоритеты для облачных служб. Вместо дальнейшего налогообложения глобальной сети для скачивания большого содержимого развертывания ОС, загрузочный носитель и развертывания PXE теперь могут получать содержимое из облачных источников. Например, шлюз управления облачными клиентами (CMG), который можно использовать для предоставления общего доступа к содержимому.

Примечание.

Устройству по-прежнему требуется подключение интрасети к точке управления.

При выполнении последовательности задач она скачивает содержимое из облачных источников. Проверьте smsts.log на клиенте.

Предварительные требования для загрузочного носителя

  • Включите следующий параметр клиента в группе Облачные службы : Разрешить доступ к облачной точке распространения. Убедитесь, что параметр клиента развернут на целевых клиентах. Дополнительные сведения см. в разделе Сведения о параметрах клиента — облачные службы.

  • Для группы границ, в которую входит клиент:

  • Распространение содержимого, на который ссылается последовательность задач, в cmg с поддержкой содержимого.

Развертывание ОС через CMG с помощью загрузочного носителя

Начиная с версии 2010, вы можете использовать загрузочный носитель для повторного создания образа интернет-устройств, подключающихся через CMG. Этот сценарий помогает улучшить поддержку удаленных сотрудников. Если Windows не запускается, чтобы пользователь получил доступ к центру программного обеспечения, теперь вы можете отправить ему USB-накопитель для переустановки Windows.

Предварительные требования для загрузочного носителя через CMG

  • Настройка CMG

  • Для всего содержимого, на который ссылается последовательность задач, распределите его в cmg с поддержкой содержимого. Дополнительные сведения см. в разделе Распространение содержимого.

  • Включите следующие параметры клиента в группе Облачные службы :

    • Разрешить доступ к облачной точке распространения

    • Разрешить клиентам использовать шлюз управления облаком

  • Настройте шаг последовательности задач Применение параметров сети для присоединения к рабочей группе. Во время последовательности задач устройство не может присоединиться к локальному домену Active Directory. Он не имеет подключения к контроллеру домена для присоединения к домену.

  • При развертывании последовательности задач в коллекции настройте следующие параметры:

    • Страница взаимодействия с пользователем: разрешить выполнение последовательности задач для клиента в Интернете

    • Страница параметров развертывания. Сделайте доступным для параметра, включающего мультимедиа.

    • Страница точек распространения, параметры развертывания. Скачайте содержимое локально, если это необходимо для выполняемой последовательности задач. Дополнительные сведения см. в разделе Параметры развертывания.

  • Убедитесь, что устройство имеет постоянное подключение к Интернету во время выполнения последовательности задач. Windows PE не поддерживает беспроводные сети, поэтому устройству требуется проводное сетевое подключение.

  • Если для загрузочного носителя используется сертификат на основе PKI, настройте его для SHA256 с помощью поставщика Microsoft Enhanced RSA и AES. Эта конфигурация сертификата рекомендуется, но не требуется. Сертификат может быть сертификатом версии 3 (CNG).

  • В версиях 2010 и 2103, если в точке управления настроено значение Разрешить подключения только к Интернету, вы не сможете использовать загрузочный носитель через CMG. Чтобы обойти эту проблему, настройте для точки управления значение Разрешить подключения интрасети и Интернета.

  • Если шлюз управления облачными клиентами использует сертификат на основе PKI, необходимо добавить доверенный корневой сертификат в образ загрузки. В противном случае Среда предустановки Windows не сможет взаимодействовать с CMG, так как она не доверяет сертификату CMG. Дополнительные сведения см. в разделе Добавление доверенного корневого сертификата в загрузочный образ.

Создание загрузочного носителя для использования CMG

Запустите мастер создания носителя последовательности задач для загрузочного носителя. Дополнительные сведения см. в разделе Создание загрузочного носителя. Измените стандартный процесс, выполнив следующие действия.

  • На странице Управление мультимедиа мастера выберите параметр Для мультимедиа на основе сайта.

  • На странице Безопасность задайте надежный пароль для защиты этого носителя.

  • На странице Образ загрузки в разделе Точка управления выберите шлюз управления облаком в диалоговом окне Добавление точек управления .

При загрузке устройства, подключенного к Интернету, с помощью этого носителя оно взаимодействует с указанным CMG. Загрузочный носитель загружает политику для развертывания последовательности задач через CMG. При выполнении последовательности задач она скачивает все дополнительное содержимое и политики через Интернет.

После выполнения последовательности задач клиент использует проверку подлинности на основе маркеров.

Добавление доверенного корневого сертификата в загрузочный образ

Если шлюз управления облачными клиентами использует сертификат на основе PKI, необходимо добавить доверенный корневой сертификат в образ загрузки. В противном случае Среда предустановки Windows не сможет взаимодействовать с CMG, так как она не доверяет сертификату CMG.

Шаг 1. Экспорт большого двоичного объекта реестра сертификатов

В системе с установленным доверенным корневым сертификатом:

  1. Откройте меню Пуск. Введите , run чтобы открыть окно Выполнить. Откройте .mmc

  2. В меню Файл выберите Добавить или удалить оснастку....

  3. В диалоговом окне Добавление или удаление оснастки выберите Сертификаты, а затем нажмите кнопку Добавить.

    1. В диалоговом окне оснастки "Сертификаты" выберите Учетная запись компьютера, а затем нажмите кнопку Далее.

    2. В диалоговом окне Выбор компьютера выберите Локальный компьютер, а затем нажмите кнопку Готово.

    3. В диалоговом окне Добавление и удаление оснастки нажмите кнопку ОК.

  4. Разверните узлы Сертификаты, Доверенные корневые центры сертификации и выберите Сертификаты.

  5. Выберите корневой сертификат. В меню Действие выберите Открыть.

  6. Перейдите на вкладку Сведения .

  7. Скопируйте значение отпечатка сертификата. Например eb971f84c0c44b9eb22a378fecb45747eb971f84

  8. В меню Пуск выполните команду regedit.

  9. Перейдите к следующему разделу реестра: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates. Дополнительные сведения об этом разделе реестра см. в разделе Расположения системного хранилища.

  10. Выберите раздел реестра, соответствующий отпечатку корневого сертификата.

  11. В меню Файл выберите Экспорт. Укажите имя файла и сохраните .reg файл.

  12. Измените файл в Блокноте. В пути к ключу измените SOFTWARE значение на winpe-offlineи сохраните файл. Например:

    [HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates\eb971f84c0c44b9eb22a378fecb45747eb971f84]

  13. Скопируйте этот файл в расположение, к которому можно получить доступ для следующего шага.

Шаг 2. Импорт большого двоичного объекта реестра сертификатов в образ автономной загрузки

В системе с файлом образа загрузки:

  1. Подключите WIM-файл. Например, DISM /Mount-image /imagefile:"C:\Sources\boot.wim" /Index:1 /MountDir:C:\Mount.

  2. В меню Пуск выполните команду regedit.

  3. Выберите HKEY_LOCAL_MACHINE. В меню Файл выберите Загрузить Hive.

  4. Перейдите к C:\Mount\Windows\System32\config и выберите ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ. Этот файл является кустом автономного реестра для образа Windows PE, подключенного к C:\Mount.

    Важно!

    Убедитесь, что этот путь находится к подключенному образу Windows PE, а не к пути ос Windows по умолчанию.

  5. Назовите ключ для загруженного куста winpe-offline.

  6. В меню Файл выберите Импорт. Перейдите к измененным .reg файлу, который вы ранее экспортировали и изменили. Выберите Открыть.

  7. Перейдите к следующему разделу реестра: Computer\HKEY_LOCAL_MACHINE\winpe-offline\Microsoft\SystemCertificates\AuthRoot\Certificates и убедитесь, что добавлен новый раздел.

  8. Выберите следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\winpe-offline. В меню Файл выберите Выгрузить Hive и нажмите кнопку Да.

  9. Закройте редактор реестра и другие окна, ссылающиеся на файлы в C:\Mount.

  10. Отключите загрузочный образ и зафиксируйте изменения. Пример: DISM /Unmount-image /Commit /MountDir:C:\Mount

Загрузочный образ теперь включает доверенный корневой сертификат.

Дальнейшие действия

Мониторинг развертываний ОС

Управление последовательностью задач для автоматизации задач